Обновление запроса предложений консультантов по разработке концепции управления рисками DNS – ответы на поступившие вопросы

16 июля ICANN опубликовала запрос предложений консультантов с целью оказания помощи ICANN в разработке концепции управления рисками DNS. В объявлении было указано, что вопросы относительно этого запроса предложений можно направлять в период 1–16 августа 2012 года до 23:59 UTC. Период отправки вопросов по данному RFP закрыт. В этом обновлении ICANN представляет полученные вопросы и ответы на них с целью информирования всех сторон, заинтересованных в представлении своих предложений.

Крайний срок подачи ответов на запрос – 31 августа 2012 г., 23:59 UTC. Предложения следует присылать по адресу drmf-rfi@icann.org на имя Патрика Джонса (Patrick Jones) из отдела безопасности ICANN.

Вопросы

Представление предложения

1. Принимаете ли вы предложения от консорциумов (две консалтинговые фирмы) или только от отдельных консультантов?

   Ответ – предложения принимаются в том числе и от консорциумов. Предложение должно содержать описание того, как будут взаимодействовать партнеры в консорциуме между собой и с ICANN.

Сроки

2. Каков предполагаемый срок реализации проекта с учетом проведенных встреч ICANN, а также необходимых периодов внутреннего и общественного обсуждения?

   Ответ – в идеальном варианте ICANN предложит консультанту начать работу над проектом в конце сентября и участвовать в открытом совещании сообщества на октябрьской конференции ICANN в Торонто (Онтарио). Конкретные сроки представления результатов работы будут установлены после выбора консультанта, но рабочая группа на уровне Правления предполагает, что проект концепции управления рисками DNS будет представлен для обсуждения в начале декабря 2012 г., а после соответствующего общественного обсуждения будет передан на рассмотрение Правления ICANN на конференции в Пекине (Китай), которая пройдет в апреле 2013 года.

3. Какова предполагаемая продолжительность плана перехода к запуску проекта в плане доступности персонала ICANN?

   Ответ – персонал ICANN будет доступен и будет оказывать помощь консультанту на всем протяжении реализации проекта. Это должно свести любые задержки в период между запуском проекта и этапом его реализации к управлению операционными рисками в ICANN.

4. Какова предполагаемая дата начала исполнения работ по запросу предложений?

   Ответ – консультант должен быть готов начать работу сразу после завершения процесса оформления договора. В идеале эта работа должна начаться в конце сентября, чтобы обеспечить достаточный срок до начала конференции ICANN в Торонто. Рабочая группа на уровне Правления проведет открытое заседание сообщества на конференции ICANN в четверг 18 октября; предполагается, что консультант примет участие в этом заседании с целью установления взаимодействия с сообществом.

5. Когда ICANN объявит свое решение относительно победителя конкурса?

   Ответ – ICANN намеревается объявить о своем решении как можно скорее, исходя из качества полученных предложений и проведения внутренней процедуры отбора. ICANN планирует принять это решение в начале сентября.

Штат поддержки

6. Какова предполагаемая численность группы сотрудников ICANN, которая будет реализовывать методики, а также каково ее географическое расположение и состав выделенного персонала?

   Ответ – реализацию концепции управления рисками DNS возглавит отдел безопасности ICANN, но в рабочую группу будут также входить специалисты из других отделов, включая юридический отдел, отдел эксплуатации DNS, ИТ, финансовую службу, IANA и пр. Персонал ICANN находится в разных странах мира, однако отдел безопасности в настоящее время работает на восточном и западном побережьях США.

7. Каков состав сотрудников ICANN, выделенных для проведения мероприятий по управлению рисками (количество специалистов, иерархия и пр.)?

   Ответ – отдел безопасности ICANN обеспечивает кадровую поддержку для комитета Правления по рискам и рабочей группы на уровне Правления по концепции управления рисками DNS. Сотрудники юридической службы ICANN оказывают поддержку как Правлению, так и исполнительной группе со стороны главного юрисконсульта ICANN. Исполнительная группа отслеживает мероприятия по управлению рисками, конкретные сотрудники в отделах отслеживают риски на местах.

8. Каковы обязательства ПРД в отношении готовности ICANN оказывать поддержку в реализации проекта?

   Ответ – сотрудники группы безопасности ICANN обеспечат кадровую поддержку для взаимодействия с консультантом в рамках данного проекта.

Подготовка материалов

9. В RFP указано, что консультант должен представить отчет рабочей группе Правления по концепции управления рисками DNS и сообществу ICANN. Будут ли представленные консультантом результаты работы опубликованы полностью как документы общего пользования для сообщества или ICANN либо консультант подготовит для открытой публикации сводные данные?

   Ответ – консультант должен исходить из предположения, что представленные результаты работы по этому проекту будут полностью доведены до сообщества в виде документов общего пользования. Кроме того, консультант должен представить пояснительные записки (если необходимо) для разъяснения сообществу аспектов разработанной концепции управления рисками.

Перечень задач для концепции управления рисками DNS

10. Задача 2 – Концепция управления рисками – принимала ли ICANN ранее какую-либо концепцию управления рисками? Какова эта концепция?

    Ответ – да, в ICANN имеется внутренняя концепция управления рисками предприятия.

11. Задача 2 – Концепция управления рисками – существуют ли какие-то концепции, которые ICANN рассматривает на предмет применения в своей организации?

    Ответ – ICANN готова рассмотреть практические аспекты и подходы к реализации управления рисками DNS.

12. Задача 2 – Концепция управления рисками – существует ли в ICANN концепция управления рисками предприятия (ERM), с которой необходимо согласовать концепцию управления рисками безопасности?

    Ответ – в ICANN имеется внутренняя концепция управления рисками предприятия. ICANN готова рассмотреть практические аспекты и подходы к реализации управления рисками DNS.

13. Задача 2 – Концепция управления рисками – будет ли ICANN рассматривать варианты построения своей концепции управления рисками на базе передового опыта и принятых в международной практике концепций безопасности, таких как Risk IT и COBIT5?

    Ответ – COBIT – это по большей части концепция управления процессами информационных технологий. Консультант должен учесть, что основной акцент в концепции управления рисками должен быть не на информационных технологиях, а на рисках DNS для ICANN как организации. COBIT5 и Risk IT могут служить примерами, но их не следует использовать в качестве единственной основы для предлагаемой консультантом концепции.

14. Задача 2 – Концепция управления рисками – список представляемых результатов работы не содержит четкого требования относительно управления рисками (например, готовность идти на риск и рискоустойчивость, обязанности и отчетность по управлению рисками в сфере ИТ, информированность и коммуникации, культура рисков). Все перечисленное также должно быть представлено в результатах работы?

    Ответ – рекомендации консультанта относительно механизмов четкого формулирования требований к управлению рисками будут приветствоваться в контексте рисков DNS.

15. Задача 3 – Достижение консенсуса – как долго продлится цикл общественного обсуждения?

    Процедура общественного обсуждения ICANN описана по адресу http://www.icann.org/en/news/public-comment. Общая продолжительность цикла общественного обсуждения зависит от поступающих комментариев на этапе первоначального обсуждения, для которых потребуется период подготовки ответов. Рабочая группа предполагает, что общественное обсуждение пройдет в начале 2013 года, хотя этот срок может измениться в результате возникновения различных факторов.

16. Задача 3 – Достижение консенсуса – будет ли рабочая группа проводить анализ и комментировать концепцию до того, как выносить ее на общественное обсуждение? Предусмотрена ли возможность внесения поправок в концепцию до ее передачи на общественное обсуждение в зависимости от откликов рабочей группы?

    Ответ – да

17. Задача 3 – Достижение консенсуса – какие критерии будет использовать рабочая группа для определения достижения консенсуса?

    Ответ – рабочая группа хочет получить концепцию управления рисками DNS, приемлемую для реализации, принятую сообществом и отвечающую требованиям, изложенным в условиях конкурса.

18. Задача 3 – Достижение консенсуса – в запросе предложений указано, что консультант будет «помогать персоналу и рабочей группе в достижении консенсуса в отношении концепции управления рисками в рамках ICANN (организации и сообщества)». Будет ли консультант взаимодействовать с сообществом непосредственно или же через персонал ICANN?

