Русский
Русский
English
Статистика
Реклама

Кино под защитой. Как мы готовились к аудиту по безопасности медиаконтента

Наверняка каждый читатель Хабра хотя бы раз в жизни мечтал прикоснуться к миру кино, стать его частью. В этом посте я расскажу о том, как консультантам из отдела информационной безопасности удалось сделать это.

Из текста вы узнаете:

  • зачем досматривать до конца титры в конце фильма;
  • сколько аудиторских опросников нужно заполнить, чтобы быть уверенным, что кино под защитой;
  • почему аудит безопасности медиаконтента лучше не проходить в мешковатом худи.

Источник

В сфере консалтинга информационной безопасности типовые работы давно определены. Это защита персональных данных и коммерческой тайны, аттестация государственных информационных систем, защита информации в финансовых организациях, обеспечение безопасности критической информационной инфраструктуры, формирование стратегии развития ИБ и т. д. Тем интереснее было получить задачу нетривиальную для отечественного рынка информационной безопасности.

Первоначально, запрос, поступивший в ЛАНИТ-Интеграцию от одной российской компании, содержал минимум информации и звучал следующим образом: Добрый день! Подскажите пожалуйста, можете ли вы нам помочь: необходимо пройти аудит на соответствие нашей организации требованиям безопасности информации MPAA.

Появилась необходимость всестороннего изучения данного вопроса. В первую очередь нужно было понять, что такое MPAA.


Этот логотип знаком терпеливым и упорным зрителям, то есть тем, кто досматривает до конца не только фильмы, но и титры. Источник

Первая же ссылка в поисковой системе Google Яндекс выдала нам такой ответ: Американская ассоциация кинокомпаний(MPAA,англ.Motion Picture Association of America, первоначально Motion Picture Producers and Distributors of America(MPPDA) американскаянекоммерческая организация, основанная в 1922 году и объединяющая крупнейших кинопроизводителей, призванная отстаивать их бизнес-интересы.

Важность данной ассоциации сложно переоценить, особенно учитывая состав участников. Членами Американской киноассоциации являются семь крупнейших голливудских студий: The Walt Disney Company, Sony Pictures, Paramount Pictures, 20th Century Fox, Universal Studios, Warner Bros, Netflix.

Из этого можно сделать простой вывод, кто является генеральным заказчиком у нашего клиента.


Такой поворот событий вызвал наш неподдельный интерес к тому, какие требования могут выдвигать ключевые игроки мировой киноиндустрии. По мере изучения этого вопроса оказалось, что круг действующих лиц в проекте становится заметно больше.


Кроме Американской ассоциации кинокомпаний, требования формируются профильной Международной ассоциацией защиты контента, а сама проверка реализации требований осуществляется сетью доверенных партнеров (Trusted Partner Network TPN), созданной совместно двумя ассоциациями. Возникает логичный вопрос, почему для обеспечения безопасности медиаконтента были задействованы такие силы.

Кого и чего боятся киностудии


Безусловно, всем нам известны различные файлообменные p2p-сети, на которых, например, можно скачивать или просматривать фильмы в обход требований правообладателей. Но как они там появляются? Зачастую, на таких ресурсах первыми публикуются пиратские видеозаписи из кинотеатров, откуда стартует коммерческая окупаемость фильма. Но еще большую опасность для производителей медиа-контента представляет утечка материала до официального проката. При таком развитии событий компании получают серьезный финансовый и репутационный ущерб, так как непритязательная аудитория в своем большинстве предпочитает не платить за продукт, а получать его бесплатно, пусть даже и в более низком качестве.

Выявив основные причины формирования стандарта MPAA, получаем:


Не каждый день офисным работникам удастся приобщиться к сфере кино, да еще и в рамках выполнения своей работы.

Итак, каков же полный список заинтересованных в обеспечении безопасности медиаконтента компаний? Немного изучив рынок, получаем следующее.


Определились. Теперь к работе. Что из себя представляет стандарт, который так необходим нашим заказчикам? Изучив структуру, стало понятно, что стандарт MPAA структурирован достаточно привычно, все необходимые к реализации меры разбиты на три группы: менеджмент информационной безопасности, меры по физической безопасности и технические меры.

Обзор стандарта

Детально разобрав стандарт, для наибольшего удобства мы создали чек-лист реализации мер безопасности. Так как стандарт англоязычный, и, к сожалению, не все могут свободно читать и переводить довольно-таки непросто написанную техническую литературу, мы его заодно перевели для наших коллег и для заказчика. Посмотреть, что у нас вышло, можно здесь таблички такого размера, мягко говоря, не очень удобно вставлять как иллюстрации в пост (берегите глаза).

Как мы работаем:

  • Делай раз. Обследуем с чем же придется работать.
  • Делай два. Проектируем систему ИБ и разрабатываем физические и организационные мероприятия.
  • Делай три. Закупай, внедряй, тренируй.
  • Делай четыре. Проходи аудит и помогай держать все в актуальном состоянии.

Заказчик прислал нам опросник от аудиторов, который состоял из 36 доменов и более чем 500 вопросов, которые дали бы аудиторам ясность о текущем статусе выполнения требований стандарта. Стало понятно, что подход у аудиторов довольно серьезный. Но в то же время есть, от чего отталкиваться.

