Андрей Прозоров и Джабраил Матиев о вопросах информационной безопасности

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(12)
()
Опубликовано в: ,

Какое событие, произошедшее в сфере информационной безопасности в этом году, вы бы выделили как знаменательное?

Андрей Прозоров

Андрей Прозоров:

Ключевой темой в России я бы назвал новое законодательство по НПС. С ужесточением требований и увеличением их количества становится жалко наши банки. Из международных событий - COBIT 5 и выход книги "COBIT5 for Information Security».

Почему вы так выделяете это событие?

Это самая актуальная методология на данный момент, она развивается, причем с поддержкой международного сообщества, её можно использовать для экспертизы, для внедрения, для аудита – очень хороший стандарт, я думаю, он будет развиваться и будет полезен ИБ-сообществу.

Многие специалисты называют трендом этого года развитие облачных технологий и, как следствие, облачной безопасности. Пока универсальной защиты не появилось. Как вы видите решение этой проблемы?

Андрей Прозоров:

Для начала нужно использовать стандартные подходы по безопасности: физическая безопасность, классические средства сетевой безопасности.

Джабраил Матиев

Джабраил Матиев:

Нужно исходить из того, какая зона ответственности у провайдера и потребителя облака. Если мы говорим о формате Infrastructure as a Service (IaaS) , то большая часть реализации безопасности лежит на потребителе. Если же речь идёт о формате software as a service (SaaS), то в этом случае провайдер должен обеспечить весь спектр решений и вопросов по безопасности и все их закрыть. Соответственно, основная сложность заключается в том, что классические методы с одной стороны работают, а с другой стороны не закрывают всех угроз именно при такой модели потребления. Тут можно выделить несколько особенностей. Во-первых, система управления облаком. В физических средах аналога такому объекту нет. Во-вторых, сама модель потребления, когда идёт разделение ресурсов между разными потребителями, что создаёт дополнительную угрозу и третье, - концентрированность ресурсов на отдельных площадках. То есть, при отсутствии должного уровня отказоустойчивости, в итоге, мы приходим к тому, что доступность сервиса может быть невысокой.

Андрей Прозоров:

Безопасность облаков, это прежде всего доверие. Приведу в пример понравившуюся мне метафору: когда вы садитесь в самолёт, вы доверяете свою жизнь перевозчику. Было бы смешно приходить в самолёт со своим парашютом или надувной лодкой и т.д. Я доверяю пилоту, техперсоналу, авиакомпании. Даже если случиться какая-то непредвиденная ситуация, её оперативно решат. К облакам это сравнение имеет самое непосредственное отношение: мы должны доверять провайдеру, а безопасность уже обеспечивает он. Для России пока это не так актуально. Возможно, тут дело в менталитете. В Америке облака работают очень хорошо.

Джабраил Матиев:

Основная проблема в том, что у нас нет законодательства, которое бы регулировало отношения (провайдера, регулятора и потребителя).

Андрей Прозоров:

Учитывая тот факт, что мы ориентируемся на требования и рекомендации нашего российского законодательства, которые разрабатывались давно и не так актуальны сейчас. Я не думаю, что новые требования и рекомендации по облакам появятся в ближайшее время, хотя эта проблема весьма актуальна для рынка.

Нет осознания проблемы?

Андрей Прозоров:

Осознание проблемы есть. Я думаю, что нет специалистов, которые могли бы посоветовать, помочь регуляторам правильно сформулировать требования и рекомендации.

Раз уж мы заговорили про тренды и новинки. Какие новые угрозы вы могли бы назвать?

Андрей Прозоров:

Обработка корпоративной информации посредством личных устройств (ноутбуки, айпады, смартфоны, так далее). При этом, безопасники не могут влиять ни на пользователей, ни на эти устройства, отсюда определенный риск безопасности. Специалисты по безопасности должны об этом думать, понимать, анализировать.

Джабраил Матиев:

Я считаю, что появление новых угроз связано, прежде всего, с появлением новых объектов. Допустим, раньше не существовало аналогов системы управления облаками, получив доступ к которой, можно управлять не только всеми компьютерами одной организации, но и данными многих организаций, представлены в этом облаке. Появились новые угрозы и их значимость очень сильно выросла.

Возможно ли со временем создать универсальную систему защиты информации?

Андрей Прозоров:

Она и сейчас существует: берем ноутбук, запираем его в сейф и не пользуемся им - это универсальное решение. Проблема заключается не в универсальности решения по безопасности, а как синхронизировать его с потребностью пользователя. Пример с ноутбуком в сейфе -классическая шутка безопасника. Мы применяем жёсткие меры защиты, но пользоваться этим ноутбуком уже нельзя. Всегда необходим баланс между ожиданиями пользователя, его желаниями и безопасностью.

