Деятельность международных организаций в сфере информационной безопасности

В числе международных организаций, действующих в сфере информационной безопасности и оказывающих существенное влияние на функционирование глобальных информационных систем и деятельность всего информационного сообщества, выделяются организации следующих типов.

1. Крупные международные некоммерческие и неправительственные организации, объединяющие специалистов в определенных областях, существующие, как правило, уже в течение многих лет и охватывающие множество основных направлений развития компьютерной инженерии, электроники и телекоммуникаций, включая в том числе и определенные вопросы обеспечения безопасности современных информационных технологий.
2. Отдельные относительно небольшие организации, которые специализируются на более или менее узких вопросах информационной безопасности, имеющих глобальное значение для всего сообщества пользователей информационных систем, и появились на базе частных компаний или исследовательских структур в течение последнего десятилетия, когда проблемы информационной безопасности стали особенно актуальными.
3. Совместные структуры (комитеты, альянсы и т.п.), создаваемые (иногда временно) крупными компаниями (иногда при участии крупных исследовательских центров, учебных заведений и правительственных структур) для решения определенных задач в сфере информационных технологий и информационной безопасности.

Каждый из них, в свою очередь, имеет свои специфические организационные особенности, однако все они, как правило, решают задачу разработки, согласования и дальнейшего распространения общих для всего сообщества пользователей информационных систем технических и организационных решений, таких как:

• протоколы глобальных сетей;
• архитектуры, алгоритмы, протоколы публичных средств шифрования данных;
• правила построения глобальных сетей обмена данными и других элементов глобальной инфраструктуры информационной безопасности.

Также важными элементам организационной работы на уровне международных структур являются:

• организация обмена знаниями и актуальными новостями в среде специалистов по информационной безопасности в таких формах, как публикация специализированных периодических изданий и сборников научных работ, организация специализированных научно-практических конференций, семинаров и т.п.;
• организация и поддержание в актуальном состоянии баз данных и баз знаний, которые содержат сведения, необходимые пользователям информационных систем, администраторам, разработчикам и другим участникам для обеспечения информационной безопасности. Примерами таких баз данных являются базы данных, содержащие сведения о выявленных уязвимостях различных программных и аппаратных платформ информационных систем.

В целом организационная работа на уровне международных структур не является универсальной, и в большинстве случаев они строят свою работу самостоятельно. Однако можно выделить некоторые основные организационные принципы, характерные для деятельности многих из них.

• Принцип добровольности участия в работе таких структур и в отдельных проектах или во всей работе.
• Принцип открытости (доступности) результатов работы (всех или их части) для сообщества специалистов в сфере информационных технологий.
• Принцип самофинансирования.

Работа международных профессиональных объединений

Работа крупных международных профессиональных (отраслевых) организаций (объединений), как правило, имеет следующие отличительные особенности.

• Она, как правило, не направлена только на решение задач информационной безопасности – задачи информационной безопасности решаются в комплексе со множеством других проблем (развития информационных технологий, построения телекоммуникационных систем и т.п.).
• Она в определенной мере может опираться на поддержку со стороны различных государственных структур.
• Она объединяет большое количество специалистов из различных исследовательских, учебных, коммерческих организаций, но при этом большинство участников (членов) может не иметь конкретных обязательств, обязывающих вносить вклад в работу и достигать определенных целей.

Основными наиболее крупными и известными международными профессиональными объединениями, так или иначе связанными с вопросами информационной безопасности, являются:

• ITU – International Telecommunication Union;
• IEEE – Institute of Electrical and Electronics Engineers;
• ACM – Association for Computing Machinery;
• W3 Consortium;
• ISSA – Information Systems Security Association;
• ISO – International Organization for Standardization;
• IETF – Internet Engineering Task Force;
• ICSA – International Computer Security Association;
• Information Systems Audit and Control Association (ISACA);
• Internet Security Alliance.

International Telecommunication Union (ITU) – Международный союз электросвязи

ITU является старейшей международной организацией, связанной с информационными технологиями. Она была основана в 1885 году как Международный телеграфный союз и получила свое новое название в 1934 году. В настоящее время ITU объединяет 189 государств. Как понятно из названия, основной ее задачей изначально было управление и координация деятельности в сфере передачи информации и, в частности, в радиосвязи и телеграфной связи. Однако по мере развития глобальных компьютерных сетей и интеграции компьютерных и телекоммуникационных систем, область деятельности ITU была значительно расширена и в настоящее время включает в себя множество вопросов, связанных с построением компьютерных сетей, передачей цифровых данных, обработкой информации и т.п.

Членами ITU-T являются:

• государственные органы власти (министерства и ведомства связи отдельных стран);
• научные организации и компании – производители телекоммуникационного оборудования;
• региональные и международные телекоммуникационные организации.

