ACM является одной из старейших организаций, связанных с информационными технологиями, - она была основана в 1947 году, на заре развития компьютерной техники. Основные задачи ACM - поддержка образовательных проектов в сфере информационных технологий, организация научно-практических конференций, симпозиумов и семинаров, общественно-политическая работа, связанная с информационными технологиями, публикация периодических изданий и сборников научных трудов, посвященных проблемам современных информационных технологий, поддержка электронного архива таких публикаций, а также другая подобная деятельность. Основным управляющим органом этой организации является Совет ACM, в который входит 16 человек, в том числе президент и вице-президент. Управление текущими делами Ассоциации осуществляют четыре профильных комитета. Штаб-квартира ACM, в которой работают основные исполнительные органы, располагается в Нью-Йорке начиная с I960 года. Одной из основ организации работы ACM является разделение всего сообщества членов ассоциации на так называемые группы специальных интересов (SpecialInterests Group- SIG) - подразделения, специализирующиеся на отдельных относительно узких проблемах развития информационных технологий. Всего ACM объединяет 34 группы, специализирующиеся на различных вопросах разработки и использования программного обеспечения, аппаратных средств и телекоммуникаций. Каждая из групп самостоятельно определяет для себя границы своей деятельности, а их политика и финансовые вопросы координируются одним из комитетов.
Одна из этих групп - Special Interest Group on Security, Audit and Control.Группа специальных интересов по вопросам безопасности, аудита и контроля, https://www.acm.org/sigs/sigsac/) - специализируется на вопросах информационной безопасности. Основной задачей данной группы является организация работы специализированных научно-практических конференций, таких как:
· Симпозиум по технологиям и моделям управления доступом (SACMAT: ACM Symposium on Access Control Models and Technologies), проводимый ежегодно начиная с 1995 года;
· Конференция по безопасности компьютеров и коммуникаций (CCS: ACM Conferenceon Computer and Communications Security), проводимая ежегодно начиная с 1993 года.
Кроме того, вопросы информационной безопасности прямо или косвенно затрагиваются в работе других специализированных групп Ассоциации, таких как, например, Special Interest Group on Electronic Commerce (Группа по проблемам электронной коммерции).
World Wide Web Consortium (W3C) - Консорциум Всемирной Паутины.
Создание W3C было инициировано в 1989 году с целью разработки единых, согласованных стандартов обмена информацией в глобальных сетях передачи данных, а официально создание консорциума было оформлено в 1994г. Его основными задачами являются:
· обеспечение возможности доступа к сети Интернет для как можно большего числа людей вне зависимости от знания иностранных языков, культурной принадлежности, географического положения и доступных им технических средств и технической инфраструктуры;
· обеспечение возможности подключения к Интернет различных технических устройств;
· обеспечение возможности структурирования и формализации информации, доступной через Интернет, с целью сделать ее как можно более пригодной для автоматизированной обработки;
· обеспечение надежности и безопасности обмена информацией, а также возможности участвовать в информационном обмене с тем уровнем защищенности, который отдельные пользователи считают для себя подходящим.
К настоящему времени консорциум объединяет более четырехсот ведущих технологических и телекоммуникационных компаний, правительственных организаций, исследовательских центров, институтов и университетов по всему миру. Кроме того, в штате консорциума состоят около 70 независимых технических экспертов, обеспечивающих его работу. Финансирование деятельности осуществляется за счет членских взносов, а основные административные функции и повседневная деятельность выполняются на базе трех организаций:
1) Массачусетский технологический институт (США);
2) Европейский консорциум по исследованиям в области информатики и математики (Франция);
3) Университет Кейо (Япония).
Помимо формирования стандартов (рекомендаций), эта организация также занимается образовательной деятельностью и предоставляет возможности для обсуждения различных вопросов, связанных с функционированием Интернет.
Деятельность консорциума организована в виде групп:
· Рабочие группы (занимаются проработкой технических вопросов),
· Группы специальных интересов
· Координационные группы (обеспечивают взаимодействие между другими группами).
В каждую группу входят представители организаций-участников консорциума и приглашенные эксперты. Сферы работы консорциума ("домены", Domain), разделены на направления (Activities). Работа по двадцати четырем направлениям выполняется в общей сложности шестьюдесятью группами.
