Поэтому: Билл Гейтс принимает решение о создании специального подразделения в структуре Майкрософт, которое должно изменить подход к созданию продуктов. - презентация

1

2 Поэтому: Билл Гейтс принимает решение о создании специального подразделения в структуре Майкрософт, которое должно изменить подход к созданию продуктов и разработать стратегию создания защищенных информационных систем Создается центр «Trustworthy Computing» Найм профессионалов по безопасности по всему миру Массовые эпидемии вирусов в сетях из продуктов Майкрософт Выявлена основная проблема – создание продуктов ведется без учета возможных атак на него История год

3 Основные вехи

4 Разработка модели угроз для каждого нового продукта Разработка архитектуры безопасности продукта Непрерывное тестирование качества кода в том числе с привлечением третьих компаний Тренинги для программистов как писать софт без уязвимостей Разработка методологии SDL SDL Secure Development Lifecycle: создание защищенного ПО

5 Worldwide Public Sector Digital Crimes Unit Microsoft IT Microsoft Consulting Services Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Policy, Innovation Risk Assessment, Cybersecurity Services Trustworthy Computing Security, Reliability, Privacy Secure Development & Secure Operations TwC Network Security Microsoft Security Response Center Global Security Strategy & Diplomacy Product Life Cycle Release Conception Ecosystem & Policy Innovation InternalExternal Защита Обнаружение Ответ Security Development Lifecycle (SDL) Operational Security Assurance (OSA) Identity & Access Management Advisory Services and Risk Assessments Microsoft Malware Protection Center (MMPC) Microsoft Active Protections Program (MAPP) Advanced Tools & Technologies Remote Security Incident Reporting Microsoft Security Response Center (MSRC) Onsite Security Incident Response Teams Fighting IP Crimes, Fraud, and Child Exploitation Policy & Advocacy Обязательства Майкрософт

6 Trustworthy Computing Worldwide Public Sector Digital Crimes Unit Trustworthy Computing (TwC) Microsoft IT Microsoft Consulting Services Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Policy, Innovation Risk Assessment, Cybersecurity Services Microsoft Security Response Center (MSRC) Fundamentals, Innovation, Partnerships Operational Security Assurance (OSA) Government Security Program (GSP) Global and Security Strategy and Diplomacy (GSSD) Microsoft Malware Protection Center (MMPC) Microsoft Security Engineering Center (MSEC) Security Development Lifecycle (SDL)

7 Microsoft IT Worldwide Public Sector Digital Crimes Unit Microsoft IT Microsoft Consulting Services Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Risk Assessment, Cybersecurity Services Trustworthy Computing Security, Reliability, Privacy Consumerization of IT Microsofts Innovative Digital Foundation Virtual Smart Card/VPN, BitLocker, and Microsoft AV 311K System Center managed devices Intune management of employee owned devices Evolving for the future How we do it at Microsoft 176K SharePoint sites migrated to the cloud

8 Digital Crimes Unit Worldwide Public Sector Digital Crimes Unit (DCU) Microsoft IT Microsoft Consulting Services Solutions, Initiatives, Innovations Policy, Innovation Risk Assessment, Cybersecurity Services Trustworthy Computing Security, Reliability, Privacy Criminal Law Enforcement Proactive Disruption Malicious Software Crimes IP CrimesChild Exploitation GovernmentIndustry Partners

9 Worldwide Public Sector Digital Crimes Unit Worldwide Public Sector Digital Crimes Unit Microsoft IT Microsoft Consulting Services Cybercrime Center Criminal Law Enforcement, Government, Industry Policy, Innovation Risk Assessment, Cybersecurity Services Trustworthy Computing Security, Reliability, Privacy Education Solutions, Initiatives, Innovations Identity & Access Management Data Protection Secure Development & Deployment Compliance & Monitoring Government Public Safety and National Security

10 Microsoft Consulting Services Worldwide Public Sector Digital Crimes Unit Consulting Services Microsoft IT Criminal Law Enforcement, Government, Industry Solutions, Initiatives, Innovations Policy, Innovation Trustworthy Computing Security, Reliability, Privacy Protect Microsoft & Showcase Learnings Extensive Reach with World-Class Architects, Consultants, & Engineers Remote Security Incident Report Online Security Incident Response Security Solutions & Consulting Cybersecurity Services Advanced Tools & Technologies Advisory Services & Risk Assessments

11 Майкрософт в 2002 разработал программу GSP (Government Security Program) предоставления исходных кодов своих программ Правительствам для анализа качества кодов и проверки отсутствия в них «закладок» В 2002 программа GSP была подписана с НТЦ Атлас и согласована с ФСБ (ФАПСИ), она действует и в настоящее время Анализ исходных кодов НЕ означает предоставления доступа к данным, хранящимся на компьютерах, в том числе к персональным данным В НТЦ «Атлас» с 2003 года на постоянной основе работает лаборатория по исследованию исходных кодов Сертификация в ФСБ основана на изучении исходных кодов, предоставленных по программе GSP Предоставление исходных кодов для Государства

12 До Windows 8 Windows Server 2012 и SQL Server 2012 Сертифицировано более 60 продуктов Все продукты сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г и для систем обработки персональных данных От Windows XP Windows Server 2003 и антивирусов Forefront Сертификация во ФСТЭК

13 Windows Server 2012 R2 Закончена сертификация во ФСТЭК Windows 8.1 SharePoint Server 2013 Office 2013 Exchange Server 2013, Lync Server 2013 и многие другие продукты

14 Exchange Server 2010 Сертификация в ФСБ Windows Server 2012 R2 Windows 7 SQL Server 2008 Windows Server 2003 Enterprise Windows XP Professional Windows 8 и 8.1 Lync 2010

15 Публичные облачные сервисы Microsoft сертифицированы по самым строгим стандартам безопасности (организационным) : Защищенные облака EU Safe HarborEU Model Clauses ISO 27001HIPAAFISMA В частных облаках надо использовать уже сертифицированные ФСТЭК и ФСБ продукты

16 На ряде критически важных для государства объектов обработка сведений, составляющих государственную тайну, уже много лет ведется на продуктах Майкрософт с использованием модулей, разработанных российскими партнерами Некоторые примеры При проведении Олимпиады в Сочи официальный сайт Олимпийских игр работал с использованием облачных технологий Майкрософт Azure Правительство России теперь стало использовать планшеты Samsung с сертифицированной ФСБ Windows 8

17 Наши Заказчики могут быть уверены, что используя продукты Майкрософт они сводят свои законодательные и технологические риски к минимально возможным потому, что Майкрософт предоставляет исходные коды продуктов для исследования ВЫВОДЫ У Майкрософт уже есть ПЛАТФОРМА сертифицированных по российским требованиям продуктов, аналогов которой нет у конкурентов Майкрософт продолжает сертификацию продуктов Продукты Майкрософт имеют минимальное число уязвимостей в своих классах (см. следующий слайд) В продуктах Майкрософт может использоваться российская криптография, разработанная партнерами

18 Уязвимости на 01 сентября 2014 источник:

19 Спасибо! Владимир Мамыкин Директор по информационной безопасности