Черныш Л.Г., Сягровец К.В.
Национальный авиационный университет(НАУ)Украины
СПЕЦИАЛИЗИРОВАННЫЕ МЕЖДУНАРОДНЫЕ ОРГАНИЗАЦИИ И
ОБЪЕДИНЕНИЯ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основными задачами организационно-управленческой
деятельности (менеджмента) в сфере информационной безопасности являются:
обеспечение комплексности всех решений, реализуемых в процессе обеспечения
информационной безопасности; обеспечение непрерывности и целостности процессов
информационной безопасности; решение методических задач, лежащих в основе
эффективного управления информационной безопасностью, таких, как вопросы
управления рисками, экономическое моделирование и т.п.; управление
человеческими ресурсами и поведением персонала с учетом необходимости решения
задач информационной безопасности. В связи с этим, в мире функционирует целый
ряд организаций, направленных на регулирование деятельности в области
информационной безопасности.
Основной целью является поиск и анализ особенностей
деятельности специализированных международных организаций и объединений в сфере
информационной безопасности.
Специализированные организации, имеющие глобальное
влияние на управление информационной безопасностью на различных уровнях и общее
состояние информационной безопасности, как правило, могут функционировать на
базе:
- частных
компаний, занимающихся исследованиями, разработками и консультированием в сфере
информационной безопасности;
- крупных
учебных заведений, специализирующихся на информационных технологиях, а также
обладающих существенным авторитетом и финансовыми ресурсами;
- правительственных
учреждений, ответственных за обеспечение информационной безопасности в
определенных сферах.
Основным направлением организационной работы,
осуществляемой в такой форме, становится формирование и поддержание баз данных,
содержащих информацию о ставших известными уязвимостях различных программных и
аппаратных средств, а также другие формы и направления информационной,
консультативной и методической работы в данной сфере. Важными факторами
успешности функционирования таких организаций является объединение информации
из как можно большего числа источников (в частности, от как можно большего
числа специалистов и компаний, занимающихся проблемами информационной
безопасности) и как можно более эффективное распространение сведений (знаний) в
сообществе пользователей информационных систем.
Ввиду того, что такая форма организационной работы
основана на частных компаниях и относительно небольших учреждениях, подходы к
организации и управлению обычно не подчиняются каким-либо общим правилам. Также
состав таких организаций может со временем меняться: на смену одним
исследовательским центрам могут приходить другие – более успешные и эффективные
– с теми же функциями. В настоящее время можно выделить следующие наиболее
значимые организации, занимающие эту нишу:
-
CERT Coordination Center
– Координационный центр CERT;
- Исследовательская
группа X-Force компании IBM.
CERT/CC, возникшая в 1988 году как Computer security
incident response team (Группа реагирования на инциденты, связанные с
компьютерной безопасностью) [1], функционирует на базе Института разработки
программного обеспечения при Университете Карнеги-Мелон (Software Engineering
Institute, Carnegie Mellon University) и финансируется Министерством обороны и
Министерством национальной безопасности США. Наряду с проведением независимых
исследований и решением различных задач по обеспечению безопасности глобальной
информационной инфраструктуры, эта организация обеспечивает централизованный
сбор сведений обо всех уязвимостях в различных информационных системах и
поддержание актуальной базы знаний об уязвимостях в информационных системах.
Сведения о вновь выявляемых уязвимостях, вредоносных программах и способах
нарушения информационной безопасности рассылаются по электронной почте:
подписчиками этого бюллетеня являются более 161000 специалистов во всем мире.
В рамках этой деятельности CERT/CC осуществляет
постоянную исследовательскую работу:
- определение
характера возможных последствий использования выявленных уязвимостей и вирусов;
- анализ
имеющихся средств использования уязвимостей;
- анализ того,
насколько активно используются уязвимости и насколько широко распространены
вирусы;
- взаимодействие
с поставщиками информационных систем с целью более глубокого анализа выявляемых
уязвимостей.
На основе проводимого анализа CERT/CC разрабатывает
меры по устранению уязвимостей и рекомендации по уменьшению негативных
последствий. По результатам этой работы всем подписчикам рассылается информация
об угрозах информационной безопасности и возможных способах их устранения.
Также на основе этих данных формируется специальная справочная и техническая
документация, проводится дальнейшая исследовательская и методическая работа. В
частности, CERT/CC поддерживает программу безопасной разработки ПО
("secure coding"), основывающуюся на том, что большая часть
уязвимостей возникает в следствие относительно небольшого числа ошибок в
программном коде информационных систем. Таким образом, CERT/CC на основе накопленных
результатов анализа уязвимостей ведет целенаправленную работу по выявлению
типичных программных ошибок, выработке стандартов безопасного программирования
и распространению этой информации среди разработчиков ПО.
Помимо основной информационной работы с уязвимостями
CERT также занимается сопутствующими видами деятельности:
- организация
учебных курсов по различным направлениям (сетевая безопасность, управление
информационными рисками, организация работы групп реагирования);
- сертификация
специалистов по реагированию на инциденты в сфере информационной безопасности;
- поддержка
фундаментальных научных исследований в различных областях информационной
безопасности, таких как методы разработки безопасных приложений, выявление
уязвимостей, анализ шпионского ПО, решение вопросов безопасности как составная
часть процесса разработки и т.п.;
- содействие
развитию локальных (национальных и корпоративных) групп реагирования на
инциденты.
Деятельность этой группы является одним из направлений
бизнеса компании Internet Security Systems (ISS) – наиболее авторитетного
поставщика комплексных решений в сфере информационной безопасности, клиентами
которого являются все без исключения крупнейшие компании США, а также
правительственные организации. В конце 2006 года ISS была куплена компанией IBM
и интегрирована в нее в качестве самостоятельного подразделения. Одной из задач
группы X-Force [2] является поддержание в актуальном состоянии базы данных
известных уязвимостей различных программных и аппаратных платформ. База данных,
поддерживаемая этой группой, доступна по сети Интернет и постоянно пополняется
сведениями о новых уязвимостях (в настоящее время их насчитывается более
40000). Основные причины, по которым данная организация является ведущей в этой
области, следующие:
- большое
количество крупных компаний-клиентов, от которых постоянно поступает информация
о нападениях, уязвимостях и т.п.;
- наличие
собственной научно-исследовательской базы, на основе которой постоянно
осуществляется выявление новых уязвимостей и обобщение сведений об уязвимостях,
полученных из различных источников;
- использование
специально разработанных универсальных классификаций (в частности, общего
словаря наименований уязвимостей – Common Vulnerabilities and Exposures, CVE)
для хранения и обработки информации в базах данных известных уязвимостей.
Также одним из направлений справочно-информационной
деятельности этой исследовательской группы является оказание услуг по
индивидуальному анализу угроз и информированию (X-Force Threat Analysis Service
(XFTAS)). Данный комплекс услуг позволяет заказчикам ежедневно получать
адаптированную актуальную информацию об угрозах и уязвимостях с учетом
особенностей построения их информационных систем.
Совместные альянсы (ассоциации, коалиции, группы)
крупных (иногда средних) технологических и консультационно-исследовательских
компаний представляют собой временные (заключаемые на краткосрочную или
среднесрочную перспективу) или долгосрочные соглашения между несколькими
фирмами, направленные на совместное, скоординированное, целенаправленное
решение определенных масштабных и ресурсоемких задач развития технологии,
формирования рыночного спроса на определенные продукты и организации
инфраструктуры информационной безопасности. Высокая значимость такой формы
организационной работы в сфере информационной безопасности, как формирование
альянсов крупными и средними компаниями, специализирующимися на информационных
технологиях, обусловлена тем, что:
- такие
альянсы способны осуществить наиболее крупные инвестиции в разработку новых
технологий и проведение исследований, которые могут повлиять на все развитие
информационных технологий и состояние дел в сфере информационной безопасности;
- компании,
входящие в такие альянсы, занимают значительную долю рынка и потому определяют
общее направление развития информационных технологий вообще и средств защиты
информации в частности;
- такие
альянсы компаний способны создать комплексные технологии, продукты и решения,
охватывающие различные аспекты функционирования информационных систем и средств
защиты информации, и таким образом достичь нового уровня защищенности
информации, что практически невозможно при работе компаний (даже самых крупных)
по отдельности.