Вопросами информационной безопасности занимается сфера 'Технология и общество" (Technology and Society Domain) в рамках специального направления "Безопасность" (W3C Security Activity), состоящего из двух рабочих групп. Также до 2006 года в составе Консорциума функционировало направление "Защита частной информации" (Privacy).
К работам консорциума в сфере информационной безопасности относятся:
· разработка стандарта цифровых подписей для информационных ресурсов (PICS Signed Labels 1.0 Specification);
· разработка системы электронной подписи для документов XML;
· разработка стандартов передачи зашифрованных данных с использованием языка XML.
International Organization for Standardization (ISO) — Международная организация по стандартизации.
ISO в нынешнем виде была учреждена в 1946г. и представляет собой неправительственное объединение национальных организаций по стандартизации, нацеленное на унификацию стандартов (главным образом, технических) в различных областях производственной деятельности и оказания услуг.
Помимо основных членов (156 стран), непосредственно участвующих в работе, в ISO также входят члены- корреспонденты (Correspondent member) - страны, не имеющие полноценных органов стандартизации, а также члены-подписчики (Subscriber member) - страны с небольшими экономиками, получающие необходимую справочную информацию на льготных условиях.
Главным органом управления ИСО является ежегодная Генеральная Ассамблея, принимающая стратегические решения, касающиеся развития всей организации. Подготовкой материалов для принятия таких решений занимается Совет ИСО, собрания которого проходят два раза в год. Непосредственно разработкой стандартов занимаются технические комитеты и подкомитеты, в работе которых принимают участие представители заинтересованных стран. За разработку каждого документа в подкомитете отвечает специально создаваемая для этого рабочая группа. Проекты международных стандартов, принятые техническими комитетами, рассылаются в национальные организации для голосования; документ приобретает статус международного стандарта, если за него проголосовало не менее 75% членов, участвовавших в голосовании.
Основным подразделением ИСО, занимающимся вопросами информационной безопасности, является Объединенный технический комитет JTC 1 "Информационные технологии", в состав которого входит подкомитет SC 27 "Средства безопасности в информационных технологиях" (ГГ Security techniques). За время своей работы этот подкомитет разработал более 60 международных стандартов, относящихся к информационной безопасности.
ДЕЯТЕЛЬНОСТЬ СПЕЦИАЛИЗИРОВАННЫХ МЕЖДУНАРОДНЫХ ОРГАНИЗАЦИЙ И ОБЪЕДИНЕНИЙ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Специализированные организации, имеющие глобальное влияние на управление информационной безопасностью на различных уровнях и общее состояние информационной безопасности, как правило, могут функционировать на базе:
· частных компаний, занимающихся исследованиями, разработками и консультированием в сфере информационной безопасности;
· крупных учебных заведений, специализирующихся на информационных технологиях, а также обладающих существенным авторитетом и финансовыми ресурсами;
· правительственных учреждений, ответственных за обеспечение информационной безопасности в определенных сферах.
Основным направлением организационной работы, осуществляемой в такой форме, становится формирование и поддержание баз данных, содержащих информацию о ставших известными уязвимостях различных программных и аппаратных средств, а также другие формы и направления информационной, консультативной и методической работы в данной сфере. Важными факторами успешности функционирования таких организаций является объединение информации из как можно большего числа источников (в частности, от как можно большего числа специалистов и компаний, занимающихся проблемами информационной безопасности) и как можно более эффективное распространение сведений (знаний) в сообществе пользователей информационных систем.
Ввиду того, что такая форма организационной работы основана на частных компаниях и относительно небольших учреждениях, подходы к организации и управлению обычно не подчиняются каким-либо общим правилам. Также состав таких организаций может со временем меняться: на смену одним исследовательским центрам могут приходить другие - более успешные и эффективные - с теми же функциями. В настоящее время можно выделить следующие наиболее значимые организации, занимающие эту нишу:
CERT Coordination Center - Координационный центр CERT,
Исследовательская группа X-Force компании IBM.
CERT Coordination Center (CERT/CC) - Координационный центр CERT
CERT/ ICC, возникшая в 1988 году как Computer security incident response team (Группа реагирования на инциденты, связанные с компьютерной безопасностью), функционирует на базе Института разработки программного обеспечения при Университете Карнеги-Мелон (Software Engineering Institute, Carnegie Mellon University) и финансируется Министерством обороны и Министерством национальной безопасности США. Наряду с проведением независимых исследований и решением различных задач по обеспечению безопасности глобальной информационной инфраструктуры, эта организация обеспечивает централизованный сбор сведений обо всех уязвимостях в различных информационных системах и поддержание актуальной базы знаний об уязвимостях в информационных системах. Сведения о вновь выявляемых уязвимостях, вредоносных программах и способах нарушения информационной безопасности рассылаются по электронной почте: подписчиками этого бюллетеня являются более 161000 специалистов во всем мире.
В рамках этой деятельности CERTJCC осуществляет постоянную исследовательскую работу:
· определение характера возможных последствий использования выявленных уязвимостей и вирусов; анализ имеющихся средств использования уязвимостей;
· анализ того, насколько активно используются уязвимости и насколько широко распространены вирусы; взаимодействие с поставщиками информационных систем с целью более глубокого анализа выявляемых уязвимостей.
На основе проводимого анализа CERTJCC разрабатывает меры по устранению уязвимостей и рекомендации по уменьшению негативных последствий. По результатам этой работы всем подписчикам рассылается информация об угрозах информационной безопасности и возможных способах их устранения. Также на основе этих данных формируется специальная справочная и техническая документация, проводится дальнейшая исследовательская и методическая работа. В частности, CERTJCC поддерживает программу безопасной разработки ПО ("secure coding"), основывающуюся на том, что большая часть уязвимостей возникает в следствие относительно небольшого числа ошибок в программном коде информационных систем. Таким образом, CERT|CC на основе накопленных результатов анализа уязвимостей ведет целенаправленную работу по выявлению типичных программных ошибок, выработке стандартов безопасного программирования и распространению этой информации среди разработчиков ПО.
Помимо основной информационной работы с уязвимостями Ш?7~также занимается сопутствующими видами деятельности:
· организация учебных курсов по различным направлениям (сетевая безопасность, управление информационными рисками, организация работы групп реагирования);
· сертификация специалистов по реагированию на инциденты в сфере информационной безопасности; поддержка фундаментальных научных исследований в различных областях информационной безопасности, таких как методы разработки безопасных приложений, выявление уязвимостей, анализ шпионского ПО, решение вопросов безопасности как составная часть процесса разработки и т.п.; содействие развитию локальных (национальных и корпоративных) групп реагирования на инциденты.
X-Force security intelligence team - Исследовательская группа X-Force.
Деятельность этой группы является одним из направлений бизнеса компании Internet Security Systems (755) - наиболее авторитетного поставщика комплексных решений в сфере информационной безопасности, клиентами которого являются все без исключения крупнейшие компании США, а также правительственные организации. В конце 2006 года 755была куплена компанией IBM и интегрирована в нее в качестве самостоятельного подразделения. Одной из задач группы X-Force является поддержание в актуальном состоянии базы данных известных уязвимостей различных программных и аппаратных платформ. База данных, поддерживаемая этой группой, доступна по сети Интернет и постоянно пополняется сведениями о новых уязвимостях (в настоящее время их насчитывается более 40000). Основные причины, по которым данная организация является ведущей в этой области, следующие:
· большое количество крупных компаний-клиентов, от которых постоянно поступает информация о нападениях, уязвимостях и т.п.;
· наличие собственной научно-исследовательской базы, на основе которой постоянно осуществляется выявление новых уязвимостей и обобщение сведений об уязвимостях, полученных из различных источников; использование специально разработанных универсальных классификаций (в частности, общего словаря наименований уязвимостей - Common Vulnerabilities anti Exposures, CVE) для хранения и обработки информации в базах данных известных уязвимостей.
Также одним из направлений справочно-информационной деятельности этой исследовательской группы является оказание услуг по индивидуальному анализу угроз информированию (X-Force Threat Analysis Service (XFTAS)). Данный комплекс услуг позволяет заказчикам ежедневно получать адаптированную актуальную информацию об угрозах и уязвимостях с учетом особенностей построения их информационных систем (платформ, приложений, сферы ведения бизнеса, географического положения) и включает в себя:
· информацию об угрозах; экспертный анализ угроз;
· описание текущего и прогнозного состояния угроз; рекомендуемые способы устранения угроз; количественный анализ атак за последние 30 дней.
· Еще одной из задач группы является выпуск периодических (ежеквартальных, ежегодных) информационных бюллетеней с обзорами наиболее значимых событий в сфере информационной безопасности.
Альянсы крупных технологических компаний.
Совместные альянсы (ассоциации, коалиции, группы) крупных (иногда средних) технологических и консультационно-исследовательских компаний представляют собой временные (заключаемые на краткосрочную или среднесрочную перспективу) или долгосрочные соглашения между несколькими фирмами, направленные на совместное, скоординированное, целенаправленное решение определенных масштабных и ресурсоемких задач развития технологии, формирования рыночного спроса на определенные продукты и организации инфраструктуры информационной безопасности. Высокая значимость такой формы организационной работы в сфере информационной безопасности, как формирование альянсов крупными и средними компаниями, специализирующимися на информационных технологиях, обусловлена тем, что:
· такие альянсы способны осуществить наиболее крупные инвестиции в разработку новых технологий и проведение исследований, которые могут повлиять на все развитие информационных технологий и состояние дел в сфере информационной безопасности;
· компании, входящие в такие альянсы, занимают значительную долю рынка и потому определяют общее направление развития информационных технологий вообще и средств защиты информации в частности; такие альянсы компаний способны создать комплексные технологии, продукты и решения, охватывающие различные аспекты функционирования информационных систем и средств защиты информации, и таким образом достичь нового уровня защищенности информации, что практически невозможно при работе компаний (даже самых крупных) по отдельности.
Как правило, каждый такой альянс является уникальным, и участники в каждом конкретном случае определяют условия работы в рамках такой организационной формы. На конкретный подход к организации альянса могут повлиять такие факторы, как:
· характер целей и задач, которые ставятся перед альянсом;
· текущее состояние дел в той области, для работы в которой создается альянс;
· состав участников альянса, их роль и место на рынке информационных технологий;
· наличие возможных конкурентов (например, аналогичных альянсов параллельно создаваемых другими
· группами компаний);
· ранее сложившиеся взаимоотношения между компаниями - участниками альянса и другие.
Задачами формирования альянсов могут быть:
· разработка новых продуктов и услуг, а также базовых технологий, протоколов, алгоритмов и соглашений, на основе которых такие продукты и услуги в будущем могли бы разрабатываться; формирование новых рынков сбыта и поддержка существующих;
· влияние на государственные и общественные организации, а также на сообщество пользователей информационных систем с целью обеспечения развития и более широкого использования информационных технологий и средств информационной безопасности;
· влияние на систему профессиональной подготовки специалистов с целью обеспечения качества их обучения.
Основными типичными приемами организационной работы на таком уровне являются:
· скоординированный выбор и унификация технических решений (аппаратных устройств, программных алгоритмов), используемых в системах передачи и обработки информации и/или системах защиты информации;
· информационная поддержка как производителей информационных систем и поставщиков решений (входящих в альянс и не входящих в него), так и потребителей и пользователей (потенциальных и настоящих);
· скоординированное разделение функций по разработке отдельных элементов информационной технологии в рамках общей согласованной стратегии развития;
· скоординированная маркетинговая и информационная политика, направленная на обеспечение использования (поддержки, совместимости) создаваемых решений (технологий, протоколов и т.п.) как можно большим числом потребителей и независимых производителей, а также ее признание правительственными структурами;
· совместное влияние на органы государственной власти (лоббирование) с целью обеспечения государственной поддержки определенных продуктов, проектов, технологий и архитектур информационных систем и систем защиты информации.
Smart Card Alliance (SCA) - Альянс по смарт-картам.
SCA (https://www.smartcardalliance.ora) занимается вопросами развития технологии смарт-карт - одной из ключевых технологий в сфере информационной безопасности, используемой для идентификации пользователей различных сервисов и информационных систем (таких как мобильные телефонные сети, банковские "электронные кошельки" и т.п.). Этот долгосрочный (стратегический) альянс был образован в начале 2001 года путем слияния двух организаций: Smart Card Industry Association и Smart Card Forum. В состав альянса входят около сотни различных компаний и правительственных организаций. При этом в составе участников альянса выделяются несколько групп:
1) Руководящий Совет (Leadership Council) - ведущие компании, определяющие основную политику Альянса: Visa USA, Bank of America, IBM, Lockheed Martin, Intel, Mastercard International и некоторые другие (всего более двадцати компаний);
2) Основная группа членов Альянса - различные фирмы, так или иначе связанные с вопросами информационной безопасности, поставкой соответствующих продуктов и услуг (такие как Texas Instruments Incorporated, Sun Microsystems и другие) - всего около 70 компаний;
3) Члены - правительственные организации. В эту группу входят как федеральные правительственные учреждения США (Государственный департамент, Министерство национальной безопасности и другие), так и местные органы власти (Портовая администрация Нью-Йорка, Транспортная администрация Вашингтона и другие) - всего около 30 членов.
