Microsoft IT - Инфофорум 2015

Report
История.... 2002 год
•
Массовые эпидемии вирусов в сетях из
продуктов Майкрософт
• Выявлена основная проблема – создание
продуктов ведется без учета возможных атак на
него
Поэтому:
• Билл Гейтс принимает решение о создании
специального подразделения в структуре
Майкрософт, которое должно изменить подход
к созданию продуктов и разработать стратегию
создания защищенных информационных
систем
• Создается центр «Trustworthy Computing»
• Найм профессионалов по безопасности по
всему миру
Основные вехи
SDL Secure Development Lifecycle:
создание защищенного ПО
• Разработка методологии SDL
•
Тренинги для программистов как писать софт
без уязвимостей
• Разработка модели угроз для каждого нового
продукта
• Разработка архитектуры безопасности продукта
• Непрерывное тестирование качества кода в
том числе с привлечением третьих компаний
Обязательства Майкрософт
Digital
Crimes Unit
Worldwide
Public
Sector
Trustworthy
Computing
Microsoft IT
Microsoft
Consulting
Services
Criminal Law Enforcement,
Government, Industry
Solutions, Initiatives,
Innovations
Security, Reliability,
Privacy
Policy, Innovation
Risk Assessment,
Cybersecurity Services
Защита
•
•
•
•
Security Development Lifecycle (SDL)
Operational Security Assurance (OSA)
Identity & Access Management
Advisory Services and Risk Assessments
•
•
•
•
Microsoft Malware Protection Center (MMPC)
Microsoft Active Protections Program (MAPP)
Advanced Tools & Technologies
Remote Security Incident Reporting
•
•
•
•
Microsoft Security Response Center (MSRC)
Onsite Security Incident Response Teams
Fighting IP Crimes, Fraud, and Child Exploitation
Policy & Advocacy
Обнаружение
Ответ
Trustworthy Computing (TwC)
Digital
Crimes Unit
Worldwide
Public
Sector
Criminal Law Enforcement,
Government, Industry
Solutions, Initiatives,
Innovations
Trustworthy
Computing
Microsoft Security
Response Center
(MSRC)
Microsoft Malware
Protection Center
(MMPC)
Microsoft IT
Microsoft
Consulting
Services
Policy, Innovation
Risk Assessment,
Cybersecurity Services
Microsoft Security
Engineering Center
(MSEC)
Fundamentals, Innovation, Partnerships
Security
Development
Lifecycle (SDL)
Operational
Security Assurance
(OSA)
Government
Security
Program
(GSP)
Global and
Security Strategy
and Diplomacy
(GSSD)
Digital Crimes Unit (DCU)
Microsoft IT
Policy, Innovation
Microsoft
Consulting
Services
Digital
Crimes Unit
Risk Assessment,
Cybersecurity Services
Criminal Law
Enforcement
Government
Worldwide
Public
Sector
Trustworthy
Computing
Solutions, Initiatives,
Innovations
Security, Reliability,
Privacy
Industry Partners
Proactive Disruption
Malicious
Software Crimes
IP Crimes
Child
Exploitation
Consulting Services
Trustworthy
Computing
Microsoft IT
Security, Reliability,
Privacy
Policy, Innovation
Microsoft
Consulting
Services
Protect Microsoft &
Showcase Learnings
Cybersecurity
Services
Digital
Crimes Unit
Worldwide
Public
Sector
Criminal Law Enforcement,
Government, Industry
Solutions, Initiatives,
Innovations
Advanced Tools
& Technologies
Extensive Reach with World-Class
Architects, Consultants, & Engineers
Advisory Services &
Risk Assessments
Remote Security Online Security
Incident Report Incident Response
Security Solutions
& Consulting
Предоставление исходных
кодов для Государства
• Майкрософт в 2002 разработал программу GSP
(Government Security Program) предоставления
исходных кодов своих программ
Правительствам для анализа качества кодов и
проверки отсутствия в них «закладок»
• В 2002 программа GSP была подписана с НТЦ
Атлас и согласована с ФСБ (ФАПСИ), она
действует и в настоящее время
• Анализ исходных кодов НЕ означает предоставления
доступа к данным, хранящимся на компьютерах, в
том числе к персональным данным
• В НТЦ «Атлас» с 2003 года на постоянной основе
работает лаборатория по исследованию исходных кодов
• Сертификация в ФСБ основана на изучении исходных
кодов, предоставленных по программе GSP
Сертификация во ФСТЭК
Сертифицировано более 60 продуктов
Все продукты сертифицированы «как есть», без
изменений, и могут быть использованы для построения
автоматизированных систем уровня защищенности 1Г и
для систем обработки персональных данных
От
Windows XP
Windows Server 2003 и
антивирусов Forefront
До
Windows 8
Windows Server 2012 и
SQL Server 2012
Закончена сертификация во ФСТЭК
Windows 8.1
Windows Server 2012 R2
SharePoint Server 2013
Office 2013
Exchange Server 2013, Lync Server 2013
и многие другие продукты
Сертификация в ФСБ
Windows XP Professional
Windows Server 2003 Enterprise
SQL Server 2008
Windows 7
Windows Server 2012 R2
Exchange Server 2010
Lync 2010
Windows 8 и 8.1
Защищенные облака
Публичные облачные сервисы Microsoft
сертифицированы по самым строгим
стандартам безопасности (организационным):
EU Safe Harbor
ISO 27001
EU Model Clauses
HIPAA
FISMA
В частных облаках надо использовать уже
сертифицированные ФСТЭК и ФСБ продукты
Некоторые примеры
При проведении Олимпиады в Сочи
официальный сайт Олимпийских игр работал
с использованием облачных технологий
Майкрософт Azure
Правительство России теперь стало
использовать планшеты Samsung с
сертифицированной ФСБ Windows 8
На ряде критически важных для государства
объектов обработка сведений, составляющих
государственную тайну, уже много лет ведется
на продуктах Майкрософт с использованием
модулей, разработанных российскими
партнерами
ВЫВОДЫ
Наши Заказчики могут быть уверены, что используя
продукты Майкрософт они сводят свои
законодательные и технологические риски к
минимально возможным потому, что
Майкрософт предоставляет исходные коды продуктов
для исследования
У Майкрософт уже есть ПЛАТФОРМА
сертифицированных по российским требованиям
продуктов, аналогов которой нет у конкурентов
В продуктах Майкрософт может использоваться
российская криптография, разработанная партнерами
Майкрософт продолжает сертификацию продуктов
Продукты Майкрософт имеют минимальное число
уязвимостей в своих классах (см. следующий слайд)
Уязвимости на 01 сентября 2014
источник: http://secunia.com
Спасибо!
Владимир Мамыкин
Директор по информационной безопасности

similar documents