Джабраил Матиев:

Я могу сказать, что универсального решения по безопасности никогда не появится. Это слишком интеллектуальный, сложный продукт, неподъемный для одного вендора.

Андрей Прозоров:

Я даже больше скажу – вендоры действуют намного медленнее, чем нарушители.

Джабраил Матиев:

Да, это во-первых, во-вторых, вендоры решают отдельные задачи на среднем уровне, а не занимаются комплексными системами безопасности. На высоком уровне такие задачи решаются, только когда компания занимается одним специализированным направлением.

Неужели не существует методологии, которая позволяла бы предвидеть появления той или иной угрозы?

Существуют способы закрывания дыр до того, как их найдёт злоумышленник. Фактически, это наша основная задача - не закрывать дыры, которые появляются, а находить их заранее.

Андрей Прозоров:

По сути, в этом заключается классическая задача менеджмента – видение ситуации, прогноз развития рынка. Сейчас мы видим: да, будут развиваться облака и персональные мобильные устройства. Соответственно надо думать, как их защищать и какие новые угрозы могут появиться.

Какой основной вопрос в информационной безопасности для вас остаётся нерешённым?

Андрей Прозоров:

Вопрос к регуляторам: как состыковать требования регуляторов и требования бизнеса, чтобы ориентироваться не просто на какие-то заградительные барьеры, которые не понятно из чего произрастают, а именно на рисковый подход - ценность информации, вероятность ее потери и т.д.

Джабраил Матиев:

На самом деле это сделать очень просто. По сути, наше законодательство пытается регулировать вопросы обеспечения информационной безопасности. В действительности необходимо заниматься регулированием ответственности за инциденты. В этом случае бизнес будет всеми возможными способами решать вопрос, как не допустить возможность этих инцидентов. Те формальные требования, которые регуляторы пытаются предъявить сейчас, не могут остановить нарушения – у регуляторов нет понимания проблем бизнеса.

Андрей Прозоров:

Я бы ещё добавил, что наказание должно быть неминуемым. Вот ещё один вопрос для регуляторов, как сделать так, чтобы наказание было неотвратимо, а то сейчас получается, что строгость закона компенсируется необязательностью его выполнения.

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя GeorgeG

Универсальную систему ЗИ создать невозможно в принципе, мне кажется. Так же, как невозможно полностью автоматизировать перевод с иностранного языка. И там и там нужно передавать и интерпретировать смысл, а для этого нужен интеллект, то есть нечто, умеющее не только обрабатывать большие объемы информации, но и задавать вопрос "зачем?".  А Ваши, Наталья, мысли устремлены в будущее, судя по вопросам:)

up
24 users have voted.
Аватар пользователя Lindt

Мои мысли устремлены скорее в прошлое. Пытаюсь подбить бабки и выявить основные тренды. Что уходяший год нам принёс, так сказать, простите за каламбур. Ну а будущее зиждется на прошлом.

up
27 users have voted.
Аватар пользователя Lindt

Георгий, пришлите мне, пожалуйста, Ваше фото для аккаунта на pr@ dlp-expert.ru, если вы конечно не убежденный анонимус:)

up
27 users have voted.
Аватар пользователя SergeyBorisov

Про облака и самолеты, по моему, не совсем корректно сравнивать у нас.

К самолетам у нас доверие складывается из следующих факторов:

- жесткий контроль со стороны государства и специализированных организаций на всех этапах от проектирования до производства 

- детально проработаны процедуры эксплуатации и они контролируются государством и специализированными организациями

- публичная информация об истории всех полетов, всех неполадок вплоть до каждого отдельного самолета

- персональная ответственность обслуживающего персонала в случае проблем

- понятные процедуры получения компенсаций в случае проблем (потери багажа, опозданий и т.п.)

 

В случае если я маленький клиент из России для крупного западного облачного провайдера:

- у меня нет точных данных о том кто и как контролирует их

- у меня нет точных данных о том какие процедуры безопасности точно выполняются

- у меня нет понимания что и как мне нужно будет действовать в случае инцидента. А если я придумаю свои процедуры - не факт что им будет следовать мой облачный провайдер

- у меня нет гарантии что виновные в случае нарушией моих договоренностей с провайдером понесут ответственность

- у меня нет гарантий что понесенный мной ущерб будет компенсирован облачным провайдером. Вы знаете такого провайдера который компенсирует?

