Блоги ICANN

Читайте блоги ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

Укрепление ИТ и цифровых услуг ICANN

9 июня 2015
Автор Ashwin Rangan

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

Во время конференции ICANN 52 многие члены сообщества интересовались состоянием цифровых услуг ICANN. Кроме того, под влиянием одной из моих статей в блоге некоторые из вас встретились с Крисом Гифтом (Chris Gift), вице-президентом по вопросам цифровых услуг, и со мной, чтобы глубже понять состояние дел и планы. И в своем недавнем объявлении ICANN заявила о том, что мы сообщим дополнительные сведения о своих многолетних усилиях по «укреплению цифровых услуг». Я пишу эту статью для блога, чтобы начать процесс постоянного информирования и привлечения вас — нашего сообщества — ко многим видам текущей и планируемой деятельности в сфере ИТ.

Пять «компонентов» реализации ИТ

Чтобы сформировать совокупность хороших ориентиров, я повторяю часть содержания предыдущей статьи блога/видеоблога. Если не вдаваться в детали, ICANN предлагает пять компонентов реализации ИТ-активов в виде «цифровых услуг».

  1. Веб-услуги для сообщества
  2. Услуги для контрагентов
  3. Технические услуги для сообщества
  4. Услуги Администрации адресного пространства интернета (IANA)
  5. Оперативно-производственные услуги для персонала

Как можно предполагать, мы очень по-разному относимся к каждому их этих компонентов, особенно с точки зрения безопасности ИТ. В целом, у нас более 80 таких цифровых услуг, приносящих пользу сообществу, Правлению и персоналу ICANN. Я говорил и писал о данных, которые накапливаются, сопоставляются и систематизируются при оказании этих услуг, охарактеризовав эту информацию как охраняемые ICANN ценности. Если провести широкую аналогию с банковским сектором, ICANN в целом можно считать «депозитарием данных», а нас — в ИТ — материальными хранителями этих данных. Это доверительная собственность, к которой мы относимся очень серьезно.

Введение ежегодного стороннего аудита

Чтобы гарантировать надлежащую охрану нами этих ценностей, в июне-июле 2014 года мы пригласили ведущую, всемирно признанную стороннюю организацию для аудита всех наших ИТ-активов от начала и до конца. Методика, которую мы выбрали для внедрения и использования при оценке своих систем, это Концепция 20 критически важных средств контроля безопасности (в прошлом — Институт SANS). Мы будем придерживаться этой концепции в течение нескольких следующих лет, чтобы ICANN могла рассматривать свои ИТ-активы в «зеркале» мировых стандартов и анализировать, как наши усилия меняют их «отражение» с течением времени. Кроме того, я рад сообщить вам, что этой же сторонней организации поручено проведение регулярных ежегодных проверок, в настоящее время она анализирует наш прогресс в работе за последние 12 месяцев, и скоро будут известны результаты этого.

Результаты оценки в 2014 году продемонстрировали, что в некоторых областях мы добились успеха, а в других есть резервы для повышения качества работы. Более ценной, чем эта общая оценка, вещью стал четкий список конкретных областей, на которых мы смогли без промедления сосредоточить свое внимание и быстро внедрить улучшения.

Мы взяли отдельные рекомендации и отсортировали их разными способами. Мы систематизировали их в виде таблицы по степени важности/срочности, мы присвоили каждой рекомендации метки, отражающие уровень усилий (LoE) и ожидаемые комиссионные расходы. Затем мы установили возможную очередность выполнения этих рекомендаций.

Результатом этого стал перспективный план на 2015 ФГ и часть 2016 ФГ, содержащий 16 проектов. Мы считаем их первоочередными, и девять особо важных проектов сейчас уже реализованы, в том числе, к примеру, следующие: усовершенствованная система обнаружения проникновения на серверы Windows, полностью внедренные решения по обнаружению проникновения (IDS) и решения по предотвращению проникновения (IPS), решение IDS для защиты внешних границ, централизованный надзор за управлением внесением исправлений, регламентное и контролируемое управление программным обеспечением серверов, а также контроль привилегированных учетных записей. Эти проекты важны и уже начали успешно удовлетворять некоторые из наиболее насущных потребностей ICANN. Многие другие проекты находятся на этапе выполнения.

