microsoftdownload.microsoft.com/documents/rus/government/security.pdf• Специфические...
TRANSCRIPT
Защита персональных данных с Microsoft
Владимир МамыкинДиректор по информационной безопасности
ООО «Майкрософт Рус»
блог: http://blogs.technet.com/mamykin/
«Современные решения и технологические политики Microsoftв интересах органов власти»Москва, 18 марта 2010
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Позиция Майкрософт• Майкрософт заверяет своих Заказчиков, что
– Любые требования, которые будут предъявлять регулирующие органы для выполнения данного Закона, будут нами выполнены.
– Мы уверены, что уже существующие сертификаты, выданные ФСТЭК и ФСБ на продукты Майкрософт, могут быть использованы для выполнения требований Закона
– Если потребуется, то мы готовы провести дополнительные сертификационные работы.
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Позиция Майкрософт - 2• Мы хотим подчеркнуть, что использование
сертифицированных продуктов является недостаточным для соответствия Закону. Необходимо выполнение других, не менее (а и то и более) важных требований, например:– Регистрация в качестве оператора по обработке персданных
– Классификация информационной системы
– Разработка модели угроз и комплекса мер по защите ПД (как правило с привлечением сторонней компании)
– Реализация мер по защите (именно здесь рассматривается вопрос о применении сертифицированных средств)
– Аттестация информационной системы на соответствие Закону
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Результаты сертификации• Все продукты Майкрософт, сертифицированные во ФСТЭК, могут быть использованы
для построения автоматизированных систем уровня защищенности 1Г:
• Windows XP Professional русская версия
• Windows Vista русская версия
• Windows Server 2003 и R2 (Standard и Enterprise) русские версии
• SQL Server 2005 (Standard и Enterprise) русские версии
• Office 2003 и 2007 Standard, Professional, Plus русские версии
• ISA Server 2006 (Standard) русская версия
• Антивирусные продукты Forefront (Client, для Exchange и для SharePoint) – русские версии
• Exchange Server 2007 ***• BizTalk Server 2006 R2 ***• SharePoint Server 2007 ****** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 2 класса
включительно)http://www.microsoft.com/Rus/Security/Certificate/Default.mspx
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Новые сертификаты• Windows Server 2008 (Standard, Enterprise,
Datacenter)
• SQL Server 2008 (Standard, Enterprise)
• System Center Operation Manager 2007
• System Center Configuration Manager 2007 R2
• System Center Data Protection Manager 2007
• System Center Virtual Machine Manager 2008• Все эти сертификаты получены на соответствие
– уровню 1Г
– Классу К3 Закона о персональных данных
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Объяснение несоответствий• Причина несоответствия классов персональных данных в
выданных ранее сертификатах (К2) и новых сертификатах (К3) при проведении одних и тех испытаний и полученных одних и тех же результах объяснялась ФСТЭК непроведением сертификационных испытаний на НДВ (отсутствие недекларированных возможностей) для продуктов, получивших класс К3. Для продуктов, получивших класс К2 сертификация на НДВ не проводилась.
• В соответствии с недавно вышедшими новыми документами ФСТЭК сертификация НДВ необходима только для класса К1. Поэтому все уже полученные сертификаты могут получить класс К2, а при проведении НДВ и класс К1
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Работы по сертификации• Windows 7 – сертификация идет, до июня 2010 все работы, включая НДВ, будут
завершены
• Windows Server 2008 R2 – сертификация идет, до июня 2010 все работы будут завершены. Работы по НДВ уже проведены
• BizTalk Server 2009 – сертификация идет
• Dynamix CRM 4.0 – сертификация закончена
• Dynamix AX 2009 – сертификация закончена
• Dynamix NAV 5.0 – сертификация закончена
• SQL Server 2008 - работы по НДВ до июня 2010 будут завершены (сертификат на 1Г уже получен)
• Office 2010 – сразу после выхода начнутся работы по сертификации, включая работы по НДВ
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Сертификация в ФСБ• Сертифицированы:
• Windows XP Professional
• Windows Server 2003 Enterprise
• SharePoint Server 2007 – новый сертификатПолучено положительное заключения по результатам сертификации
• Удостоверяющий центр в Windows Server 2003Каждый сертифицированный продукт включает в себя, кроме продукта Майкрософт, соответствующий
продукту «Secure Pack Rus»
• Работы и планы:• SQL Server 2008 – работы закончены, идет экспертиза
• Майкрософт будет сертифицировать все продукты для построения защищенного документооборота в органах государственной власти, удовлетворяющего требованиям ФСБ
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.9
Новые продукты для безопасности
Межсетевой экран нового поколения
Forefront TMG
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Защита периметра с Forefront TMG• Кроме стандартных подсистем межсетевых экранов:
• Система сигнатурного предотвращения атак– Сигнатуры, основанные на обнаруженных уязвимостях. Работают
ДО установки патчей
• Система предотвращения атак, основанная на анализе поведения– «Найди то, не знаю что»
• Отслеживает поведение систем и определяет потенциально зловредные компоненты внутренней сети
• Может противодействовать угрозе на основании политики безопасности
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.11
Новые продукты для безопасности
Универсальный портал доступа
Forefront UAG
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Защищенные публикации с Forefront UAG• Доступ к любым приложениям через SSL VPN
• Web-приложения
• Клиент/Серверные приложения
• Доступ к файловым ресурсам
• Специфические приложения (Citrix, Lotus, SAP, CRM и т.д.)
• Доступ как для управляемых, так и для неуправляемых клиентских систем
• Автоматическое определение состояния системы
• Ограничения доступа на основе соответствия политикам
• Очистка кэша и вложений, блокировка загрузки файлов, таймауты
• Единая точка входа• SSO с множеством служб каталога, протоколов и форматов
• Полностью настраиваемый внешний вид портала и пользовательского интерфейса
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
ВЫВОДЫ• Наши Клиенты могут быть уверены, что используя продукты
Майкрософт они сводят свои законодательные и технологические риски к минимально возможным: – Майкрософт предоставляет исходные коды продуктов для
исследования
– У Майкрософт уже есть ПЛАТФОРМА сертифицированных по российским требованиям продуктов, аналогов которой нет у конкурентов
– Продукты Майкрософт штатно поддерживают российскую криптографию
– Майкрософт продолжает сертификацию продуктов
– Продукты Майкрософт имеют минимальное число уязвимостей в своих классах (см. следующий слайд)
«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.
Уязвимости на 18 марта 2010• Sun Solaris 10 901• Red Hat Enterprise Linux Server v.5 1029• Microsoft Windows Server 2008 136
• Apple Mac OS X – 1114• Red Hat Enterprise Linux Client v.5 1113• Ubuntu Linux 8.04 (апрель 2008) 802• Windows 7 17
• Oracle Database 11.x 250• IBM DB2 9.x 83• MySQL 5.x 39• Microsoft SQL Server 2008 0
• Mozilla Firefox 3.x 150• Opera 9.x 56• Microsoft Internet Explorer 8.x 32
источник: http://secunia.com
Спасибоза внимание!
Владимир Мамыкин[email protected]