1 Майкрософт и защита персональных данных Владимир Мамыкин к.э.н., МВА Директор по информационной безопасности ООО «Майкрософт Рус» блог: ПЛАТФОРМА 12 ноября 2009

Позиция Майкрософт Не смотря на то, что окончательные требования по выполнению Закона о персональных данных являются закрытыми и полностью еще не опубликованы, мы заверяем своих Заказчиков, что Любые требования, которые будут предъявлять регулирующие органы для выполнения данного Закона, будут нами выполнены. Мы уверены, что уже существующие сертификаты, выданные ФСТЭК и ФСБ на продукты Майкрософт, могут быть использованы для выполнения требований Закона Если потребуется, то мы готовы провести дополнительные сертификационные работы. Но пока их необходимость официально не подтверждена.

Позиция Майкрософт - 2 Мы хотим подчеркнуть, что использование сертифицированных продуктов является недостаточным для соответствия Закону. Необходимо выполнение других, не менее (а и то и более) важных требований, например: Регистрация в качестве оператора по обработке персданных Классификация информационной системы Разработка модели угроз и комплекса мер по защите ПД (как правило с привлечением сторонней компании) Реализация мер по защите (именно здесь рассматривается вопрос о применении сертифицированных средств) Аттестация информационной системы на соответствие Закону

Что сделано Майкрософт Майкрософт с 2003 года сертифицирует свои продукты во ФСТЭК России (ранее Гостехкомиссия России) и ФСБ России на соответствие российским требованиям по обеспечению безопасности информации 4

5 Результаты сертификации во ФСТЭК Все продукты Майкрософт сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г : Windows XP Professional русская версия Windows Vista русская версия Windows Server 2003 и R2 (Standard и Enterprise) русские версии SQL Server 2000 и SQL Server 2005 (Standard и Enterprise) русские версии Office 2003 и 2007 Professional русские версия ISA Server 2006 (Standard) русская версия Семейство антивирусных продуктов Forefront ( Client, для Exchange и для SharePoint ) – русские версии Exchange Server 2007 – новый сертификат *** BizTalk Server 2006 R2 – новый сертификат *** SharePoint Server 2007 – новый сертификат *** *** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 2 класса включительно)

6 Получены новые сертификаты Windows Server 2008 Standard Enterprise Datacenter System Center Operation Manager 2007 System Center Configuration Manager 2007 R2 System Center Data Protection Manager 2007 Все эти сертификаты получены на соответствие уровню 1Г и Классу К3 Закона о персональных данных

7

8 Сертификаты на выписке (все работы закончены) SQL Server 2008 Office 2007 Plus System Center Virtual Machine Manager 2008

9 Работы по сертификации во ФСТЭК - на 1Г и на соответствие ФЗ 152 Windows 7 – сертификация идет BizTalk Server 2009 – сертификация идет Dynamix CRM 4.0 – сертификация идет Dynamix AX 2009 – сертификация идет Dynamix NAV 5.0 – сертификация идет

10 Планы по сертификации до июня 2010 Windows 7 – будет сертифицирована, в том числе и на НДВ Windows Server 2008 R2 – будет сертифицирован, в том числе и на НДВ SQL Server 2008 – будет сертифицирован, в том числе и на НДВ Office 2010 – будет сертифицирован, в том числе и на НДВ

11 Сертификация в ФСБ Сертифицированы: Windows XP Professional Windows Server 2003 Получено положительное заключения по результатам сертификации Удостоверяющий центр в Windows Server 2003 Каждый сертифицированный продукт включает в себя, кроме продукта Майкрософт, соответствующий продукту «Secure Pack Rus» Текущие работы: С НТЦ Атлас продолжаются работы по разработке удовлетворяющей требованиям ФСБ системы защищенного документооборота, построенной с использованием таких продуктов Майкрософт, как Windows Server 2003, Windows XP, SQL Server 2005, SharePoint Server 2007, и других. Ряд решений уже разработан, идет оформление документов для экспертирующей организации

12 ВЫВОДЫ С использованием продуктов Майкрософт могут быть построены системы любого класса защищенности, удовлетворяющие требованиям ФЗ 152. Основанием для этого является то, что Майкрософт предоставляет спецслужбам исходные коды продуктов для исследования У Майкрософт уже есть ПЛАТФОРМА сертифицированных по российским требованиям продуктов, аналогов которой нет у конкурентов Продукты Майкрософт штатно поддерживают российскую криптографию, что позволяет выполнять требования ФСБ к защите персональных данных Майкрософт продолжает сертификацию продуктов, в том числе на соответствие ФЗ 152 Наши Клиенты могут быть уверены, что используя продукты Майкрософт они сводят свои законодательные и технологические риски к минимально возможным

13 ВЫВОДЫ С использованием продуктов Майкрософт могут быть построены системы любого класса защищенности, удовлетворяющие требованиям ФЗ 152. Основанием для этого является то, что Майкрософт предоставляет спецслужбам исходные коды продуктов для исследования У Майкрософт уже есть ПЛАТФОРМА сертифицированных по российским требованиям продуктов, аналогов которой нет у конкурентов Продукты Майкрософт штатно поддерживают российскую криптографию, что позволяет выполнять требования ФСБ к защите персональных данных Майкрософт продолжает сертификацию продуктов, в том числе на соответствие ФЗ 152 Наши Клиенты могут быть уверены, что используя продукты Майкрософт они сводят свои законодательные и технологические риски к минимально возможным

14 СПАСИБО!!! Владимир Мамыкин

Уязвимости на 12 ноября 2009 Linux Kernel 2.6.x373 Sun Solaris Red Hat Enterprise Linux Server v FreeBSD 6.x 80 Microsoft Windows Server 2003 Ent.283 Microsoft Windows Server Apple Mac OS X – 1087 Red Hat Enterprise Linux Client v Ubuntu Linux 8.04 (апрель 2008)659 Windows Vista 143 Window 7 4 Oracle Database 11.x 239 IBM DB2 9.x 58 MySQL 5.x 35 Microsoft SQL Server Microsoft SQL Server Mozilla Firefox 3.x133 Opera 9.x 54 Microsoft Internet Explorer 8.x 16 Cisco ASA 7.x 51 Microsoft ISA Server