1 / 17

Опыт построения глобальной системы создания защищенных информационных систем

Опыт построения глобальной системы создания защищенных информационных систем. Владимир Мамыкин Директор по информационной безопасности Microsoft в России. Инфофорум 17 сентября 2014. История.... 2002 год. Массовые эпидемии вирусов в сетях из продуктов Майкрософт.

dorothy-harding
Download Presentation

Опыт построения глобальной системы создания защищенных информационных систем

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Опыт построения глобальной системы создания защищенных информационных систем Владимир Мамыкин Директор по информационной безопасности Microsoft в России Инфофорум 17 сентября 2014

  2. История.... 2002 год • Массовые эпидемии вирусов в сетях из продуктов Майкрософт • Выявлена основная проблема – создание продуктов ведется без учета возможных атак на него • Поэтому: • Билл Гейтс принимает решение о создании специального подразделения в структуре Майкрософт, которое должно изменить подход к созданию продуктов и разработать стратегию создания защищенных информационных систем • Создается центр «Trustworthy Computing» • Найм профессионалов по безопасности по всему миру

  3. Bill Gates TwCMemo Digital Identity Theft & Misuse Основные вехи High Profile Viruses & Worms Security Development Lifecycle (SDL) Debut 389 Million World Internet Users Windows 7, IE8, Security Essentials Released Targeted Attacks & Persistent Adversaries 2.4Billion+ World Internet Users Windows Vista BitLocker & UAC 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 TwCNext Windows XP Access Control Microsoft Malware Protection Center Established 1.14 Billion World Internet Users High Profile Botnet Takedowns Windows 8 UEFI Secure Boot

  4. SDL Secure Development Lifecycle: создание защищенного ПО • Разработка методологии SDL • Тренинги для программистов как писать софт без уязвимостей • Разработка модели угроз для каждого нового продукта • Разработка архитектуры безопасности продукта • Непрерывное тестирование качества кода в том числе с привлечением третьих компаний

  5. Обязательства Майкрософт Trustworthy Computing Digital Crimes Unit Worldwide Public Sector Microsoft IT Microsoft Consulting Services Security, Reliability, Privacy Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Policy, Innovation Risk Assessment, Cybersecurity Services Защита TwC Network Security Secure Development & Secure Operations Conception • Security Development Lifecycle (SDL) • Operational Security Assurance (OSA) • Identity & Access Management • Advisory Services and Risk Assessments Product Life Cycle Ecosystem & Policy Innovation Обнаружение • Microsoft Malware Protection Center (MMPC) • Microsoft Active Protections Program (MAPP) • Advanced Tools & Technologies • Remote Security Incident Reporting Internal External Release Ответ • Microsoft Security Response Center (MSRC) • Onsite Security Incident Response Teams • Fighting IP Crimes, Fraud, and Child Exploitation • Policy & Advocacy Microsoft Security Response Center Global Security Strategy & Diplomacy

  6. Trustworthy Computing (TwC) Trustworthy Computing Digital Crimes Unit Worldwide Public Sector Microsoft IT Microsoft Consulting Services Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Policy, Innovation Risk Assessment, Cybersecurity Services Microsoft Security Response Center (MSRC) Microsoft Malware Protection Center (MMPC) Microsoft Security Engineering Center (MSEC) Fundamentals, Innovation, Partnerships Global and Security Strategy and Diplomacy (GSSD) Government Security Program (GSP) Operational Security Assurance (OSA) Security Development Lifecycle (SDL)

  7. Digital Crimes Unit (DCU) Digital Crimes Unit Microsoft IT Microsoft Consulting Services Worldwide Public Sector Trustworthy Computing Policy, Innovation Solutions, Initiatives, Innovations Security, Reliability, Privacy Risk Assessment, Cybersecurity Services Criminal Law Enforcement Government Industry Partners Proactive Disruption Malicious Software Crimes IP Crimes Child Exploitation

