Защита персональных данных с Microsoft

Владимир МамыкинДиректор по информационной безопасности

ООО «Майкрософт Рус»

vladim@microsoft.com

блог: http://blogs.technet.com/mamykin/

«Современные решения и технологические политики Microsoftв интересах органов власти»Москва, 18 марта 2010

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Позиция Майкрософт• Майкрософт заверяет своих Заказчиков, что

– Любые требования, которые будут предъявлять регулирующие органы для выполнения данного Закона, будут нами выполнены.

– Мы уверены, что уже существующие сертификаты, выданные ФСТЭК и ФСБ на продукты Майкрософт, могут быть использованы для выполнения требований Закона

– Если потребуется, то мы готовы провести дополнительные сертификационные работы.

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Позиция Майкрософт - 2• Мы хотим подчеркнуть, что использование

сертифицированных продуктов является недостаточным для соответствия Закону. Необходимо выполнение других, не менее (а и то и более) важных требований, например:– Регистрация в качестве оператора по обработке персданных

– Классификация информационной системы

– Разработка модели угроз и комплекса мер по защите ПД (как правило с привлечением сторонней компании)

– Реализация мер по защите (именно здесь рассматривается вопрос о применении сертифицированных средств)

– Аттестация информационной системы на соответствие Закону

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Результаты сертификации• Все продукты Майкрософт, сертифицированные во ФСТЭК, могут быть использованы

для построения автоматизированных систем уровня защищенности 1Г:

• Windows XP Professional русская версия

• Windows Vista русская версия

• Windows Server 2003 и R2 (Standard и Enterprise) русские версии

• SQL Server 2005 (Standard и Enterprise) русские версии

• Office 2003 и 2007 Standard, Professional, Plus русские версии

• ISA Server 2006 (Standard) русская версия

• Антивирусные продукты Forefront (Client, для Exchange и для SharePoint) – русские версии

• Exchange Server 2007 ***• BizTalk Server 2006 R2 ***• SharePoint Server 2007 ****** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 2 класса

включительно)http://www.microsoft.com/Rus/Security/Certificate/Default.mspx

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Новые сертификаты• Windows Server 2008 (Standard, Enterprise,

Datacenter)

• SQL Server 2008 (Standard, Enterprise)

• System Center Operation Manager 2007

• System Center Configuration Manager 2007 R2

• System Center Data Protection Manager 2007

• System Center Virtual Machine Manager 2008• Все эти сертификаты получены на соответствие

– уровню 1Г

– Классу К3 Закона о персональных данных

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Объяснение несоответствий• Причина несоответствия классов персональных данных в

выданных ранее сертификатах (К2) и новых сертификатах (К3) при проведении одних и тех испытаний и полученных одних и тех же результах объяснялась ФСТЭК непроведением сертификационных испытаний на НДВ (отсутствие недекларированных возможностей) для продуктов, получивших класс К3. Для продуктов, получивших класс К2 сертификация на НДВ не проводилась.

• В соответствии с недавно вышедшими новыми документами ФСТЭК сертификация НДВ необходима только для класса К1. Поэтому все уже полученные сертификаты могут получить класс К2, а при проведении НДВ и класс К1

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Работы по сертификации• Windows 7 – сертификация идет, до июня 2010 все работы, включая НДВ, будут

завершены

• Windows Server 2008 R2 – сертификация идет, до июня 2010 все работы будут завершены. Работы по НДВ уже проведены

• BizTalk Server 2009 – сертификация идет

• Dynamix CRM 4.0 – сертификация закончена

• Dynamix AX 2009 – сертификация закончена

• Dynamix NAV 5.0 – сертификация закончена

• SQL Server 2008 - работы по НДВ до июня 2010 будут завершены (сертификат на 1Г уже получен)

• Office 2010 – сразу после выхода начнутся работы по сертификации, включая работы по НДВ

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Сертификация в ФСБ• Сертифицированы:

• Windows XP Professional

• Windows Server 2003 Enterprise

• SharePoint Server 2007 – новый сертификатПолучено положительное заключения по результатам сертификации

• Удостоверяющий центр в Windows Server 2003Каждый сертифицированный продукт включает в себя, кроме продукта Майкрософт, соответствующий

продукту «Secure Pack Rus»

• Работы и планы:• SQL Server 2008 – работы закончены, идет экспертиза

• Майкрософт будет сертифицировать все продукты для построения защищенного документооборота в органах государственной власти, удовлетворяющего требованиям ФСБ

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.9

Новые продукты для безопасности

Межсетевой экран нового поколения

Forefront TMG

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Защита периметра с Forefront TMG• Кроме стандартных подсистем межсетевых экранов:

• Система сигнатурного предотвращения атак– Сигнатуры, основанные на обнаруженных уязвимостях. Работают

ДО установки патчей

• Система предотвращения атак, основанная на анализе поведения– «Найди то, не знаю что»

• Отслеживает поведение систем и определяет потенциально зловредные компоненты внутренней сети

• Может противодействовать угрозе на основании политики безопасности

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.11

Новые продукты для безопасности

Универсальный портал доступа

Forefront UAG

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Защищенные публикации с Forefront UAG• Доступ к любым приложениям через SSL VPN

• Web-приложения

• Клиент/Серверные приложения

• Доступ к файловым ресурсам

• Специфические приложения (Citrix, Lotus, SAP, CRM и т.д.)

• Доступ как для управляемых, так и для неуправляемых клиентских систем

• Автоматическое определение состояния системы

• Ограничения доступа на основе соответствия политикам

• Очистка кэша и вложений, блокировка загрузки файлов, таймауты

• Единая точка входа• SSO с множеством служб каталога, протоколов и форматов

• Полностью настраиваемый внешний вид портала и пользовательского интерфейса

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

ВЫВОДЫ• Наши Клиенты могут быть уверены, что используя продукты

Майкрософт они сводят свои законодательные и технологические риски к минимально возможным: – Майкрософт предоставляет исходные коды продуктов для

исследования

– У Майкрософт уже есть ПЛАТФОРМА сертифицированных по российским требованиям продуктов, аналогов которой нет у конкурентов

– Продукты Майкрософт штатно поддерживают российскую криптографию

– Майкрософт продолжает сертификацию продуктов

– Продукты Майкрософт имеют минимальное число уязвимостей в своих классах (см. следующий слайд)

«Современные решения и технологические политики Microsoft в интересах органов власти», Москва , 18 марта 2010.

Уязвимости на 18 марта 2010• Sun Solaris 10 901• Red Hat Enterprise Linux Server v.5 1029• Microsoft Windows Server 2008 136

• Apple Mac OS X – 1114• Red Hat Enterprise Linux Client v.5 1113• Ubuntu Linux 8.04 (апрель 2008) 802• Windows 7 17

• Oracle Database 11.x 250• IBM DB2 9.x 83• MySQL 5.x 39• Microsoft SQL Server 2008 0

• Mozilla Firefox 3.x 150• Opera 9.x 56• Microsoft Internet Explorer 8.x 32

источник: http://secunia.com

Спасибоза внимание!

Владимир Мамыкинvladim@microsoft.com