Мы давно привыкли к продуктам Microsoft. И в связи с продолжающими возрастать угрозами в области информационной безопасности интересно узнать, как в корпорации обстоят дела с обеспечением информационной безопасности. На наши вопросы отвечает Владимир МАМЫКИН, директор по информационной безопасности кабинета президента Microsoft в России и СНГ.
– Владимир Николаевич, какие действия предпринимает Microsoft для того, чтобы оградить пользователей своих продуктов от современных информационных угроз?
– Еще 3 года назад корпорация Microsoft анонсировала стратегию по созданию защищенных информационных систем (www.microsoft.com/rus/security/articles/trustworthy_computing/secure_information_systems.mspx – на русском языке). Она представляет собой комплексный взгляд на обеспечение информационной безопасности, и мы продолжаем считать ее своей самой приоритетной стратегией. Уже много сделано для реализации этой стратегии, и мы продолжаем работать над ее выполнением.
Основные направления, по которым у нас идет работа над совершенствованием защищенности, – это совершенствование технологий, создание бесплатных руководств по использованию имеющихся технологий и взаимодействие с партнерами и пользователями для получения обратной связи от них о качестве нашей работы. Конечно, это широкий взгляд на проблематику, но в описываемой стратегии все эти подходы детализированы. Например, совершенствование технологий включает прежде всего разработку защищенной архитектуры продукта, построение для него модели угроз, написание программного кода без изъянов, тесты на надежность и проникновение (в том числе с привлечением сторонних экспертов) и организация быстрого реагирования на появление новых угроз. Я кратко описал структуру так называемого цикла создания защищенных продуктов (SDL, Security Development Lifecycle). В настоящее время у нас более 15 тыс. сотрудников обучены этим процедурам. А так как способы атак и варианты защиты от них постоянно совершенствуются, то мы проводим повышение квалификации со сдачей экзаменов на регулярной основе – через несколько месяцев.
– Стратегии и концепции хороши только тогда, когда у них есть результаты. Каковы результаты воплощения вашей стратегии построения защищенных систем? И можно ли это как-то выразить в цифрах?
– Да, результаты внедрения стратегии построения защищенных систем мы можем выразить и в цифрах. Если вспомнить, то 3–4 года назад масштабные вирусные эпидемии были довольно частым явлением. Вирусы использовали уязвимости в продуктах Microsoft. Не скрою, эти эпидемии были одной из причин принятия нашей стратегии, направленной прежде всего на защиту пользователей. Если посмотреть сейчас, то массовых вирусных эпидемий нет. Компьютерные вирусы и черви не перевелись, но массовых заражений продуктов Microsoft уже давно не происходит. Это связано с тем, что вот уже 2 года, как количество обнаруженных уязвимостей в наших продуктах значительно меньше, чем у других производителей. Например, по результатам авторитетного бюллетеня CERT Cyber Security Bulletin (http://www.us-cert.gov/cas/bulletins/SB2005.html) в 2005 г. из 5198 уязвимостей, обнаруженных в продуктах мировых производителей, только 219 было обнаружено в продуктах Microsoft, включая и наши старые продукты. Это всего 4% от общего числа уязвимостей. В то же время только в ядре Linux было обнаружено 358 уязвимостей, не считая уязвимостей в продуктах производителей Linux (Reed Hat, Novell/SuSE и др.). Результаты этого отчета еще раз показывают, что продуктов без уязвимостей нет: в списке фигурирует известная продукция от IBM, Oracle, Sun, Cisco, Symantec и др.
Как результат резкого снижения количества уязвимостей в продуктах резко упало количество взломанных информационных систем, построенных на продуктах Microsoft. Так, по данным известного сайта www.zone-h.org, взломы по операционным системам распределились следующим образом: 58% взломов приходилось на Linux, наши старые системы взламывались в 19% случаях, а на новые системы (Windows Server 2003) приходилось только 8% взломов. Как видите, результаты впечатляют.
– Как это сказалось на корпоративных пользователях? Раньше довольно много проблем у администраторов информационных систем вызывали часто выходящие обновления (патчи) к вашим продуктам, которые надо было срочно ставить для защиты от вирусных атак.
