Кино под защитой. Как мы готовились к аудиту по безопасности медиаконтента

    Наверняка каждый читатель Хабра хотя бы раз в жизни мечтал прикоснуться к миру кино, стать его частью. В этом посте я расскажу о том, как консультантам из отдела информационной безопасности удалось сделать это.

    Из текста вы узнаете:

    • зачем досматривать до конца титры в конце фильма;
    • сколько аудиторских опросников нужно заполнить, чтобы быть уверенным, что кино под защитой;
    • почему аудит безопасности медиаконтента лучше не проходить в мешковатом худи.

    Источник

    В сфере консалтинга информационной безопасности типовые работы давно определены. Это защита персональных данных и коммерческой тайны, аттестация государственных информационных систем, защита информации в финансовых организациях, обеспечение безопасности критической информационной инфраструктуры, формирование стратегии развития ИБ и т. д. Тем интереснее было получить задачу нетривиальную для отечественного рынка информационной безопасности.

    Первоначально, запрос, поступивший в «ЛАНИТ-Интеграцию» от одной российской компании, содержал минимум информации и звучал следующим образом: «Добрый день! Подскажите пожалуйста, можете ли вы нам помочь: необходимо пройти аудит на соответствие нашей организации требованиям безопасности информации MPAA».

    Появилась необходимость всестороннего изучения данного вопроса. В первую очередь нужно было понять, что такое MPAA.


    Этот логотип знаком терпеливым и упорным зрителям, то есть тем, кто досматривает до конца не только фильмы, но и титры. Источник 

    Первая же ссылка в поисковой системе Google Яндекс выдала нам такой ответ: «Американская ассоциация кинокомпаний (MPAA, англ. Motion Picture Association of America, первоначально —  Motion Picture Producers and Distributors of America (MPPDA) — американская некоммерческая организация, основанная в 1922 году и объединяющая крупнейших кинопроизводителей, призванная отстаивать их бизнес-интересы». 

    Важность данной ассоциации сложно переоценить, особенно учитывая состав участников. Членами Американской киноассоциации являются семь крупнейших голливудских студий: The Walt Disney Company, Sony Pictures, Paramount Pictures, 20th Century Fox, Universal Studios, Warner Bros, Netflix.

    Из этого можно сделать простой вывод, кто является генеральным заказчиком у нашего клиента.


    Такой поворот событий вызвал наш неподдельный интерес к тому, какие требования могут выдвигать ключевые игроки мировой киноиндустрии. По мере изучения этого вопроса оказалось, что круг действующих лиц  в проекте становится заметно больше.


    Кроме Американской ассоциации кинокомпаний, требования формируются профильной Международной ассоциацией защиты контента, а сама проверка реализации требований осуществляется сетью доверенных партнеров (Trusted Partner Network – TPN), созданной совместно двумя ассоциациями. Возникает логичный вопрос, почему для обеспечения безопасности медиаконтента были задействованы такие силы.

    Кого и чего боятся киностудии


    Безусловно, всем нам известны различные файлообменные p2p-сети, на которых, например, можно скачивать или просматривать фильмы в обход требований правообладателей. Но как они там появляются? Зачастую, на таких ресурсах первыми публикуются «пиратские» видеозаписи из кинотеатров, откуда стартует коммерческая окупаемость фильма. Но еще большую опасность для производителей медиа-контента представляет утечка материала до официального проката. При таком развитии событий компании получают серьезный финансовый и репутационный ущерб, так как непритязательная аудитория в своем большинстве предпочитает не платить за продукт, а получать его бесплатно, пусть даже и в более низком качестве.

    Выявив основные причины формирования стандарта MPAA, получаем:


    Не каждый день офисным работникам удастся приобщиться к сфере кино, да еще и в рамках выполнения своей работы. 

    Итак, каков же полный список заинтересованных в обеспечении безопасности медиаконтента компаний? Немного изучив рынок, получаем следующее.


    Определились. Теперь к работе. Что из себя представляет стандарт, который так необходим нашим заказчикам? Изучив структуру, стало понятно, что стандарт MPAA структурирован достаточно привычно, все необходимые к реализации меры разбиты на три группы: менеджмент информационной безопасности, меры по физической безопасности и технические меры.

    Обзор стандарта

    Детально разобрав стандарт, для наибольшего удобства мы создали чек-лист реализации мер безопасности. Так как стандарт англоязычный, и, к сожалению, не все могут свободно читать и переводить довольно-таки непросто написанную техническую литературу, мы его заодно перевели для наших коллег и для заказчика. Посмотреть, что у нас вышло, можно здесь — таблички такого размера, мягко говоря, не очень удобно вставлять как иллюстрации в пост (берегите глаза️).