Функциональными органами ITU-T являются:

• Всемирная ассамблея по стандартизации телекоммуникаций (World Telecommunication Standardization Assembly), проводимая каждые четыре года, – основной руководящий орган сектора стандартизации;
• Бюро по стандартизации телекоммуникаций (Telecommunication Standardization Bureau) – исполнительное подразделение сектора стандартизации;
• Исследовательские группы (всего их 14);
• Консультативная группа по стандартизации телекоммуникаций (Telecommunication Standardization Advisory Group) – вспомогательное подразделение, осуществляющее координационную работу.

Высшим органом власти Союза является Полномочная Конференция (Plenipotentiary Conference), собрание делегаций государств – членов Союза, проходящее раз в четыре года. Основные исполнительные органы — Совет и Генеральный секретариат ITU. Основные рабочие подразделения разделены на три сектора:

• сектор стандартизации связи, ITU-T;
• сектор радиосвязи, ITU-R;
• сектор развития электросвязи ITU-D.

ITU-R и ITU-D выполняют отдельные исследовательские, координационные и технические функции (такие как, например, регистрация радиочастот или координация работы космических телекоммуникационных спутников), тогда как Сектор стандартизации связи – ITU-T в большей степени отвечает за решение стратегических задач развития информационных технологий и инфраструктуры и, в частности, за разработку методик и стандартов, необходимых для всего мирового сообщества.

Основной целью работы ITU-T является разработка универсальных рекомендаций и международных стандартов, относящихся к различным сферам телекоммуникационных технологий и управления телекоммуникациями. Разрабатываемые рекомендации обеспечивают основу для развития рынка услуг связи, создания совместимых технических и организационных систем и т.п. С точки зрения обеспечения информационной безопасности наиболее значимыми стали рекомендации, относящиеся к серии "X – Сети передачи данных и связь открытых систем" и, в частности, к серии "X.8xx – Безопасность".

В соответствии с Резолюцией 1 Всемирной ассамблеи по стандартизации телекоммуникаций 2000-го года, была введена практика назначения Ведущих исследовательских групп (Lead Study Groups, LSGs) по определенным вопросам, требующим одновременной координации усилий нескольких исследовательских групп, которые работают в различных областях. Начиная с сентября 2001 года функционирует "Исследовательская группа 17: Сети передачи данных и телекоммуникационное программное обеспечение" ("Study Group 17: Data Networks and Telecommunication Software"), образованная на основе существовавших до этого "Исследовательской группы 7" и "Исследовательской группы 10". С момента своего образования она является Ведущей исследовательской группой по вопросам безопасности коммуникационных систем (Communication Systems Security, CSS) и, соответственно, не только работает над обеспечением безопасности технологий, напрямую относящихся к ее компетенции, но и курирует вопросы обеспечения безопасности различных коммуникационных технологий, разрабатываемых другими исследовательскими группами.

Одной из наиболее значимых разработок этой группы в сфере информационной безопасности считается Стандарт Х.509, заложивший основы развития инфраструктуры публичных ключей. Наиболее актуальными проблемами, над которыми в настоящее время работает Ведущая исследовательская группа по вопросам безопасности коммуникационных систем, являются:

• управление безопасностью;
• безопасность мобильных систем;
• безопасность систем связи служб реагирования на чрезвычайные ситуации;
• телебиометрия.

В целом же работа этой исследовательской группы охватывает следующие основные сферы:

• безопасность управления сетями (включает в себя работу над следующими рекомендациями: М.3010 – Принципы сетей управления телекоммуникациями, М.3016 – Обзор безопасности сетей управления телекоммуникациями и некоторые другие);
• аутентификация и службы каталогов (Х.500 – Обзор концептуальных моделей и сервисов, Х.509 – Основы технологии публичных ключей и сертификатов и некоторые другие);
• управление системами (Х.733 – Функция отчета о происшествии, Х.740 – Функция проведения аудита безопасности и некоторые другие);
• основы архитектуры безопасности (Х.800 – Архитектура безопасности инфраструктуры открытых систем для приложений ITU; Х.802 – Модель безопасности нижних уровней, Х.803 – Модель безопасности верхних уровней и некоторые другие);
• факсимильная связь (Т.36 – Возможности обеспечения безопасности при использовании факсимильных аппаратов третьей группы; Т.563 – Характеристики терминалов для использования с факсимильными аппаратами четвертой группы и некоторые другие);
• телевизионные и кабельные системы (J.170 – Спецификация безопасности IPCabelcom и некоторые другие);
• техника обеспечения безопасности (Х.841 – Объекты информационной безопасности для контроля доступа и некоторые другие);
• мультимедийные коммуникации (Н.233 – Система обеспечения конфиденциальности для аудиовизуальных сервисов, Н.234 – Управление ключами шифрования и системой аутентификации в аудиовизуальных сервисах и некоторые другие).

Помимо разработки рекомендаций и стандартов, одним из важных направлений работы ITU также стало обеспечение информационного обмена в различных формах: распространение методических материалов, касающихся обеспечения информационной безопасности, проведение семинаров и конференций. Одним из наиболее масштабных таких мероприятий является Всемирный саммит по информационному обществу (WSIS: The World Summit On The Information Society).