Заполняя опросные листы, нам стало понятно, что фактически компания заботилась об информационной безопасности в объеме, недостаточном для выполнения требований стандарта. В первую очередь, необходимо было определить сам контент, который так необходимо обезопасить, а это самое интересное. Проведя информационное обследование с заказчиком, мы выяснили, что медиа-контентом для компании являются результаты отрисовки (по факту кадры из фильма), 3D-модели, а также во время дубляжа появляются скрипты переводов, фразы, реплики, из которых можно составить целый сюжет.

Приступаем к работе


Обследуем бизнес-процессы, получаем схему и описание бизнес-процессов. Обследуем информационные системы, сервисы и инфраструктуру, получаем инфраструктурную схему. Обследуем реализованные меры, получаем понимание степени реализации требований. По результатам формируем рекомендации. Рекомендации есть, поехали их исполнять.

Далее готовим технический проект. Собираем спецификацию и описание системы информационной безопасности в удобной форме. Идем по перечню требований/рекомендаций, напротив каждого требования пишем пояснения.

  1. Организационные меры реализуются не только утверждением в компании политики/приказа/регламента, но и выполнением сотрудниками всех процедур, описанных в этих самых политиках, приказах и регламентах.
  2. Технические меры реализуются как наложенными средствами защиты информации, так и встроенными механизмами безопасности. К счастью, нет требований к сертификации средств защиты ФСТЭК. Понятное дело, что все процессы, связанные с реализацией технических мер, должны быть также описаны в организационно-распорядительной документации.
  3. Физические меры безопасности реализуются как технически (контроль доступа, видеонаблюдение, пожарная безопасность и т. д.), так и организационно (регламент проноса/выноса накопителей, регламент посещения рабочего места, регламент проверки физических систем безопасности и т. д.).

Расскажем о самых необычных требованиях стандарта. В ходе реализации мер защиты стандарта пришлось столкнуться с некоторыми забавными, а иногда и чуть завышенными требованиями, например:

  • предотвратить использование джейлбрейка, рутинга и прочего на рабочих мобильных устройствах (вряд ли кто об этом задумывался ранее в компаниях, работающих с медиаконтентом);
  • использовать псевдонимы (AKA) для клиентов в процессе обработки медиаконтента (очевидно для того, чтобы сотрудники не могли точно знать, что это за заказчик);
  • помечать каждого посетителя идентификационным значком или наклейкой, которая всегда должна быть видна (знаем всех посетителей меньше переживаем за наш контент);
  • приносить еду только в прозрачных контейнерах и пакетах (для того, чтобы не допустить нелегитимный пронос/вынос устройств для сбора информации);
  • реализовать политику дресс-кода таким образом, чтобы исключить мешковатые штаны и толстовки с капюшоном (также для того, чтобы не допустить пронос/вынос конфиденциальной информации).

Срок действия документации


Многие заказчики, к сожалению, считают, что разрабатываемая документация действует только при прохождении аудита, а дальше будь что будет. Самым простым (выгодным, if you know what i mean) решением было взять всё в свои руки и помочь клиенту держать все в актуальном состоянии.


Аудит был похож на экспертизы, которые мы привыкли видеть в России (чаще всего это ISO 27001), но, на всякий случай, по порядку.

Сначала оформляется заявка в TPN на аудит. Далее присылаются опросники, о которых мы говорили ранее. После того, как их заполнили и отправили (само собой предварительно реализовав все требования), TPN определяет аудитора (нам достался Алекс из Лондона). Первое, что он сделал, это запросил перечень разработанной документации на английском (однако стандарт не требует разработку документов на английском языке). Как оказалось, план был такой: специалист по составу и названиям поймет, насколько это соответствует лучшим практикам, а уже при очной ставке расспросит, что в них написано. Так как проверка документов была основана, по сути, на нашем красноречии, Алекс сделал большой упор на техническую сторону вопроса: были проверены все настройки сетевого оборудования, продемонстрирован ход работы каждого бизнес-процесса, проверен харденинг выборочных машин из каждого сегмента сети, была даже проверена история браузеров на ПК, у которых нет доступа в интернет. Также много внимания было уделено вопросу видеонаблюдения, пропускного режима и пр.

На обеде аудитор расслабился и рассказал, что аудитор не основная его профессия, он руководит такой же компанией, работающей с медиа-контентом. Аудит это хобби и некоторый дополнительный доход (конечно же Алекс прошел все требуемые экзамены для получения данного статуса).

В отличие от того же ISO 27001, где наличие сертификата позволяет декларировать соответствие требованиям стандарта (ни в коем случае не полную защищенность), в MPAA/TPN результаты аудита фиксируются на портале TPN, и на нем же будет указано, каким именно образом реализовано то или иное требование, чтобы будущий контрагент мог лично определиться, достаточен ли набор мер для работы с ними или стоит призадуматься.

В целом, это была привычная работа подготовки к аудиту. Но мы получили массу удовольствия, разбираясь в такой, как оказалось, интересной индустрии производство и распространение медиаконтента. Теперь мы уверены, что у заказчика всё под контролем и никто (кроме человека в худи и с непрозрачным контейнером) не сможет увидеть киноновинку раньше времени.

Буду рад ответить на вопросы в комментариях.

Источник: habr.com
К списку статей
Опубликовано: 20.10.2020 12:19:01
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Блог компании гк ланит

Creative commons

It-стандарты

Информационная безопасность

Ланит

Ланит-интеграция

Аудит

Аудит безопасности

Кино

Индустрия кино

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru