Интернет-корпорация по присвоению имен и номеров (ICANN) завершила очередную ежегодную проверку ключевых систем, использующихся для выполнения функций Администрации адресного пространства Интернета (IANA). Аудиторская фирма RSM US LLP провела две проверки типа «контроль обслуживающих организаций» (SOC) — проверку систем присвоения идентификаторов и обслуживания регистратур SOC2 и проверку служб расширений безопасности системы доменных имен (DNSSEC) корневой зоны SOC3 — за 12-и месячные периоды, которые закончились соответственно 30 сентября 2023 года и 30 ноября 2023 года.
Аудиторская проверка управления ключом для подписания ключей (KSK) DNSSEC корневой зоны в рамках обеспечения защищенности системы доменных имен (DNS) не выявила недостатков уже четырнадцатый год подряд. Аудит на основе концепции SOC 3 подтверждает наличие эффективных механизмов обеспечения безопасности, доступности и целостности обработки запросов для систем управления ключом KSK корневой зоны. Отчет размещен в открытом доступе здесь.
В период проверки в этом году помимо обычных ежеквартальных операций подписания ключа проводилась также штатная работа по наращиванию возможностей — ввод в эксплуатацию нового оборудования и начало работы с доверенными представителями сообщества. Несмотря на то, что новый ключ для подписания ключей был сформирован в начале 2023 года, эта работа была приостановлена, а в 2024 году — перезапущена на новой технологической платформе.
В ходе аудиторской проверки SOC2 было обнаружено четыре несоответствия. Несмотря на то, что все выявленные недостатки были устранены, это первый раз за много лет, когда они вообще были обнаружены. Извлеченный из этого опыт будет использован для совершенствования практики работы разных подразделений корпорации ICANN.
«Когда в августе 2023 года в ходе аудиторской проверки были обнаружены недостатки, корпорация ICANN незамедлительно приняла меры по их устранению», — отметил Ким Дейвис (Kim Davies), вице-президент по исполнению функций IANA и президент Организации по открытым техническим идентификаторам (PTI). «Мы также реализовали дополнительные процедуры, призванные учесть выявленные проблемы на будущее».
В следующем году для систем присвоения идентификаторов и обслуживания регистратур ICANN планирует в дополнение к проверке SOC2 провести также проверку SOC3. Это позволит обеспечить большую транспарентность, поскольку по итогам этой работы будет опубликован общий отчет о результатах проверки таких систем, аналогичный отчету по итогам проверки управления ключом для подписания ключей корневой зоны.
В рамках аудиторских проверок контроля обслуживающих операций (SOC) оцениваются меры, предпринимаемые организациями для обеспечения безопасности в соответствии с «принципам трастовых услуг и их критериев», которые курируются Американским институтом дипломированных присяжных бухгалтеров (AICPA). Такие проверки, проводимые независимыми аудиторами, являются важной составляющей многовекторной подотчетности ICANN перед сообществом многих заинтересованных сторон в том, что касается исполнения функций IANA.
О корпорации ICANN
Миссия ICANN — способствовать обеспечению стабильности, безопасности и единства глобального интернета. Для того, чтобы связаться с кем-нибудь в интернете, в компьютер или другое устройство необходимо ввести адрес – имя или номер. Этот адрес должен быть уникальным, чтобы компьютеры могли друг друга находить. ICANN помогает координировать работу этих уникальных идентификаторов во всем мире. ICANN была сформирована в 1998 году в качестве некоммерческой общественной корпорации и сообщества участников со всего мира.