Как правило, каждый такой альянс является уникальным,
и участники в каждом конкретном случае определяют условия работы в рамках такой
организационной формы. На конкретный подход к организации альянса могут
повлиять такие факторы, как:
- характер
целей и задач, которые ставятся перед альянсом;
- текущее
состояние дел в той области, для работы в которой создается альянс;
- состав
участников альянса, их роль и место на рынке информационных технологий;
- наличие
возможных конкурентов (например, аналогичных альянсов параллельно создаваемых
другими группами компаний);
- ранее
сложившиеся взаимоотношения между компаниями – участниками альянса
- и другие.
Задачами формирования альянсов могут быть:
- разработка
новых продуктов и услуг, а также базовых технологий, протоколов, алгоритмов и
соглашений, на основе которых такие продукты и услуги в будущем могли бы
разрабатываться;
- формирование
новых рынков сбыта и поддержка существующих;
- влияние на
государственные и общественные организации, а также на сообщество пользователей
информационных систем с целью обеспечения развития и более широкого
использования информационных технологий и средств информационной безопасности;
- влияние на
систему профессиональной подготовки специалистов с целью обеспечения качества
их обучения.
Основными типичными приемами организационной работы на
таком уровне являются:
- скоординированный
выбор и унификация технических решений (аппаратных устройств, программных
алгоритмов), используемых в системах передачи и обработки информации и/или
системах защиты информации;
- информационная
поддержка как производителей информационных систем и поставщиков решений
(входящих в альянс и не входящих в него), так и потребителей и пользователей
(потенциальных и настоящих);
- скоординированное
разделение функций по разработке отдельных элементов информационной технологии
в рамках общей согласованной стратегии развития;
- скоординированная
маркетинговая и информационная политика, направленная на обеспечение
использования (поддержки, совместимости) создаваемых решений (технологий,
протоколов и т.п.) как можно большим числом потребителей и независимых
производителей, а также ее признание правительственными структурами;
- совместное
влияние на органы государственной власти (лоббирование) с целью обеспечения
государственной поддержки определенных продуктов, проектов, технологий и
архитектур информационных систем и систем защиты информации.
SCA [3] занимается вопросами развития технологии
смарт-карт – одной из ключевых технологий в сфере информационной безопасности,
используемой для идентификации пользователей различных сервисов и
информационных систем (таких как мобильные телефонные сети, банковские
"электронные кошельки" и т.п.). Этот долгосрочный (стратегический)
альянс был образован в начале 2001 года путем слияния двух организаций: Smart
Card Industry Association и Smart Card Forum. В состав альянса входят около
сотни различных компаний и правительственных организаций. При этом в составе
участников альянса выделяются несколько групп:
- Руководящий
Совет (Leadership Council) – ведущие компании, определяющие основную политику
Альянса: Visa USA, Bank of America, IBM, Lockheed Martin, Intel, Mastercard
International и некоторые другие (всего более двадцати компаний);
- основная
группа членов Альянса – различные фирмы, так или иначе связанные с вопросами
информационной безопасности, поставкой соответствующих продуктов и услуг (такие
как Texas Instruments Incorporated, Sun Microsystems и другие) – всего около 70
компаний;
- члены –
правительственные организации. В эту группу входят как федеральные
правительственные учреждения США (Государственный департамент, Министерство
национальной безопасности и другие), так и местные органы власти (Портовая
администрация Нью-Йорка, Транспортная администрация Вашингтона и другие) –
всего около 30 членов.
