История.... 2002 год • Массовые эпидемии вирусов в сетях из продуктов Майкрософт • Выявлена основная проблема – создание продуктов ведется без учета возможных атак на него Поэтому: • Билл Гейтс принимает решение о создании специального подразделения в структуре Майкрософт, которое должно изменить подход к созданию продуктов и разработать стратегию создания защищенных информационных систем • Создается центр «Trustworthy Computing» • Найм профессионалов по безопасности по всему миру Основные вехи SDL Secure Development Lifecycle: создание защищенного ПО • Разработка методологии SDL • Тренинги для программистов как писать софт без уязвимостей • Разработка модели угроз для каждого нового продукта • Разработка архитектуры безопасности продукта • Непрерывное тестирование качества кода в том числе с привлечением третьих компаний Обязательства Майкрософт Digital Crimes Unit Worldwide Public Sector Trustworthy Computing Microsoft IT Microsoft Consulting Services Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Security, Reliability, Privacy Policy, Innovation Risk Assessment, Cybersecurity Services Защита • • • • Security Development Lifecycle (SDL) Operational Security Assurance (OSA) Identity & Access Management Advisory Services and Risk Assessments • • • • Microsoft Malware Protection Center (MMPC) Microsoft Active Protections Program (MAPP) Advanced Tools & Technologies Remote Security Incident Reporting • • • • Microsoft Security Response Center (MSRC) Onsite Security Incident Response Teams Fighting IP Crimes, Fraud, and Child Exploitation Policy & Advocacy Обнаружение Ответ Trustworthy Computing (TwC) Digital Crimes Unit Worldwide Public Sector Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Trustworthy Computing Microsoft Security Response Center (MSRC) Microsoft Malware Protection Center (MMPC) Microsoft IT Microsoft Consulting Services Policy, Innovation Risk Assessment, Cybersecurity Services Microsoft Security Engineering Center (MSEC) Fundamentals, Innovation, Partnerships Security Development Lifecycle (SDL) Operational Security Assurance (OSA) Government Security Program (GSP) Global and Security Strategy and Diplomacy (GSSD) Digital Crimes Unit (DCU) Microsoft IT Policy, Innovation Microsoft Consulting Services Digital Crimes Unit Risk Assessment, Cybersecurity Services Criminal Law Enforcement Government Worldwide Public Sector Trustworthy Computing Solutions, Initiatives, Innovations Security, Reliability, Privacy Industry Partners Proactive Disruption Malicious Software Crimes IP Crimes Child Exploitation Consulting Services Trustworthy Computing Microsoft IT Security, Reliability, Privacy Policy, Innovation Microsoft Consulting Services Protect Microsoft & Showcase Learnings Cybersecurity Services Digital Crimes Unit Worldwide Public Sector Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Advanced Tools & Technologies Extensive Reach with World-Class Architects, Consultants, & Engineers Advisory Services & Risk Assessments Remote Security Online Security Incident Report Incident Response Security Solutions & Consulting Предоставление исходных кодов для Государства • Майкрософт в 2002 разработал программу GSP (Government Security Program) предоставления исходных кодов своих программ Правительствам для анализа качества кодов и проверки отсутствия в них «закладок» • В 2002 программа GSP была подписана с НТЦ Атлас и согласована с ФСБ (ФАПСИ), она действует и в настоящее время • Анализ исходных кодов НЕ означает предоставления доступа к данным, хранящимся на компьютерах, в том числе к персональным данным • В НТЦ «Атлас» с 2003 года на постоянной основе работает лаборатория по исследованию исходных кодов • Сертификация в ФСБ основана на изучении исходных кодов, предоставленных по программе GSP Сертификация во ФСТЭК Сертифицировано более 60 продуктов Все продукты сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г и для систем обработки персональных данных От Windows XP Windows Server 2003 и антивирусов Forefront До Windows 8 Windows Server 2012 и SQL Server 2012 Закончена сертификация во ФСТЭК Windows 8.1 Windows Server 2012 R2 SharePoint Server 2013 Office 2013 Exchange Server 2013, Lync Server 2013 и многие другие продукты Сертификация в ФСБ Windows XP Professional Windows Server 2003 Enterprise SQL Server 2008 Windows 7 Windows Server 2012 R2 Exchange Server 2010 Lync 2010 Windows 8 и 8.1 Защищенные облака Публичные облачные сервисы Microsoft сертифицированы по самым строгим стандартам безопасности (организационным): EU Safe Harbor ISO 27001 EU Model Clauses HIPAA FISMA В частных облаках надо использовать уже сертифицированные ФСТЭК и ФСБ продукты Некоторые примеры При проведении Олимпиады в Сочи официальный сайт Олимпийских игр работал с использованием облачных технологий Майкрософт Azure Правительство России теперь стало использовать планшеты Samsung с сертифицированной ФСБ Windows 8 На ряде критически важных для государства объектов обработка сведений, составляющих государственную тайну, уже много лет ведется на продуктах Майкрософт с использованием модулей, разработанных российскими партнерами ВЫВОДЫ Наши Заказчики могут быть уверены, что используя продукты Майкрософт они сводят свои законодательные и технологические риски к минимально возможным потому, что Майкрософт предоставляет исходные коды продуктов для исследования У Майкрософт уже есть ПЛАТФОРМА сертифицированных по российским требованиям продуктов, аналогов которой нет у конкурентов В продуктах Майкрософт может использоваться российская криптография, разработанная партнерами Майкрософт продолжает сертификацию продуктов Продукты Майкрософт имеют минимальное число уязвимостей в своих классах (см. следующий слайд) Уязвимости на 01 сентября 2014 источник: http://secunia.com Спасибо! Владимир Мамыкин Директор по информационной безопасности