Также в состав Альянса входит один университет и несколько ассоциированных членов.
Работу альянса возглавляют Совет директоров во главе с председателем и Исполнительный директор. Деятельность альянса разделена на членские советы (Member Council) по отдельным сферам интересов:
· Совет по бесконтактным и мобильным платежам;
· Совет по здравоохранению (специализируется на вопросах использования смарт-карт в сфере здравоохранения);
· Совет по идентификации;
· Совет по системам контроля за физическим допуском;
· Совет по транспорту (специализируется на вопросах продвижения и адаптации смарт-карт в транспортной сфере).
Каждый совет управляется председателем, вице-председателями и управляющим комитетом.
Направления работы Альянса включают в себя:
· организацию специализированных ежегодных конференций;
· организацию образовательных программ и системы сертификации специалистов;
· издание различных информационных и справочных материалов как технического, так и управленческого характера;
· ведение централизованной базы данных поставщиков оборудования и услуг в сфере смарт-карт.
Internet Security Alliance (ISA) - Альянс по безопасности сети Интернет.
ISA был создан в апреле 2001 года по инициативе двух крупных авторитетных организаций: CERTJCC Университета Карнеги-Меллон и Ассоциации электронной промышленности (Electronic Industries Alliance, EIA). Уже к середине 2004 года в альянс входило около тридцати членов, в числе которых такие крупные компании, как Boeing, NEC, Mitsubishi, Federal Express, AIG, Sony, Symantec и другие. Работой Альянса руководит Совет директоров, в который входят авторитетные представители наиболее известных компаний- членов. Кроме того, в состав альянса входят около тридцати ассоциированных членов. На первоначальном этапе создания альянса его основной задачей было повышение эффективности обмена информацией об уязвимостях, распространяемой CER7JCC. В дальнейшем круг задач альянса расширялся, и теперь работа ведется по следующим направлениям:
· создание эффективных механизмов обмена информацией об уязвимостях в сети Интернет и найденных
· решениях проблем безопасности;
· исследование фундаментальных проблем безопасности;
· развитие программ профессиональной подготовки и сертификации специалистов по информационной безопасности;
· взаимодействие с государственными органами законодательной и исполнительной власти.
The International Biometric Industry Association (IBIA) - Международная ассоциация компаний-производителей биометрического оборудования.
Ассоциация была создана в 1998 году с целью коллективной поддержки интересов компаний, связанных с производством биометрического оборудования. Основной задачей альянса является взаимодействие с потенциальными заказчиками их продукции (как среди коммерческих компаний, так и в общественном секторе) с целью продвижения средств биометрической идентификации. Членами ассоциации являются около 30 компаний и организаций, среди которых Hitachi, LG Electronics, Panasonic, NEC и другие.
Управление текущими делами осуществляет Совет директоров в составе одиннадцати человек, а также исполнительный директор. Деятельность Ассоциации разделена на шесть рабочих групп, среди которых:
· рабочая группа по стандартам и технологиям. Ее основная цель - защищать базовые интересы членов альянса в сфере стандартизации биометрических технологий и систем, использующих биометрию; рабочая группа по потребительским приложениям. Занимается ориентацией рынка потребительских систем на более широкое использование биометрических технологий;
· рабочая группа по международным рынкам. Осуществляет контакты с другими биометрическими организациями по всему миру;
· рабочая группа по образованию, маркетингу и информированию. Обеспечивает информационное присутствие компаний-членов ассоциации в различных областях через реализацию маркетинговых мероприятий и образовательных программ;
· рабочая группа по глобальной политике. Проводит информационную работу с представителями правительственных структур по всему миру.
УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ НА УРОВНЕ КРУПНЫХ ПОСТАВЩИКОВ ИНФОРМАЦИОННЫХ СИСТЕМ.
Общая методология организационного обеспечения информационной безопасности на уровне крупных поставщиков информационных систем.