Реализация Salesforce.com

Параллельным, но отдельным направлением является использование корпорацией ICANN услуг экспертной фирмы для проверки нашей реализации Salesforce.com — базы данных, базы кода и конфигурации. Эта проверка привлекла внимание к нескольким областям, в которых можно укрепить нашу платформу. После нее мы выпустили много патчей к программному обеспечению для устранения обнаруженных потенциальных уязвимостей. Мы планируем завершить всю работу до конца календарного 2015 года. Мы будем сотрудничать с пользователями этих платформ, чтобы свести к минимуму перебои в оказании услуг, повысив при этом безопасность.

Совсем недавно Правление ICANN одобрило выделение средств на привлечение аналогичных экспертных фирм для проверки базы кода, используемого во всех платформах ICANN для оказания цифровых услуг. Вскоре после этого ICANN воспользовалась услугами двух таких фирм. Эти фирмы проверят от начала и до конца одну или две платформы (включая все размещенные на них службы) и в сотрудничестве с нами займутся решением всех обнаруженных проблем. После завершения этого мы займемся двумя следующими платформами. И так далее... до выполнения всей работы.

Подготовка к угрозам кибербезопасности

Третьим параллельным направлением является прохождение персоналом ICANN в обязательном порядке курса обучения, повышающего культуру кибербезопасности. После обучения «на закуску» предлагаются оценочные тесты, регулярно отслеживаемые и пересматриваемые. Благодаря этому, сейчас заметно повысилась бдительность и осведомленность персонала ICANN о векторах угроз. Для дополнительного укрепления знаний ICANN воспользовалась услугами экспертной фирмы, специализирующейся в сфере социальной инженерии. Усилия этой фирмы привлекают большее внимание к конкретным областям, где необходимы (и принимаются) дополнительные меры по исправлению ситуации.

ICANN — как и другие широко известные организации — подвержена атакам, особенно учитывая глобальный характер и рост угроз для ИТ. Мы не в состоянии контролировать, кто нападает на нас, или время начала атаки. НО... мы в состоянии выбрать броню, которая будет защищать нас во время атаки.

Для этой цели Группа реагирования на инциденты, связанные с компьютерной безопасностью (CIRT), корпорации ICANN составила список фирм, являющихся экспертами в предметной области, чтобы провести для определенных сотрудников серию командно-штабных учений, помогающих отладить ритм наших ответных мер и лучше подготовиться к реагированию на будущие инциденты.

Мы также используем методы сценарного планирования для составления, улучшения и отработки планов аварийно-восстановительных работ. Подобно защите своего дома от непрошеных гостей, эту работу нельзя сделать за один присест. Наоборот, это вдумчивая деятельность по реализации планов и программ систематического укрепления нашей обороны. Как и в случае любого хорошо плана, мы будем периодически подвергать свой план переоценке и менять ориентиры по мере необходимости.

Сейчас мы сосредоточены на выполнении перспективного плана ИТ, который подкреплен надлежащими бюджетными и кадровыми ресурсами, на 2016 ФГ и 2017 ФГ. Мы готовы его выполнить. Наши планы включены в Операционный план и бюджет на 2016 ФГ.

Кроме того, мы регулярно информируем комитет Правления по оценке риска (BRC), и оперативная сводка новостей ИТ теперь является постоянным пунктом их повестки дня. Их участие бесценно в плане получения руководящих указаний, требуемых ресурсов и целенаправленной поддержки, что необходимо для выполнения нашей текущей обширной программы обеспечения безопасности ИТ в ICANN.

Я планирую время от времени делиться новыми взглядами на наш прогресс в работе и будущие планы. Если у вас есть предложения или соображения, пожалуйста, сообщите о них мне по адресу ashwin.rangan@icann.org. А еще лучше, если вы собираетесь приехать в Буэнос-Айрес на конференцию ICANN 53, может быть мы сможем встретиться и поговорить там?

Спасибо!

Authors

Ashwin Rangan

Ashwin Rangan