  8. Consulting Services Microsoft Consulting Services Trustworthy Computing Microsoft IT Digital Crimes Unit Worldwide Public Sector Security, Reliability, Privacy Policy, Innovation Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Protect Microsoft & Showcase Learnings Advanced Tools & Technologies Cybersecurity Services Extensive Reach with World-Class Architects, Consultants, & Engineers Advisory Services & Risk Assessments Remote Security Incident Report Security Solutions & Consulting Online Security Incident Response

  9. Предоставление исходных кодов для Государства • Майкрософт в 2002 разработал программу GSP (Government Security Program) предоставления исходных кодов своих программ Правительствам для анализа качества кодов и проверки отсутствия в них «закладок» • В 2002 программа GSP была подписана с НТЦ Атлас и согласована с ФСБ (ФАПСИ), она действует и в настоящее время • Анализ исходных кодов НЕ означает предоставления доступа к данным, хранящимся на компьютерах, в том числе к персональным данным • В НТЦ «Атлас» с 2003 года на постоянной основе работает лаборатория по исследованию исходных кодов • Сертификация в ФСБ основана на изучении исходных кодов, предоставленных по программе GSP

  10. Сертификация во ФСТЭК Сертифицировано более 60 продуктов Все продукты сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г и для систем обработки персональных данных От Windows XP Windows Server 2003 и антивирусов Forefront До Windows 8 Windows Server 2012и SQL Server 2012

  11. Закончена сертификация во ФСТЭК Windows 8.1 Windows Server 2012 R2 SharePoint Server 2013 Office 2013 Exchange Server 2013, Lync Server 2013 и многие другие продукты

  12. Сертификация в ФСБ Windows XP Professional Windows Server 2003 Enterprise SQL Server 2008 Windows 7 Windows Server 2012 R2 Exchange Server 2010 Lync 2010 Windows 8 и 8.1

  13. Защищенные облака Публичные облачные сервисы Microsoft сертифицированы по самым строгим стандартам безопасности (организационным): EU Safe Harbor EU Model Clauses ISO 27001 HIPAA FISMA В частных облаках надо использовать уже сертифицированные ФСТЭК и ФСБ продукты

  14. Некоторые примеры При проведении Олимпиады в Сочи официальный сайт Олимпийских игр работал с использованием облачных технологий Майкрософт Azure Правительство России теперь стало использовать планшеты Samsung с сертифицированной ФСБ Windows 8 На ряде критически важных для государства объектов обработка сведений, составляющих государственную тайну, уже много лет ведется на продуктах Майкрософт с использованием модулей, разработанных российскими партнерами

  15. ВЫВОДЫ Наши Заказчики могут быть уверены, что используя продукты Майкрософт они сводят свои законодательные и технологические риски к минимально возможным потому, что Майкрософт предоставляет исходные коды продуктов для исследования У Майкрософт уже есть ПЛАТФОРМА сертифицированных по российским требованиям продуктов, аналогов которой нет у конкурентов В продуктах Майкрософт может использоваться российская криптография, разработанная партнерами Майкрософт продолжает сертификацию продуктов Продукты Майкрософт имеют минимальное число уязвимостей в своих классах (см. следующий слайд)

  16. Уязвимости на 01 сентября 2014 • Sun Solaris 10.х1724 • Red Hat Enterprise Linux Server 52718 • FreeBSD 6.x 86 • Microsoft Windows Server 2008 499 • Microsoft Windows Server 2012 220 • Apple Macintosh OS X – 2118 • Red Hat Enterprise Linux Desktop 53016 • Ubuntu Linux 8.04 (выпуск 2008 год)1687 (находят 23 уязв/мес) • Ubuntu Linux 12.04 (выпуск 2012 год) 2006 (находят 60 уязв/мес) • Windows XP Pro (выпуск 2001 год) 668 (находят 4 уязв/мес) • Windows 7 (выпуск 07.2009) 359 (находят 6 уязв/мес) • Windows 8 (выпуск 08.2012)222 (находят 13 уязв/мес) • Windows 8.1 65 • OracleDatabase 11.x 382 • IBM DB2 9.x 136 • MySQL 5.x 250 • Microsoft SQL Server 2008 6 • Microsoft SQL Server 2012 3 источник: http://secunia.com

  17. Спасибо! Владимир Мамыкин Директор по информационной безопасности

More Related