    Ответ – рабочая группа на уровне Правления считает, что консультант начал свою работу с участия в открытом заседании рабочей группы на конференции ICANN в Торонто 18 октября 2012 г. На этом заседании у заинтересованных сторон сообщества будет возможность задать вопросы, а у консультанта – организовать взаимодействие с присутствующими на заседании. Ожидается также, что консультант будет непосредственно взаимодействовать со специалистами сообщества при разработке концепции управления рисками.

19. Задача 4 – Цикл управления рисками – в запросе предложений указано, что задача 4 является частью «потенциального этапа II». Какие факторы определяют наступление «этапа II»?

    Правление и высшее руководство ICANN определят следующие шаги процесса после завершения этапа 1 создания концепции управления рисками DNS, включая определение сроков и необходимости этапа II в соответствии с описанием в запросе предложений. Ответ на запрос предложений может включать описание того, какими консультант видит результаты работы по итогам этапа II.

20. Задача 4 – Цикл управления рисками – должно ли предложение включать оценки мероприятий для потенциального этапа II?

    Ответ – да, хотя это может быть представлено в общих чертах; детализация шагов на этапе II не требуется для этапа I, однако это может помочь ICANN в понимании принципов, которые консультант предлагает использовать.

21. Задача 4 – Цикл управления рисками – какие инструменты использует ICANN сегодня для выявления, документирования, управления и контроля рисков?

    Ответ – ICANN отслеживает риски в отделах и регулярно распространяет информацию относительно рисков в ключевых программах через соответствующий комитет Правления, например, через комитет по рискам, финансовый комитет Правления, комитет Правления по вопросам IANA и пр. Для программы новых рДВУ предусмотрен собственный механизм уведомления о рисках через комитет Правления по программе новых рДВУ.

22. Задача 4 – использует ли ICANN какие-либо решения в сфере стратегии и тактики управления рисками и соответствия требованиям (GRC)?

    Ответ – отдел соблюдения договорных обязательств ICANN в настоящее время разрабатывает инструменты управления рисками в сфере соблюдения договорных обязательств. ICANN готова рассмотреть предложения по технологическим решениям, которые помогут в реализации концепции управления рисками DNS после ее представления консультантом.

23. Задача 4 – Концепция управления рисками – использует ли ICANN выявленные ранее и задокументированные риски в своей организации? Проводятся ли другие мероприятия по управлению рисками в организации? В чем они заключаются?

    Ответ – ICANN проводит регулярные заседания комитета Правления по рискам и использует ранее выявленные и документированные риски в организации.

24. Задача 4 – Концепция управления рисками – намерена ли ICANN включить в представляемые результаты базовую библиотеку процессов, рисков и контроля для ключевых рисков в сфере безопасности?

    Ответ – основные задачи по этому контракту описаны в запросе предложений. Дополнительная информация должна быть связана с концепцией управления рисками DNS для организации.

25. Задача 4 – Концепция управления рисками – потребуются ли ICANN при рассмотрении плана управления рисками (стратегия реагирования на риски) образцы тестовых процедур для проверки эффективности плана управления рисками в дополнение к процедурам мониторинга основных показателей?

    Ответ – да, их можно включить, если они служат для обоснования концепции.

26. Задача 4 – Концепция управления рисками – потребуется ли ICANN помощь в проектировании и разработке отчетов мониторинга и управления?

    Ответ – проектирование и разработка отчетов мониторинга и управления будет относиться к реализации и исполнению первичного цикла концепции как часть этапа II. Эти предложения можно включить в запрос предложений, однако на данном этапе они не являются обязательными.

Комментарии общего характера

27. Каковы основные критерии отбора, используемые ICANN для определения победителя по данному запросу предложений?

    Ответ – ICANN будет оценивать полученные ответы для определения консультанта, который способен применить методики управления рисками к уникальным аспектам системы доменных имен, включая ее международный характер и участие различных заинтересованных сторон. ICANN требуется консультант, который способен представить качественный продукт в относительно сжатые сроки; этот продукт будет подвергнут тщательному анализу и изучению со стороны сообщества.