Деятельность специализированных международных организаций и объединений в сфере информационной безопасности

Специализированные организации, имеющие глобальное влияние на управление информационной безопасностью на различных уровнях и общее состояние информационной безопасности, как правило, могут функционировать на базе:

• частных компаний, занимающихся исследованиями, разработками и консультированием в сфере информационной безопасности;
• крупных учебных заведений, специализирующихся на информационных технологиях, а также обладающих существенным авторитетом и финансовыми ресурсами;
• правительственных учреждений, ответственных за обеспечение информационной безопасности в определенных сферах.

Основным направлением организационной работы, осуществляемой в такой форме, становится формирование и поддержание баз данных, содержащих информацию о ставших известными уязвимостях различных программных и аппаратных средств, а также другие формы и направления информационной, консультативной и методической работы в данной сфере. Важными факторами успешности функционирования таких организаций является объединение информации из как можно большего числа источников (в частности, от как можно большего числа специалистов и компаний, занимающихся проблемами информационной безопасности) и как можно более эффективное распространение сведений (знаний) в сообществе пользователей информационных систем.

Ввиду того, что такая форма организационной работы основана на частных компаниях и относительно небольших учреждениях, подходы к организации и управлению обычно не подчиняются каким-либо общим правилам. Также состав таких организаций может со временем меняться: на смену одним исследовательским центрам могут приходить другие – более успешные и эффективные – с теми же функциями. В настоящее время можно выделить следующие наиболее значимые организации, занимающие эту нишу:

• CERT Coordination Center – Координационный центр CERT;
• Исследовательская группа X-Force компании IBM.

CERT Coordination Center (CERT/CC) – Координационный центр CERT

CERT^{1Аббревиатура CERT используется в названиях многих организаций и подразделений, занимающихся информационной поддержкой процессов безопасности. Как правило, эти организации и подразделения административно и юридически независимы друг от друга, но могут осуществлять взаимный обмен информацией.} /CC, возникшая в 1988 году как Computer security incident response team (Группа реагирования на инциденты, связанные с компьютерной безопасностью), функционирует на базе Института разработки программного обеспечения при Университете Карнеги-Мелон (Software Engineering Institute, Carnegie Mellon University) и финансируется Министерством обороны и Министерством национальной безопасности США. Наряду с проведением независимых исследований и решением различных задач по обеспечению безопасности глобальной информационной инфраструктуры, эта организация обеспечивает централизованный сбор сведений обо всех уязвимостях в различных информационных системах и поддержание актуальной базы знаний об уязвимостях в информационных системах. Сведения о вновь выявляемых уязвимостях, вредоносных программах и способах нарушения информационной безопасности рассылаются по электронной почте: подписчиками этого бюллетеня являются более 161000 специалистов во всем мире.

В рамках этой деятельности CERT/CC осуществляет постоянную исследовательскую работу:

• определение характера возможных последствий использования выявленных уязвимостей и вирусов;
• анализ имеющихся средств использования уязвимостей;
• анализ того, насколько активно используются уязвимости и насколько широко распространены вирусы;
• взаимодействие с поставщиками информационных систем с целью более глубокого анализа выявляемых уязвимостей.

На основе проводимого анализа CERT/CC разрабатывает меры по устранению уязвимостей и рекомендации по уменьшению негативных последствий. По результатам этой работы всем подписчикам рассылается информация об угрозах информационной безопасности и возможных способах их устранения. Также на основе этих данных формируется специальная справочная и техническая документация, проводится дальнейшая исследовательская и методическая работа. В частности, CERT/CC поддерживает программу безопасной разработки ПО ("secure coding"), основывающуюся на том, что большая часть уязвимостей возникает в следствие относительно небольшого числа ошибок в программном коде информационных систем. Таким образом, CERT/CC на основе накопленных результатов анализа уязвимостей ведет целенаправленную работу по выявлению типичных программных ошибок, выработке стандартов безопасного программирования и распространению этой информации среди разработчиков ПО.

Помимо основной информационной работы с уязвимостями CERT также занимается сопутствующими видами деятельности:

• организация учебных курсов по различным направлениям (сетевая безопасность, управление информационными рисками, организация работы групп реагирования);
• сертификация специалистов по реагированию на инциденты в сфере информационной безопасности;
• поддержка фундаментальных научных исследований в различных областях информационной безопасности, таких как методы разработки безопасных приложений, выявление уязвимостей, анализ шпионского ПО, решение вопросов безопасности как составная часть процесса разработки и т.п.;
• содействие развитию локальных (национальных и корпоративных) групп реагирования на инциденты.

X-Force security intelligence team – Исследовательская группа X-Force

Деятельность этой группы является одним из направлений бизнеса компании Internet Security Systems (ISS) – наиболее авторитетного поставщика комплексных решений в сфере информационной безопасности, клиентами которого являются все без исключения крупнейшие компании США, а также правительственные организации. В конце 2006 года ISS была куплена компанией IBM и интегрирована в нее в качестве самостоятельного подразделения. Одной из задач группы X-Force является поддержание в актуальном состоянии базы данных известных уязвимостей различных программных и аппаратных платформ. База данных, поддерживаемая этой группой, доступна по сети Интернет и постоянно пополняется сведениями о новых уязвимостях (в настоящее время их насчитывается более 40000). Основные причины, по которым данная организация является ведущей в этой области, следующие:

• большое количество крупных компаний-клиентов, от которых постоянно поступает информация о нападениях, уязвимостях и т.п.;
• наличие собственной научно-исследовательской базы, на основе которой постоянно осуществляется выявление новых уязвимостей и обобщение сведений об уязвимостях, полученных из различных источников;
• использование специально разработанных универсальных классификаций (в частности, общего словаря наименований уязвимостей – Common Vulnerabilities and Exposures, CVE) для хранения и обработки информации в базах данных известных уязвимостей.

Также одним из направлений справочно-информационной деятельности этой исследовательской группы является оказание услуг по индивидуальному анализу угроз и информированию (X-Force Threat Analysis Service (XFTAS)). Данный комплекс услуг позволяет заказчикам ежедневно получать адаптированную актуальную информацию об угрозах и уязвимостях с учетом особенностей построения их информационных систем (платформ, приложений, сферы ведения бизнеса, географического положения) и включает в себя:

• информацию об угрозах;
• экспертный анализ угроз;
• описание текущего и прогнозного состояния угроз;
• рекомендуемые способы устранения угроз;
• количественный анализ атак за последние 30 дней.

Еще одной из задач группы является выпуск периодических (ежеквартальных, ежегодных) информационных бюллетеней с обзорами наиболее значимых событий в сфере информационной безопасности.