    Как мы работаем:

    • Делай раз. Обследуем с чем же придется работать.
    • Делай два. Проектируем систему ИБ и разрабатываем физические и организационные мероприятия.
    • Делай три. Закупай, внедряй, тренируй.
    • Делай четыре. Проходи аудит и помогай держать все в актуальном состоянии.

    Заказчик прислал нам опросник от аудиторов, который состоял из 36 доменов и более чем 500 вопросов, которые дали бы аудиторам ясность о текущем статусе выполнения требований стандарта. Стало понятно, что подход у аудиторов довольно серьезный. Но в то же время есть, от чего отталкиваться.

    Заполняя опросные листы, нам стало понятно, что фактически компания заботилась об информационной безопасности в объеме, недостаточном для выполнения требований стандарта. В первую очередь, необходимо было определить сам контент, который так необходимо обезопасить, а это самое интересное. Проведя информационное обследование с заказчиком, мы выяснили, что медиа-контентом для компании являются результаты отрисовки (по факту кадры из фильма), 3D-модели, а также во время дубляжа появляются скрипты переводов, фразы, реплики, из которых можно составить целый сюжет.

    Приступаем к работе


    Обследуем бизнес-процессы, получаем схему и описание бизнес-процессов. Обследуем информационные системы, сервисы и инфраструктуру, получаем инфраструктурную схему. Обследуем реализованные меры, получаем понимание степени реализации требований. По результатам формируем рекомендации. Рекомендации есть, поехали их исполнять.

    Далее готовим технический проект. Собираем спецификацию и описание системы информационной безопасности в удобной форме. Идем по перечню требований/рекомендаций, напротив каждого требования пишем пояснения. 

    1. Организационные меры реализуются не только утверждением в компании политики/приказа/регламента, но и выполнением сотрудниками всех процедур, описанных в этих самых политиках, приказах и регламентах.
    2. Технические меры реализуются как наложенными средствами защиты информации, так и встроенными механизмами безопасности. К счастью, нет требований к сертификации средств защиты ФСТЭК. Понятное дело, что все процессы, связанные с реализацией технических мер, должны быть также описаны в организационно-распорядительной документации.
    3. Физические меры безопасности реализуются как технически (контроль доступа, видеонаблюдение, пожарная безопасность и т. д.), так и организационно (регламент проноса/выноса накопителей, регламент посещения рабочего места, регламент проверки физических систем безопасности и т. д.).

    Расскажем о самых необычных требованиях стандарта. В ходе реализации мер защиты стандарта пришлось столкнуться с некоторыми забавными, а иногда и чуть завышенными требованиями, например:

    • предотвратить использование джейлбрейка, рутинга и прочего на рабочих мобильных устройствах (вряд ли кто об этом задумывался ранее в компаниях, работающих с медиаконтентом);
    • использовать псевдонимы (AKA) для клиентов в процессе обработки медиаконтента (очевидно для того, чтобы сотрудники не могли точно знать, что это за заказчик);
    • помечать каждого посетителя идентификационным значком или наклейкой, которая всегда должна быть видна (знаем всех посетителей — меньше переживаем за наш контент);
    • приносить еду только в прозрачных контейнерах и пакетах (для того, чтобы не допустить нелегитимный пронос/вынос устройств для сбора информации);
    • реализовать политику дресс-кода таким образом, чтобы исключить мешковатые штаны и толстовки с капюшоном (также для того, чтобы не допустить пронос/вынос конфиденциальной информации).

    Срок действия документации


    Многие заказчики, к сожалению, считают, что разрабатываемая документация действует только при прохождении аудита, а дальше будь что будет. Самым простым (выгодным, if you know what i mean) решением было взять всё в свои руки и помочь клиенту держать все в актуальном состоянии. 


    Аудит был похож на экспертизы, которые мы привыкли видеть в России (чаще всего это ISO 27001), но, на всякий случай, по порядку.

    Сначала оформляется заявка в TPN на аудит. Далее присылаются опросники, о которых мы говорили ранее. После того, как их заполнили и отправили (само собой предварительно реализовав все требования), TPN определяет аудитора (нам достался Алекс из Лондона). Первое, что он сделал, — это запросил перечень разработанной документации на английском (однако стандарт не требует разработку документов на английском языке). Как оказалось, план был такой: специалист по составу и названиям поймет, насколько это соответствует лучшим практикам, а уже при очной ставке расспросит, что в них написано. Так как проверка документов была основана, по сути, на нашем красноречии, Алекс сделал большой упор на техническую сторону вопроса: были проверены все настройки сетевого оборудования, продемонстрирован ход работы каждого бизнес-процесса, проверен харденинг выборочных машин из каждого сегмента сети, была даже проверена история браузеров на ПК, у которых нет доступа в интернет. Также много внимания было уделено вопросу видеонаблюдения, пропускного режима и пр.

