Блоги ICANN

Читайте блоги ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

Видение директора службы инноваций и информации — том 3

1 июля 2015
Автор Ashwin Rangan

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

Несколько недель назад я опубликовал запись в блоге, посвященную тому, как ICANN управляет своими ИТ-активами и цифровыми службами в свете угроз в области кибербезопасности Я также написал тогда, что мы привлекли к сотрудничеству всемирно признанную независимую компанию, которая проведет ежегодную проверку того, как в ICANN организовано управление безопасностью, и я обещал время от времени сообщать в блоге о том, как продвигается эта работа.

В Буэнос-Айресе многие из вас, членов нашего сообщества, встречались со мной и моими коллегами из ICANN. В ходе таких встреч было высказано много предложений, однако постоянно четко звучала одна базовая тема: вы хотите, чтобы ICANN добилась прогресса в уменьшении рисков кибербезопасности и стала более отказоустойчивой в операционных и технических аспектах.

Что касается кибербезопасности, стандартным подходом в оценке киберугроз является использование какой-либо специализированной концепции. Существует множество таких концепций, которые, как правило, добровольно принимаются и используются не в качестве некоего единственного универсального решения на все случаи жизни, а скорее, в качестве своего рода руководства, которое конкретная организация оптимизирует в соответствии со своими потребностями, сложившейся ситуацией и существующими рисками. Однако после такой пользовательской оптимизации организации могут почерпнуть из таких концепций практические методики и конкретные рекомендации, способствующие достижению положительных результатов. И наконец, многие из таких концепций позволяют выражать результаты оценки в виде каких-то индексов или баллов, определяя тем самым результаты, к достижению которых может стремиться организация.

Это один взгляд на концепцию оценки безопасности. С другой стороны, такую концепцию можно сравнить с многослойным окном из множества стекол. В ней используются существующие стандарты, рекомендации и практические методики, позволяющие видеть все отдельные компоненты, составляющие базу активов организации. Такое многообразие методик и практик позволяет организациям быстро создавать комплексные представления всей базы своих активов для выработки единой целостной картины киберугроз, с которыми сталкивается организация. Кроме того, это позволяет организациям использовать отдельные компоненты концепции для более глубокого анализа с применением набора инструментов и методик, в наибольшей мере отвечающих специфике и потребностям конкретной организации. В результате использование таких концепций часто приводит организации к пониманию наиболее важных операций, от которых зависит осуществление основной деятельности предприятия и достижение намеченных результатов. Такие сведения можно использовать в качестве информационной основы для принятия решений о наиболее целесообразном вложении средств с точки зрения максимальной эффективности таких инвестиций. И наконец, использование таких концепций позволяет организациям информировать внутренние и внешние заинтересованные стороны о состоянии дел в сфере кибербезопасности и оценке рисков с использованием некоего понятного всем стандартного языка.

Подход ICANN

В 2014 году ICANN приняла концепцию проверки безопасности Critical Security Controls, разработанную организацией SANS Institute для целей обеспечения кибербезопасности. Вслед за принятием этой концепции ICANN прибегла к услугам компании Leidos, обладающей признанной репутацией в области проверок кибербезопасности. Компания Leidos провела базовую оценку положения дел в области кибербезопасности в ICANN.

Согласно отчету, предоставленному компанией Leidos руководству ICANN, в начале нашей работы корпорация находилась на уровне, стандартном для типичных бизнес-организаций. Мы были рады узнать, что ICANN не отстает от других, однако ни в коем случае нельзя сказать, что мы были довольны. Как я уже писал когда-то в блоге, в одной из своих ролей ICANN выступает в качестве своего рода хранилища информации, без которого невозможна работа Интернета. В такой роли мы должны обеспечивать показатели на уровне лидеров в этой сфере, например, на уровне финансовых учреждений с безупречной репутацией.

Благодаря своевременной поддержке со стороны Правления в том, что касалось выделения ресурсов и определенных уступок в назначении приоритетов, ИТ-специалисты ICANN приступили к тщательной доработке систем безопасности в областях, требующих дополнительного внимания. В результате этого за последние 18 месяцев многие аспекты кибербезопасности в ICANN были рассмотрены под микроскопом, а усилия по усовершенствованию защиты или исправлению недостатков направлялись в те области, которые требовали наибольшего внимания. Мы добились ощутимого прогресса во множестве различных областей, таких как прикладное программное обеспечение, обучение, контроль доступа и испытания на проникновение.

Как и было запланировано, в мае-июне этого года компания Leidos провела ежегодную проверку, и недавно мы получили отчет по итогам этой проверки, которым я рад с вами поделиться.

Основные моменты отчета о проверке Leidos за 2015 год

Я рад сообщить, что примерно в половине из 20 факторов, по которым проводились измерения безопасности, показатели ICANN находятся в ЗЕЛЕНОЙ области. Что немаловажно, показатели ICANN не попали в красную область ни в одной из категорий. По словам специалистов Leidos, «за прошлый год ICANN кардинально улучшила качество своей работы по обеспечению кибербезопасности, что отражает намерения руководства корпорации устранить существующие недостатки в сфере безопасности и добиться лидирующего положения в этой области». Заглядывая вперед, они ожидают, что по завершении текущей дорожной карты в следующем году показатели ICANN будут на одном уровне с показателями организаций мирового класса.

В условиях постоянно изменяющейся картины угроз достижение совершенства в области кибербезопасности требует не разовых усилий, а постоянной непрекращающейся работы. И мы намерены идти этим путем. Мы уже сделали шаги в правильном направлении, располагаем четкой дорожной картой и движемся к цели.

Как всегда, пишите мне по адресу Ashwin.Rangan@icann.org, если вы хотите обсудить этот или другие вопросы подробнее.

Authors

Ashwin Rangan

Ashwin Rangan