– Это действительно вызывало проблемы с точки зрения планирования работ с информационными системами. Сейчас дело с патчами обстоит существенно лучше. Уже давно мы выпускаем коммулятивные патчи ежемесячно – каждый второй вторник месяца. В случае острой угрозы мы готовы выпустить патч немедленно, но пока за последний год таких случаев не было. Регулярность обновлений существенно повышает системность работы администраторов с информационными системами. Кстати, не во всех выходящих патчах содержатся обновления для систем безопасности. За последний год выходили два патча, в которых их не было. Просто за те месяцы не было обнаружено никаких уязвимостей в наших системах.
– Корпоративные пользователи бывают разные. У государственных организаций повышенные требования к обеспечению информационной безопасности. Как вы обеспечиваете их выполнение?
– Ключевыми моментами, определяющими успешность создания защищенных систем, являются сотрудничество с государством и выполнение национальных требований, предъявляемых для обеспечения безопасности критически важных элементов информационной структуры.
Понимая это, 3 года назад мы разработали специальную программу сотрудничества с государствами в области безопасности Government Security Program (GSP). Ее главная цель – дать правительствам разных стран убедиться в безопасности использования продуктов Microsoft в органах государственной власти. Для этого мы предоставляем исходные коды наших продуктов и, что не менее важно, техническую документацию.
Россия первая из всех стран в мире подписала с Microsoft соглашение GSP в конце 2002 г. Соглашение было подписано с ФАПСИ, непосредственным хранителем доступа к исходным кодам выступал ФГУП «НТЦ «Атлас». После того как ФАПСИ было расформировано, соглашение GSP было переподписано с ФСБ. При этом ФГУП «НТЦ «Атлас» ФСБ России» продолжает оставаться хранителем доступа к исходным кодам. То, что это соглашение подписано с ФСБ и «НТЦ «Атлас» ФСБ России» не означает, что только сотрудники этих организаций могут исследовать наши коды. Структура соглашения позволяет государственным организациям, заинтересованным в повышении доверия к нашим продуктам, изучать исходные коды и документацию в тех же объемах, что и «НТЦ «Атлас» и ФСБ.
– Каким образом подписание соглашения GSP повлияло на увеличение защищенности ваших продуктов?
– Я бы сказал, что сама защищенность программного продукта не зависит от подписания того или иного соглашения. Как продукт сделан, так он и работает. Но ведь государство хочет убедиться в том, что наши рассказы о продуктах соответствуют действительности. И, более того, у государства наверняка есть требования к продуктам, которые оно хочет проверить самостоятельно. Например, если речь идет о проверке наличия недокументированных возможностей, так называемых закладках, то каждое государство хочет убеждаться в этом самостоятельно. И в этом случае наличие исходных кодов продуктов является определяющим фактором для проведения таких проверок.
Сразу после того, как мы подписали соглашение GSP, мы начали сертификацию наших продуктов. Весной 2003 г. на сертификацию в ФАПСИ были отданы Windows Server 2003 и Windows XP. В Гостехкомиссии России тогда же началась сертификация этих же продуктов.
– Вам уже удалось сертифицировать какие-либо новые продукты в России?
– Мы имеем сертификаты на все основные продукты, на основе которых строится информационная инфраструктура: на клиентскую операционную систему Windows XP, серверную операционную систему Windows Server 2003, систему управления базами данных SQL Server 2000 и платформу приложений Office 2003 Professional. Это позволяет нам говорить о сертификации платформы наших продуктов. Сертификаты на эти продукты получены в Федеральной службе по экспортному и техническому контролю (ФСТЭК России, ранее Гостехкомиссия России). Заказчиком сертификации в ФСТЭК является ФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации». Причем этой уважаемой организацией не только получены сертификаты ФСТЭК на продукты, но и сертифицировано само их производство на территории этой организации в Москве. Это позволяет государственным организациям покупать и использовать сертифицированные продукты в любых количествах.
– Каковы результаты вашей работы по сертификации продуктов в ФСБ?
– В ФСБ завершена сертификация Windows XP Professional и Windows Server 2003, по результатам которой получены положительные заключения экспертной организации о том, что эти продукты с интегрированными российскими криптографическими средствами защиты информации соответствуют требованиям ФСБ России.
Впервые в России получено одобрение экспертной организации ФСБ России на операционные системы семейства Windows с интегрированной российской криптографией. До настоящего времени использование средств криптографической защиты на платформах Microsoft Windows по данному уровню защиты требовало от пользователя применения целого ряда разрозненных дополнительных (в том числе аппаратных) средств контроля целостности, аутентификации, средств разграничения доступа, дополнительных организационных мер защиты и выполнения целого ряда ограничений в использовании. Теперь пользователь получает весь необходимый функционал безопасности информации в виде специализированного программного пакета обновлений без ограничения функциональности исходных платформ.
– Как и где можно приобрести эти сертифицированные продукты и каковы ваши дальнейшие планы по сертификации в России?
– Сертифицированные в ФСТЭК продукты можно приобрести в Центре компетенции по продаже и поддержке сертифицированных решений (www.altx.ru). Сертифицированные в ФСБ продукты можно приобрести через сайт www.cantel.ru.
Сертифицированные продукты, так же как и обычные продукты Microsoft, организации могут покупать не только напрямую, но и через своих партнеров.
Что касается наших долгосрочных планов сотрудничества, они включают согласованную с «НТЦ «Атлас» ФСБ России» и ФСТЭК России программу создания комплексных защищенных информационных систем, в том числе с использованием российской криптографии. Эта программа позволит пользователям при построении своих решений использовать полностью сертифицированную платформу продуктов Microsoft, в которую кроме уже перечисленных продуктов планируется включать новую СУБД SQL Server 2005, межсетевой экран Internet Security and Acceleration Server 2006, почтовый сервер Exchange Server 2003, серверы для документооборота BizTalk Server и Share Point Portal Server, а также новые перспективные продукты, такие, как Windows Vista.
Как видите, нами в сотрудничестве с государством уже сделано немало. Но еще больше нам всем вместе предстоит сделать для обеспечения информационной безопасности нашей страны.
– Владимир Николаевич, какие действия предпринимает Microsoft для того, чтобы оградить пользователей своих продуктов от современных информационных угроз?
– Еще 3 года назад корпорация Microsoft анонсировала стратегию по созданию защищенных информационных систем (www.microsoft.com/rus/security/articles/trustworthy_computing/secure_information_systems.mspx – на русском языке). Она представляет собой комплексный взгляд на обеспечение информационной безопасности, и мы продолжаем считать ее своей самой приоритетной стратегией. Уже много сделано для реализации этой стратегии, и мы продолжаем работать над ее выполнением.
Основные направления, по которым у нас идет работа над совершенствованием защищенности, – это совершенствование технологий, создание бесплатных руководств по использованию имеющихся технологий и взаимодействие с партнерами и пользователями для получения обратной связи от них о качестве нашей работы. Конечно, это широкий взгляд на проблематику, но в описываемой стратегии все эти подходы детализированы. Например, совершенствование технологий включает прежде всего разработку защищенной архитектуры продукта, построение для него модели угроз, написание программного кода без изъянов, тесты на надежность и проникновение (в том числе с привлечением сторонних экспертов) и организация быстрого реагирования на появление новых угроз. Я кратко описал структуру так называемого цикла создания защищенных продуктов (SDL, Security Development Lifecycle). В настоящее время у нас более 15 тыс. сотрудников обучены этим процедурам. А так как способы атак и варианты защиты от них постоянно совершенствуются, то мы проводим повышение квалификации со сдачей экзаменов на регулярной основе – через несколько месяцев.
– Стратегии и концепции хороши только тогда, когда у них есть результаты. Каковы результаты воплощения вашей стратегии построения защищенных систем? И можно ли это как-то выразить в цифрах?
– Да, результаты внедрения стратегии построения защищенных систем мы можем выразить и в цифрах. Если вспомнить, то 3–4 года назад масштабные вирусные эпидемии были довольно частым явлением. Вирусы использовали уязвимости в продуктах Microsoft. Не скрою, эти эпидемии были одной из причин принятия нашей стратегии, направленной прежде всего на защиту пользователей. Если посмотреть сейчас, то массовых вирусных эпидемий нет. Компьютерные вирусы и черви не перевелись, но массовых заражений продуктов Microsoft уже давно не происходит. Это связано с тем, что вот уже 2 года, как количество обнаруженных уязвимостей в наших продуктах значительно меньше, чем у других производителей. Например, по результатам авторитетного бюллетеня CERT Cyber Security Bulletin (http://www.us-cert.gov/cas/bulletins/SB2005.html) в 2005 г. из 5198 уязвимостей, обнаруженных в продуктах мировых производителей, только 219 было обнаружено в продуктах Microsoft, включая и наши старые продукты. Это всего 4% от общего числа уязвимостей. В то же время только в ядре Linux было обнаружено 358 уязвимостей, не считая уязвимостей в продуктах производителей Linux (Reed Hat, Novell/SuSE и др.). Результаты этого отчета еще раз показывают, что продуктов без уязвимостей нет: в списке фигурирует известная продукция от IBM, Oracle, Sun, Cisco, Symantec и др.
Как результат резкого снижения количества уязвимостей в продуктах резко упало количество взломанных информационных систем, построенных на продуктах Microsoft. Так, по данным известного сайта www.zone-h.org, взломы по операционным системам распределились следующим образом: 58% взломов приходилось на Linux, наши старые системы взламывались в 19% случаях, а на новые системы (Windows Server 2003) приходилось только 8% взломов. Как видите, результаты впечатляют.
– Как это сказалось на корпоративных пользователях? Раньше довольно много проблем у администраторов информационных систем вызывали часто выходящие обновления (патчи) к вашим продуктам, которые надо было срочно ставить для защиты от вирусных атак.
– Это действительно вызывало проблемы с точки зрения планирования работ с информационными системами. Сейчас дело с патчами обстоит существенно лучше. Уже давно мы выпускаем коммулятивные патчи ежемесячно – каждый второй вторник месяца. В случае острой угрозы мы готовы выпустить патч немедленно, но пока за последний год таких случаев не было. Регулярность обновлений существенно повышает системность работы администраторов с информационными системами. Кстати, не во всех выходящих патчах содержатся обновления для систем безопасности. За последний год выходили два патча, в которых их не было. Просто за те месяцы не было обнаружено никаких уязвимостей в наших системах.
– Корпоративные пользователи бывают разные. У государственных организаций повышенные требования к обеспечению информационной безопасности. Как вы обеспечиваете их выполнение?
– Ключевыми моментами, определяющими успешность создания защищенных систем, являются сотрудничество с государством и выполнение национальных требований, предъявляемых для обеспечения безопасности критически важных элементов информационной структуры.
Понимая это, 3 года назад мы разработали специальную программу сотрудничества с государствами в области безопасности Government Security Program (GSP). Ее главная цель – дать правительствам разных стран убедиться в безопасности использования продуктов Microsoft в органах государственной власти. Для этого мы предоставляем исходные коды наших продуктов и, что не менее важно, техническую документацию.
Россия первая из всех стран в мире подписала с Microsoft соглашение GSP в конце 2002 г. Соглашение было подписано с ФАПСИ, непосредственным хранителем доступа к исходным кодам выступал ФГУП «НТЦ «Атлас». После того как ФАПСИ было расформировано, соглашение GSP было переподписано с ФСБ. При этом ФГУП «НТЦ «Атлас» ФСБ России» продолжает оставаться хранителем доступа к исходным кодам. То, что это соглашение подписано с ФСБ и «НТЦ «Атлас» ФСБ России» не означает, что только сотрудники этих организаций могут исследовать наши коды. Структура соглашения позволяет государственным организациям, заинтересованным в повышении доверия к нашим продуктам, изучать исходные коды и документацию в тех же объемах, что и «НТЦ «Атлас» и ФСБ.
– Каким образом подписание соглашения GSP повлияло на увеличение защищенности ваших продуктов?
– Я бы сказал, что сама защищенность программного продукта не зависит от подписания того или иного соглашения. Как продукт сделан, так он и работает. Но ведь государство хочет убедиться в том, что наши рассказы о продуктах соответствуют действительности. И, более того, у государства наверняка есть требования к продуктам, которые оно хочет проверить самостоятельно. Например, если речь идет о проверке наличия недокументированных возможностей, так называемых закладках, то каждое государство хочет убеждаться в этом самостоятельно. И в этом случае наличие исходных кодов продуктов является определяющим фактором для проведения таких проверок.
Сразу после того, как мы подписали соглашение GSP, мы начали сертификацию наших продуктов. Весной 2003 г. на сертификацию в ФАПСИ были отданы Windows Server 2003 и Windows XP. В Гостехкомиссии России тогда же началась сертификация этих же продуктов.
– Вам уже удалось сертифицировать какие-либо новые продукты в России?
– Мы имеем сертификаты на все основные продукты, на основе которых строится информационная инфраструктура: на клиентскую операционную систему Windows XP, серверную операционную систему Windows Server 2003, систему управления базами данных SQL Server 2000 и платформу приложений Office 2003 Professional. Это позволяет нам говорить о сертификации платформы наших продуктов. Сертификаты на эти продукты получены в Федеральной службе по экспортному и техническому контролю (ФСТЭК России, ранее Гостехкомиссия России). Заказчиком сертификации в ФСТЭК является ФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации». Причем этой уважаемой организацией не только получены сертификаты ФСТЭК на продукты, но и сертифицировано само их производство на территории этой организации в Москве. Это позволяет государственным организациям покупать и использовать сертифицированные продукты в любых количествах.
– Каковы результаты вашей работы по сертификации продуктов в ФСБ?
– В ФСБ завершена сертификация Windows XP Professional и Windows Server 2003, по результатам которой получены положительные заключения экспертной организации о том, что эти продукты с интегрированными российскими криптографическими средствами защиты информации соответствуют требованиям ФСБ России.
Впервые в России получено одобрение экспертной организации ФСБ России на операционные системы семейства Windows с интегрированной российской криптографией. До настоящего времени использование средств криптографической защиты на платформах Microsoft Windows по данному уровню защиты требовало от пользователя применения целого ряда разрозненных дополнительных (в том числе аппаратных) средств контроля целостности, аутентификации, средств разграничения доступа, дополнительных организационных мер защиты и выполнения целого ряда ограничений в использовании. Теперь пользователь получает весь необходимый функционал безопасности информации в виде специализированного программного пакета обновлений без ограничения функциональности исходных платформ.
– Как и где можно приобрести эти сертифицированные продукты и каковы ваши дальнейшие планы по сертификации в России?
– Сертифицированные в ФСТЭК продукты можно приобрести в Центре компетенции по продаже и поддержке сертифицированных решений (www.altx.ru). Сертифицированные в ФСБ продукты можно приобрести через сайт www.cantel.ru.
Сертифицированные продукты, так же как и обычные продукты Microsoft, организации могут покупать не только напрямую, но и через своих партнеров.
Что касается наших долгосрочных планов сотрудничества, они включают согласованную с «НТЦ «Атлас» ФСБ России» и ФСТЭК России программу создания комплексных защищенных информационных систем, в том числе с использованием российской криптографии. Эта программа позволит пользователям при построении своих решений использовать полностью сертифицированную платформу продуктов Microsoft, в которую кроме уже перечисленных продуктов планируется включать новую СУБД SQL Server 2005, межсетевой экран Internet Security and Acceleration Server 2006, почтовый сервер Exchange Server 2003, серверы для документооборота BizTalk Server и Share Point Portal Server, а также новые перспективные продукты, такие, как Windows Vista.
Как видите, нами в сотрудничестве с государством уже сделано немало. Но еще больше нам всем вместе предстоит сделать для обеспечения информационной безопасности нашей страны.