Кино под защитой. Как мы готовились к аудиту по безопасности медиаконтента

Наверняка каждый читатель Хабра хотя бы раз в жизни мечтал прикоснуться к миру кино, стать его частью. В этом посте я расскажу о том, как консультантам из отдела информационной безопасности удалось сделать это.

Из текста вы узнаете:

• зачем досматривать до конца титры в конце фильма;
• сколько аудиторских опросников нужно заполнить, чтобы быть уверенным, что кино под защитой;
• почему аудит безопасности медиаконтента лучше не проходить в мешковатом худи.

Источник ^[1]

В сфере консалтинга информационной безопасности типовые работы давно определены. Это защита персональных данных и коммерческой тайны, аттестация государственных информационных систем, защита информации в финансовых организациях, обеспечение безопасности критической информационной инфраструктуры, формирование стратегии развития ИБ и т. д. Тем интереснее было получить задачу нетривиальную для отечественного рынка информационной безопасности.

Первоначально, запрос, поступивший в «ЛАНИТ-Интеграцию» ^[2] от одной российской компании, содержал минимум информации и звучал следующим образом: «Добрый день! Подскажите пожалуйста, можете ли вы нам помочь: необходимо пройти аудит на соответствие нашей организации требованиям безопасности информации MPAA».

Появилась необходимость всестороннего изучения данного вопроса. В первую очередь нужно было понять, что такое MPAA.

Этот логотип знаком терпеливым и упорным зрителям, то есть тем, кто досматривает до конца не только фильмы, но и титры ^[3]. Источник ^[4] 

Первая же ссылка в поисковой системе Google Яндекс выдала нам такой ответ: «Американская ассоциация кинокомпаний (MPAA, англ. ^[5] Motion Picture Association of America, первоначально —  Motion Picture Producers and Distributors of America (MPPDA) — американская некоммерческая организация, основанная в 1922 году и объединяющая крупнейших кинопроизводителей, призванная отстаивать их бизнес-интересы». 

Важность данной ассоциации сложно переоценить, особенно учитывая состав участников. Членами Американской киноассоциации являются семь крупнейших голливудских студий: The Walt Disney Company, Sony Pictures, Paramount Pictures, 20^th Century Fox, Universal Studios, Warner Bros, Netflix.

Из этого можно сделать простой вывод, кто является генеральным заказчиком у нашего клиента.

Такой поворот событий вызвал наш неподдельный интерес к тому, какие требования могут выдвигать ключевые игроки мировой киноиндустрии. По мере изучения этого вопроса оказалось, что круг действующих лиц  в проекте становится заметно больше.

Кроме Американской ассоциации кинокомпаний, требования формируются профильной Международной ассоциацией защиты контента, а сама проверка реализации требований осуществляется сетью доверенных партнеров (Trusted Partner Network – TPN), созданной совместно двумя ассоциациями. Возникает логичный вопрос, почему для обеспечения безопасности медиаконтента были задействованы такие силы.

Кого и чего боятся киностудии

Безусловно, всем нам известны различные файлообменные p2p-сети, на которых, например, можно скачивать или просматривать фильмы в обход требований правообладателей. Но как они там появляются? Зачастую, на таких ресурсах первыми публикуются «пиратские» видеозаписи из кинотеатров, откуда стартует коммерческая окупаемость фильма. Но еще большую опасность для производителей медиа-контента представляет утечка материала до официального проката. При таком развитии событий компании получают серьезный финансовый и репутационный ущерб, так как непритязательная аудитория в своем большинстве предпочитает не платить за продукт, а получать его бесплатно, пусть даже и в более низком качестве.

Выявив основные причины формирования стандарта MPAA, получаем:

Не каждый день офисным работникам удастся приобщиться к сфере кино, да еще и в рамках выполнения своей работы. 

Итак, каков же полный список заинтересованных в обеспечении безопасности медиаконтента компаний? Немного изучив рынок, получаем следующее.

Определились. Теперь к работе. Что из себя представляет стандарт, который так необходим нашим заказчикам? Изучив структуру, стало понятно, что стандарт MPAA структурирован достаточно привычно, все необходимые к реализации меры разбиты на три группы: менеджмент информационной безопасности, меры по физической безопасности и технические меры.

Обзор стандарта

Детально разобрав стандарт, для наибольшего удобства мы создали чек-лист реализации мер безопасности. Так как стандарт англоязычный, и, к сожалению, не все могут свободно читать и переводить довольно-таки непросто написанную техническую литературу, мы его заодно перевели для наших коллег и для заказчика. Посмотреть, что у нас вышло, можно здесь ^[6] — таблички такого размера, мягко говоря, не очень удобно вставлять как иллюстрации в пост (берегите глаза️).

Как мы работаем:

• Делай раз. Обследуем с чем же придется работать.
• Делай два. Проектируем систему ИБ и разрабатываем физические и организационные мероприятия.
• Делай три. Закупай, внедряй, тренируй.
• Делай четыре. Проходи аудит и помогай держать все в актуальном состоянии.

Заказчик прислал нам опросник от аудиторов, который состоял из 36 доменов и более чем 500 вопросов, которые дали бы аудиторам ясность о текущем статусе выполнения требований стандарта. Стало понятно, что подход у аудиторов довольно серьезный. Но в то же время есть, от чего отталкиваться.