В последнее десятилетие - период, когда произошло широкое распространение автоматизированных информационных систем, их объединение в единую глобальную сеть и массовое использование миллионами пользователей одних и тех же компонентов информационных систем (операционных систем, аппаратных платформ, протоколов обмена информацией), - большое значение приобрело то, как поставщики подобных универсальных платформ и компонентов (являющиеся иногда практически монополистами на определенных сегментах рынка) организуют работу по повышению уровня информационной безопасности по различным направлениям. Уровень влияния таких компаний на состояние дел в сфере информационной безопасности иногда может быть очень значительным - даже большим, чем международных организаций и некоторых правительственных структур.
Основные задачи организационной работы крупных (т.е. занимающих большую долю рынка) поставщиков широко используемых информационных систем в сфере информационной безопасности:
· закрепить свои рыночные позиции путем создания благоприятного имиджа в глазах покупателей и всего сообщества пользователей информационных систем;
· занять новые рыночные ниши, предъявляющие более строгие требования к уровню информационной безопасности по сравнению с массовым рынком (банковский сектор, правительственные структуры и др.);
· обеспечить эффективную интеграцию поставляемых продуктов в различные информационные системы и бизнес-процессы;
· избежать обвинений (в том числе и судебных исков) со стороны потребителей, чьи информационные системы могли бы подвергнуться атакам.
Приемы и методы управления информационной безопасностью на этом уровне в каждом случае могут быть различными и определяются для каждой компании-поставщика следующими основными факторами:
· характером продуктов, поставляемых на рынок;
· состоянием (конъюнктурой) рынка информационно-технологических продуктов такого типа и поведением конкурентов;
· политикой государственных структур как в отношении вопросов информационной безопасности вообще, так и в отношении отдельных компаний-поставщиков информационных систем, в частности; задачами, целями и основными способами использования поставляемых продуктов пользователями; общим состоянием дел в сфере информационной безопасности, информационной культурой, развитием и распространением преступности;
· формируемым общественным мнением в отношении вопросов информационной безопасности и отдельных компаний-поставщиков.
Организационная работа в сфере информационной безопасности на уровне таких компаний разделяется на два основных поднаправления:
1. организация работы внутри компаний, специально направленной на обеспечение информационной безопасности выпускаемых продуктов;
2. организация внешнего взаимодействия с потребителями, партнерами, государственными структурами и другими участниками.
Внутренняя организационная работа по обеспечению информационной безопасности производимых и продаваемых продуктов является неотъемлемой частью процесса проектирования, производства и маркетинговой поддержки этих продуктов. Однако при этом выделяются дополнительные специальные мероприятия, осуществляемые отдельно от основных производственно-сбытовых процессов в компаниях — крупных производителях информационных систем. Примерами таких специальных организационных мероприятий является создание специальных подразделений, чьей основной задачей является контроль за устранением существующих уязвимостей и выполнение сопутствующих функций, а также обучение разработчиков специальным методам разработки программного обеспечения и аппаратных средств, не содержащих уязвимостей.
Основные приемы и методы внешней организационной работыв сфере информационной безопасности на уровне крупных компаний-поставщиков информационных систем могут быть следующие:
· организация информационного обмена с пользователями выпускаемых продуктов - программных и аппаратных средств (информирование о выявленных уязвимостях и способах их устранения, получение информации об уязвимостях, выявленных пользователями, а также других возникающих проблемах);
· организация деятельности в сфере подготовки специалистов (система подготовки квалифицированного инженерно-технического персонала, специализирующегося на определенных программных продуктах и, в частности, на администрировании средств защиты информации, сетевых операционных систем и т.п.);
· организация профессиональных конференций, которые способствуют обмену опытом и информацией, связанной с повышением уровня информационной безопасности при использовании определенных программных и аппаратных платформ;
· организация взаимодействия с правительственными организациями (в том числе по вопросам сертификации программных и аппаратных средств на соответствие требованиям национальных стандартов и правил);
· создание и поддержание системы сертификации специалистов, ориентированной на определенные программные продукты и аппаратные системы (в том числе, организация взаимодействия со специализированными компаниями, занимающимися профессиональным тестированием специалистов и др.).
Организация информационного обмена с пользователями продуктов является одним из наиболее важных направлений деятельности компаний в данной сфере. Эта работа включает в себя сбор информации, ее анализ,а также принятие решений о том, необходимо ли информировать все сообщество пользователей, которых может коснуться выявленная уязвимость, или только ограниченный круг доверенных специалистов, имеющих необходимые полномочия и авторитет. Дальнейшие действия, как правило, связаны с уведомлением пользователей о возможных способах решения проблем (потенциальных или уже возникших) и информированием о возможных последствиях реализации угроз.
