Pós-Graduação 2009

Histórico sobre Normas Segurança

Jairo Willian Pereira

Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified

jairo.pereira@gmail.com

CON – A2 2

Cronograma

Semana Teoria Prática

1

Conceituação Básica SI

E01 Conceitos de Gestão de Risco

2 Histórico do Surgimento das Normas de Segurança

Sarbanes Oxley

E02

3 ISO/EIC 15408 (CC)

ITIL E03

4 Família 2700x (BS-7799)

COBIT

E04

5 Planejamento Corporativo de Segurança da Informação

Primeira Avaliação - Dissertativa P01

6

Resolução Prova

Apresentação Trabalhos:

BS 25999 – Gestão de Contiuidade de Negócios

RFC 2196 – Gestão de Resposta à Incidentes de Seguranca

Legislação Brasileira

COSO - Committee of Sponsoring Organizations of the Treadway Commission

T01

T02

CON – A2 3

Índice Histórico

1. Conceitos

2. Timeline

3. Conclusão

4. HomeWork

CON – A2 4

Conceitos

• DoD EUA, Oct, 1967

Willis H. Ware +

Computer Security Task-Force

Security Control for

Computer System:

Report of Defense

Sciense Board Task Force

on Computer Security

Primeira iniciativa - Conjunto de Regras

[!]

CON – A2 5

Conceitos

• CIA, 1967-1968

Weissmann

Sistema Operacional:

Políticas similares ao DoD

para ambiente S/360 IBM

- Baseado modelo MAC

Paralelamente ADEPT-50 OS

CON – A2 6

Conceitos

• James P. Anderson, Oct, 1972

ESD, US Air Force

Computer Security

Technology Planning Study:

Problemas envolvidos em

mecanismos para salvaguardar

a segurança de computadores

Mecanismos Segurança Relatório Técnico

[!]

CON – A2 7

Conceitos

Computer Security

Technology Planning Study

+ Secure Computer Systems: Mathematical Foundations

Mathematical Model

Refinament of Mathematical Model

= Doctrine

Fusões docs + materias Doctrine

}

} James P. Anderson

D.E. Bell

L. J. La Padula [!]

CON – A2 8

Conceitos

• Major Roger R. Schell, 1973

ESD, USAF

Security Kernels:

Principais componentes para

desenvolvimento seguro de

Sistemas Operacionais.

Técnicas & experimentos Security Kernels

[!]

CON – A2 9

Conceitos

• DoD, 1977

Security Classical Problems

DoD “Computer Security Initiative”

Centro do DoD torna-se referência

para validação de “quão” seguras

eram soluções disponibilizadas

Plano para Problemas Clássicos de Segurança

[!] Padrões?

CON – A2 10

Conceitos

• DoD, 1978 - ?

Major Roger Schell via Centro CSI

TCSEC - Trusted Computer Systems

Evaluation Criteria:

Classificação de sistemas em

“níveis pré-definidos de segurança”

DoD 5200.28-STD

TNI 1987

Padrões = The Orange Book!

[!]

CON – A2 11

Conceitos

Diversos padrões DoD = Rainbow Series/Books

CON – A2 12

Conceitos

TCSEC (Orange Book)

The Rainbow Series/Books

+ CTCPEC – Baseado US DoD (May, 1993)

ITSEC – France, Germany, UK... ( ≈ 1990 )

= Commom Criteria (CC) ≈ 1996

Fusão de padrões Commom Criteria

}

} DoD - USA

Canadian Stardard European Stardard

CON – A2 13

Conceitos

CC 1.0 Jan,1996

CC 2.0 May,1998

CC 2.1 Mar,1999

ISO 15408 1999

ISO 15408:2005 2005

[ Updates ] ...Sep,2006/07

• Medir grau de confiabilidade em SO´s;

• Guia para desenvolvimento para aplicações sensíveis/seguras;

• Base para "especificação" de requisitos (segurança em produtos).

...CC x.y CC 2.1 ISO 15408

[!]

CON – A2 14

Conclusão

DoD, Ware (RS) 1967 Security Control for Computer System CIA , Weissmann (OST) 67-68 ADEPT-50 USAF, Anderson (TR) 1972 Computer Sec. Tech.Planning Study J.P.A., La Padula, Bell (SB) 72-73 Doctrine ESD/USAF, R. Schell, (T&E) 1973 Security Kernel DoD “Computer Sec Initiative 1977 Security Classical Problems DoD, Roger Schell via CSI 1978 Orange Book (TCSEC) DoD & NCSC 83-95 The Rainbow Series Fusão, CC 2.1 – ISO 15408 96-99 TCSEC, CTCPEC e ITSEC Updates... 99-0x ISO 15408... ... ?

Linha do tempo...

CON – A2 15

Cartoon

Source: Operating System Structures to Support Security and Reliable Software – NIST, 1976

CON – A2 16

Homework

Pesquisar destino ISO/IEC 15408

?

CON – A1 17

Fim