Заполняя опросные листы, нам стало понятно, что фактически компания заботилась об информационной безопасности в объеме, недостаточном для выполнения требований стандарта. В первую очередь, необходимо было определить сам контент, который так необходимо обезопасить, а это самое интересное. Проведя информационное обследование с заказчиком, мы выяснили, что медиа-контентом для компании являются результаты отрисовки (по факту кадры из фильма), 3D-модели, а также во время дубляжа появляются скрипты переводов, фразы, реплики, из которых можно составить целый сюжет.

Приступаем к работе

Обследуем бизнес-процессы, получаем схему и описание бизнес-процессов. Обследуем информационные системы, сервисы и инфраструктуру, получаем инфраструктурную схему. Обследуем реализованные меры, получаем понимание степени реализации требований. По результатам формируем рекомендации. Рекомендации есть, поехали их исполнять.

Далее готовим технический проект. Собираем спецификацию и описание системы информационной безопасности в удобной форме. Идем по перечню требований/рекомендаций, напротив каждого требования пишем пояснения. 

1. Организационные меры реализуются не только утверждением в компании политики/приказа/регламента, но и выполнением сотрудниками всех процедур, описанных в этих самых политиках, приказах и регламентах.
2. Технические меры реализуются как наложенными средствами защиты информации, так и встроенными механизмами безопасности. К счастью, нет требований к сертификации средств защиты ФСТЭК. Понятное дело, что все процессы, связанные с реализацией технических мер, должны быть также описаны в организационно-распорядительной документации.
3. Физические меры безопасности реализуются как технически (контроль доступа, видеонаблюдение, пожарная безопасность и т. д.), так и организационно (регламент проноса/выноса накопителей, регламент посещения рабочего места, регламент проверки физических систем безопасности и т. д.).

Расскажем о самых необычных требованиях стандарта. В ходе реализации мер защиты стандарта пришлось столкнуться с некоторыми забавными, а иногда и чуть завышенными требованиями, например:

• предотвратить использование джейлбрейка, рутинга и прочего на рабочих мобильных устройствах (вряд ли кто об этом задумывался ранее в компаниях, работающих с медиаконтентом);
• использовать псевдонимы (AKA) для клиентов в процессе обработки медиаконтента (очевидно для того, чтобы сотрудники не могли точно знать, что это за заказчик);
• помечать каждого посетителя идентификационным значком или наклейкой, которая всегда должна быть видна (знаем всех посетителей — меньше переживаем за наш контент);
• приносить еду только в прозрачных контейнерах и пакетах (для того, чтобы не допустить нелегитимный пронос/вынос устройств для сбора информации);
• реализовать политику дресс-кода таким образом, чтобы исключить мешковатые штаны и толстовки с капюшоном (также для того, чтобы не допустить пронос/вынос конфиденциальной информации).

Срок действия документации

Многие заказчики, к сожалению, считают, что разрабатываемая документация действует только при прохождении аудита, а дальше будь что будет. Самым простым (выгодным, if you know what i mean) решением было взять всё в свои руки и помочь клиенту держать все в актуальном состоянии. 

Аудит был похож на экспертизы, которые мы привыкли видеть в России (чаще всего это ISO 27001), но, на всякий случай, по порядку.

Сначала оформляется заявка в TPN на аудит. Далее присылаются опросники, о которых мы говорили ранее. После того, как их заполнили и отправили (само собой предварительно реализовав все требования), TPN определяет аудитора (нам достался Алекс из Лондона). Первое, что он сделал, — это запросил перечень разработанной документации на английском (однако стандарт не требует разработку документов на английском языке). Как оказалось, план был такой: специалист по составу и названиям поймет, насколько это соответствует лучшим практикам, а уже при очной ставке расспросит, что в них написано. Так как проверка документов была основана, по сути, на нашем красноречии, Алекс сделал большой упор на техническую сторону вопроса: были проверены все настройки сетевого оборудования, продемонстрирован ход работы каждого бизнес-процесса, проверен харденинг выборочных машин из каждого сегмента сети, была даже проверена история браузеров на ПК, у которых нет доступа в интернет. Также много внимания было уделено вопросу видеонаблюдения, пропускного режима и пр.

На обеде аудитор расслабился и рассказал, что аудитор – не основная его профессия, он руководит такой же компанией, работающей с медиа-контентом. Аудит – это хобби и некоторый дополнительный доход (конечно же Алекс прошел все требуемые экзамены для получения данного статуса).

В отличие от того же ISO 27001, где наличие сертификата позволяет декларировать соответствие требованиям стандарта (ни в коем случае не полную защищенность), в MPAA/TPN результаты аудита фиксируются на портале TPN, и на нем же будет указано, каким именно образом реализовано то или иное требование, чтобы будущий контрагент мог лично определиться, достаточен ли набор мер для работы с ними или стоит призадуматься.

В целом, это была привычная работа подготовки к аудиту. Но мы получили массу удовольствия, разбираясь в такой, как оказалось, интересной индустрии — производство и распространение медиаконтента. Теперь мы уверены, что у заказчика всё под контролем и никто (кроме человека в худи и с непрозрачным контейнером) не сможет увидеть киноновинку раньше времени. 

Буду рад ответить на вопросы в комментариях.

Автор: Кирилл

Источник ^[10]