Организационное обеспечение информационной безопасности на уровне отдельных крупных компаний.
Корпорация Microsoft
Корпорация Microsoft является крупнейшим в мире производителем программного обеспечения - ее программные продукты распространены по всему миру. В частности, Microsoft производит и поставляет следующие основные программные средства:
· операционные системы для рабочих станций (пользовательских персональных компьютеров) - младшие версии операционных систем Windows 2000, Windows ХР, Windows Vista и последующих, а также выводимая ныне из использования операционная система Windows 98;
· операционные системы для сетевых серверов (веб-серверов, серверов баз данных, файл-серверов и др.) - старшие версии операционных систем Windows 2000, Windows ХР и последующих, а также выводимая ныне из использования операционная система Windows NT;
· операционные системы для мини-компьютеров (pda)- семейства Windows се и Windows Pocket PC; специализированные функциональные серверы: серверы реляционных баз данных (Microsoft SQL Server), веб-серверы (IIS - Internet Information Server), системы построения хранилищ данных (Analysis Services) и некоторых других; средства разработки приложений;
· пользовательские программные продукты для платформы Windows: веб-браузеры, почтовые клиенты, программы верстки в формате HTML, офисные приложения, мультимедийные приложения и другие.
Также корпорацией Microsoft была приобретена компания, занимающаяся поставками систем управления предприятиями (систем класса ERP - Enterprise Resource Planning).
В силу того, что программными продуктами Microsoft пользуется большинство пользователей персональных компьютеров (как частных, так и в коммерческих и правительственных организациях), а на основе серверных программных платформ Microsoft функционирует большинство информационных систем, обеспечивающих обработку, хранение и передачу информации (в том числе и в сети Интернет), организационная работа этой корпорации в сфере информационной безопасности имеет глобальное значение.
Внутренняя организационная работа в сфере информационной безопасности продуктов корпорации Microsoft включает в себя:
1. проведение специальных тренингов и дополнительного обучения разработчиков программного обеспечения специальным методам, обеспечивающим надежность и безопасность производимого программного обеспечения (включая внедрение и использование для разработки собственных продуктов методологии Жизненного цикла безопасной разработки);
2. организацию специального Центра решения вопросов безопасности (Microsoft Security Response Center, MSRC), основными задачами которого являются постоянный сбор информации и поиск новых уязвимостей, принятие мер к устранению выявленных уязвимостей, координация работы разработчиков и недопущение появления ранее выявленных уязвимостей в новых продуктах в будущем.
В организационной структуре Microsoft помимо MSRC существуют еще одно подразделение, специализирующееся на решении вопросов безопасности - Центр защиты от вредоносных программ (Microsoft MalwareProtection Center, MMPC). Он включает в себя несколько лабораторий, расположенных по всему миру, и занимается исследованием вредоносных программ, обеспечивает методическую поддержку разработки различных средств защиты (таких, как Windows Live OneCare, Windows Defender, Malicious Software Removal Tool), а также участвует в процедурах реагирования на возникновение новых угроз безопасности.
Основными направлениями внешней организационной работы корпорации Microsoft в сфере информационной безопасности являются:
· систематическое информирование пользователей операционных систем Windows (а также других программных продуктов) о выявленных уязвимостях и распространение информации о том, как эти уязвимости могут быть ими устранены;
· реализация программы упреждающих защитных действий - Microsoft Active Protections Program (МАРР); поддержка обучения пользователей программных продуктов (в основном администраторов серверных платформ);
· разработка и поддержка методологии Жизненного цикла безопасной разработки - Microsoft Security Development Lifecycle (SDL);
· партнерская программа Microsoft Security Partners - Партнеры Microsoft в сфере безопасности.
Government Security Program (GSP) - Программа обеспечения безопасности правительств - представляет собой инициативу по передаче правительственным структурам различных стран исходных кодов программных продуктов (главным образом, операционных систем) для того, чтобы у специалистов и экспертов была возможность убедиться в отсутствии существенных изъянов в этом программном обеспечении. Такой анализ должен дать основания для признания этих программных продуктов надежными с точки зрения информационной безопасности и, таким образом, расширить возможности их применения различными организациями (как правительственными, так и частными). Также предполагается, что эта программа должна помочь устранить имеющиеся недоработки в программном обеспечении и расширить партнерство между Microsoft и правительствами различных стран в сфере защиты информации. В рамках программы уч<