Также в состав Альянса входит один университет и
несколько ассоциированных членов. Работу альянса возглавляют Совет директоров
во главе с председателем и Исполнительный директор. Деятельность альянса
разделена на членские советы (Member Council) по отдельным сферам интересов:
- совет по
бесконтактным и мобильным платежам;
- совет по
здравоохранению (специализируется на вопросах использования смарт-карт в сфере
здравоохранения);
- совет по
идентификации;
- совет по
системам контроля за физическим допуском;
- совет по
транспорту (специализируется на вопросах продвижения и адаптации смарт-карт в
транспортной сфере).
Каждый совет управляется председателем,
вице-председателями и управляющим комитетом. Направления работы Альянса включают
в себя:
- организацию
специализированных ежегодных конференций;
- организацию
образовательных программ и системы сертификации специалистов;
- издание
различных информационных и справочных материалов как технического, так и
управленческого характера;
- ведение
централизованной базы данных поставщиков оборудования и услуг в сфере
смарт-карт.
ISA был создан в апреле 2001 года по инициативе двух
крупных авторитетных организаций [4]: CERT/CC Университета Карнеги-Меллон и
Ассоциации электронной промышленности (Electronic Industries Alliance, EIA).
Уже к середине 2004 года в альянс входило около тридцати членов, в числе
которых такие крупные компании, как Boeing, NEC, Mitsubishi, Federal Express,
AIG, Sony, Symantec и другие. Работой Альянса руководит Совет директоров, в
который входят авторитетные представители наиболее известных компаний-членов.
Кроме того, в состав альянса входят около тридцати ассоциированных членов. На
первоначальном этапе создания альянса его основной задачей было повышение
эффективности обмена информацией об уязвимостях, распространяемой CERT/CC. В
дальнейшем круг задач альянса расширялся, и теперь работа ведется по следующим
направлениям:
- создание
эффективных механизмов обмена информацией об уязвимостях в сети Интернет и
найденных решениях проблем безопасности;
- исследование
фундаментальных проблем безопасности;
- развитие
программ профессиональной подготовки и сертификации специалистов по
информационной безопасности;
- взаимодействие
и государственными органами законодательной и исполнительной власти.
Ассоциация была создана в 1998 году с целью
коллективной поддержки интересов компаний, связанных с производством
биометрического оборудования [5]. Основной задачей альянса является
взаимодействие с потенциальными заказчиками их продукции (как среди
коммерческих компаний, так и в общественном секторе) с целью продвижения
средств биометрической идентификации. Членами ассоциации являются около 30
компаний и организаций, среди которых Hitachi, LG Electronics, Panasonic, NEC и
другие.
Управление текущими делами осуществляет Совет
директоров в составе одиннадцати человек, а также исполнительный директор.
Деятельность Ассоциации разделена на шесть рабочих групп, среди которых:
- рабочая
группа по стандартам и технологиям. Ее основная цель – защищать базовые
интересы членов альянса в сфере стандартизации биометрических технологий и
систем, использующих биометрию;
- рабочая
группа по потребительским приложениям. Занимается ориентацией рынка
потребительских систем на более широкое использование биометрических
технологий;
- рабочая
группа по международным рынкам. Осуществляет контакты с другими биометрическими
организациями по всему миру;
- рабочая
группа по образованию, маркетингу и информированию. Обеспечивает информационное
присутствие компаний-членов ассоциации в различных областях через реализацию
маркетинговых мероприятий и образовательных программ;
- рабочая
группа по глобальной политике. Проводит информационную работу с представителями
правительственных структур по всему миру.
Заключение. Таким образом, в этом докладе рассматриваются основные
международные организации (отдельные организации и альянсы крупных компаний) в
сфере информационной безопасности, проводится анализ их структурных и
функциональных особенностей.
Литература:
1. http://www.cert.org/certcc.html
2. http://securityintelligence.com/x-force/#
3. http://www.smartcardalliance.org
4. http://www.isalliance.org/
5.
http://www.ibia.org/