 

up
26 users have voted.
Аватар пользователя Lindt

Про облака мне понравился другой ответ: когда провайдер в договоре вам пропишет сумму ущерба в случае потери информации из облака - тогда можно.

up
39 users have voted.
Аватар пользователя GeorgeG

Наталья, мне кажется это не провайдерово дело, ущерб оценивать. Он как транспортная компания - коробки насклад вписал, выписал, если надо - отвез куда надо. А груз страховать другие должны. Ущерб от потери или разглашения - это ущерб собственнику "груза". Разговоры о страховании информационных рисков и рисков ИТ я еще в середине 2000-х слышал, а недавно видел реальный продукт от страховщика.

up
27 users have voted.
Аватар пользователя Lindt

И как?

up
52 users have voted.
Аватар пользователя GeorgeG

Я особенно глубоко этот вопрос не исследовал, но, насколько помню, все сводилось к имущественному страхованию железа и компенсациями на восстановление разрушенных процессов, т.е речь по сути о страховании доступности систем и непрерывности бизнеса. Причем я не видел требований, невыполнение которых влияет на размер страховой премии (ну, там, резервно копирование не реже чем, или серверы такого-то производителя). О конфиденциальности вообще ни слова сказано не было, т.е. информация в отрыве от  системы вообще объектом страхования не является. Оно, в общем, и понятно - как оценить ущерб от разглашения ноу-хау? Методик нет, достаточной прецедентной базы тоже, а актуарии-андеррайтеры тоже хотят зарплату получать, и в авантюры бросаться не торопятся. Конечно, можно отталкиваться от стоимости бизнеса, но страховую премию, скажем, в миллион долларов при стоимости бизнеса в 150 никто платить не будет - дешевле накупить средств защиты на 30 лет вперед и нанять взвод автоматчиков. Но вообще тема интересная, научиться бы только ущерб считать, как материальный, так и репутационный.

up
36 users have voted.
Аватар пользователя Lindt

А как же Налоговый кодекс? Насколько я знаю, там целая методика учёта ущерба от потери нематериального актива просчитана.

Нужно вычислить стоимость создания нематериального актива, либо стоимость актива, полученную при независимой оценке или в соответствии с методикой об оценочной деятельности. Этого не достаточно?

up
32 users have voted.
Аватар пользователя GeorgeG

А, ну Вы, наверное, говорите про ст.257? Описанный там метод оценки ну никак не соответствует действительной стоимости и пригоден разве что для налогообложения. Судите сами - они предлагают оценить стоимость ноу-хау (а ноу хау - это не патент) по стоимости его создания (за вычетом налогов) и доведегния до состояния юзабл. Но граница этого юзабл не определена - например, способ синтеза, лежащий в основе лекарственного средства, может быть доведен до состояния техпроцесса (от идеи) за 1-1,5  года. Эти два года нужно платить ученым (за исследования), закупать материал, плюс регистрация и размещение производства (о собственном речь пока не идет) - это, скажем, миллионы долларов. Но созданный препарат принесет компании десятки миллионов, т.к. синтез этот уникален настолько, что даже патентом его защищать опасно. НК предлагает оценивать этот секрет производства в миллион минус налоги, я считаю, что его утрата - это утрата монопольного положения на рынке и потеря, скажем, его половины в первые два года (как только будут организованы новые производства). Сколько это? Вот методики оценки этого ущерба и нет.

up
29 users have voted.
Аватар пользователя SergeyBorisov

Провайдеру и не надо оценивать риски.

Надо чтобы я пришел ему и сказал - в случае инцидента А - ты платишь мне 100 тыс + 100% от моего ущерба; в случае инцидента Б - ты платишь мне 1 млн. + 100% от моего ущерба.

Провайдер это ведь не тот кто дает интернет.

Облачный провайдер оказывает мне услуги, в том числе и услуги по безопасности. И должен нести ответственность в случае нарушения политик.  И пусть уже провайдер думает страховаться ему или нет.

Но пока таких облачных провайдеров на российском рынке я не знаю. 

up
40 users have voted.
Аватар пользователя Андрей Ерин

"Про облака мне понравился другой ответ: когда провайдер в договоре вам пропишет сумму ущерба в случае потери информации из облака - тогда можно."

Наталья, так мы смягчаем одну угрозу. Но есть еще одна - приходит регулятор, предъявляет претензии по невыполнению им же придуманных требований и приостанвливает деятельность компании. Так что в облаках кроются разнообразные риски smiley

up
34 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.