    На обеде аудитор расслабился и рассказал, что аудитор – не основная его профессия, он руководит такой же компанией, работающей с медиа-контентом. Аудит – это хобби и некоторый дополнительный доход (конечно же Алекс прошел все требуемые экзамены для получения данного статуса).

    В отличие от того же ISO 27001, где наличие сертификата позволяет декларировать соответствие требованиям стандарта (ни в коем случае не полную защищенность), в MPAA/TPN результаты аудита фиксируются на портале TPN, и на нем же будет указано, каким именно образом реализовано то или иное требование, чтобы будущий контрагент мог лично определиться, достаточен ли набор мер для работы с ними или стоит призадуматься.

    В целом, это была привычная работа подготовки к аудиту. Но мы получили массу удовольствия, разбираясь в такой, как оказалось, интересной индустрии — производство и распространение медиаконтента. Теперь мы уверены, что у заказчика всё под контролем и никто (кроме человека в худи и с непрозрачным контейнером) не сможет увидеть киноновинку раньше времени. 

    Буду рад ответить на вопросы в комментариях.

    ГК ЛАНИТ
    Ведущая многопрофильная группа ИТ-компаний в РФ

    Комментарии 16

      +6
      Из текста вы узнаете:
      зачем досматривать до конца титры в конце фильма;

      И зачем же? Вот я пришел в кинотеатр, и зачем мне смотреть титры до конца? Дождаться, пока все выйдут, чтобы не лезть в толпе?
        +11
        А как же сцена после титров?!
          0
          И зачем же? Вот я пришел в кинотеатр, и зачем мне смотреть титры до конца?
          — чтобы разглядеть лого MPAA, потому что «этот логотип знаком терпеливым и упорным зрителям, то есть тем, кто досматривает до конца не только фильмы, но и титры».
          Дождаться, пока все выйдут, чтобы не лезть в толпе?
          — а это во-вторых:)
            +2
            чтобы разглядеть лого MPAA, потому что «этот логотип знаком терпеливым и упорным зрителям
            скорее «упоротым»

            досмотреть до конца, чтобы увидеть логотип, знакомый тем, кто досматривает до конца… рекурсия, однако. И как попасть в это замкнутое кольцо? А главное — зачем?

            А насчет «сцены после титров» — я на такие фильмы не хожу. Последнее, что смотрел в кинотеатре, это «28 панфиловцев».
              0
              А главное — зачем?
              — возможно, чтобы посмеяться над шутливой фразой автора, которая разбавляет текст о консалтинге:)
            +3
            Вот я пришел в кинотеатр, и зачем мне смотреть титры до конца?

            Скорее уж дома. В кинотеатре на титрах включают свет и всё равно ничего не видно.

              +2

              кино это огромная работа, когда сам стал работать в кино начал досматривать титры до конца не только из интереса, но и из уважения к команде которая сделала фильм. если понравился конечно

              +2
              А вот интересно — допустим компания делала все по стандартам, честно прошла аудит.
              И тут утечка. Причем не единичная.
              Последствия для компании?
              Последствия если потом это повторится еще несколько раз с разными, не связанными компаниями и станет ясно что этот вектор утечки быстро — не закрыть (и не очень понятно как его вообще закрыть можно).
                +1
                Последствия определяются условиями договора между Заказчиком и Исполнителем (в нашем случае это аудируемая компания). Каждый раз это могут быть совершенно разные условия.
                Стандарт в этом плане предусматривает только лишь достаточно широкий перечень мер по защите медиаконтента, на то он и стандарт, а не нормативно-правовой документ.

                Если же утечки будут связаны с недоработкой стандарта (что очень вряд ли), я думаю авторы достаточно быстро смогут его доработать:)
                0

                А от утечки каких носителей информации защищают прозрачные контейнеры для еды и не мешковатая одежда? Флешку точно можно в котлете или под ремнём брюк пронести.

                  0
                  Это могут быть любые носители — usb флешки, ssd/hdd накопители, cd/dvd/bd и прочие.

                  Понятно, что всегда можно смоделировать такие ситуации, при которых может возникнуть утечка, но есть и дополнительные меры безопасности, описанные в стандарте, которые призваны минимизировать риски таких утечек — это и пропускной режим, и контроль посетителей, и определенные кадровые мероприятия для внутренних сотрудников.
                  +2

                  Почему, когда мне говорят о безопасности медиаконтента, в голову приходит реклама 1Х бэт?

                    0
                    Вероятно, вас окружает слишком много «пиратства»:)
                    0
                    А как насчет ссылок на первоисточники и организации?

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое