the history of security standards and norms - overview
DESCRIPTION
The History of Security Standards and Norms - OverView, Class #4TRANSCRIPT
Pós-Graduação 2009
Histórico sobre Normas Segurança
Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
CON – A2 2
Cronograma
Semana Teoria Prática
1
Conceituação Básica SI
E01 Conceitos de Gestão de Risco
2 Histórico do Surgimento das Normas de Segurança
Sarbanes Oxley
E02
3 ISO/EIC 15408 (CC)
ITIL E03
4 Família 2700x (BS-7799)
COBIT
E04
5 Planejamento Corporativo de Segurança da Informação
Primeira Avaliação - Dissertativa P01
6
Resolução Prova
Apresentação Trabalhos:
BS 25999 – Gestão de Contiuidade de Negócios
RFC 2196 – Gestão de Resposta à Incidentes de Seguranca
Legislação Brasileira
COSO - Committee of Sponsoring Organizations of the Treadway Commission
T01
T02
CON – A2 3
Índice Histórico
1. Conceitos
2. Timeline
3. Conclusão
4. HomeWork
CON – A2 4
Conceitos
• DoD EUA, Oct, 1967
Willis H. Ware +
Computer Security Task-Force
Security Control for
Computer System:
Report of Defense
Sciense Board Task Force
on Computer Security
Primeira iniciativa - Conjunto de Regras
[!]
CON – A2 5
Conceitos
• CIA, 1967-1968
Weissmann
Sistema Operacional:
Políticas similares ao DoD
para ambiente S/360 IBM
- Baseado modelo MAC
Paralelamente ADEPT-50 OS
CON – A2 6
Conceitos
• James P. Anderson, Oct, 1972
ESD, US Air Force
Computer Security
Technology Planning Study:
Problemas envolvidos em
mecanismos para salvaguardar
a segurança de computadores
Mecanismos Segurança Relatório Técnico
[!]
CON – A2 7
Conceitos
Computer Security
Technology Planning Study
+ Secure Computer Systems: Mathematical Foundations
Mathematical Model
Refinament of Mathematical Model
= Doctrine
Fusões docs + materias Doctrine
}
} James P. Anderson
D.E. Bell
L. J. La Padula [!]
CON – A2 8
Conceitos
• Major Roger R. Schell, 1973
ESD, USAF
Security Kernels:
Principais componentes para
desenvolvimento seguro de
Sistemas Operacionais.
Técnicas & experimentos Security Kernels
[!]
CON – A2 9
Conceitos
• DoD, 1977
Security Classical Problems
DoD “Computer Security Initiative”
Centro do DoD torna-se referência
para validação de “quão” seguras
eram soluções disponibilizadas
Plano para Problemas Clássicos de Segurança
[!] Padrões?
CON – A2 10
Conceitos
• DoD, 1978 - ?
Major Roger Schell via Centro CSI
TCSEC - Trusted Computer Systems
Evaluation Criteria:
Classificação de sistemas em
“níveis pré-definidos de segurança”
DoD 5200.28-STD
TNI 1987
Padrões = The Orange Book!
[!]
CON – A2 11
Conceitos
Diversos padrões DoD = Rainbow Series/Books
CON – A2 12
Conceitos
TCSEC (Orange Book)
The Rainbow Series/Books
+ CTCPEC – Baseado US DoD (May, 1993)
ITSEC – France, Germany, UK... ( ≈ 1990 )
= Commom Criteria (CC) ≈ 1996
Fusão de padrões Commom Criteria
}
} DoD - USA
Canadian Stardard European Stardard
CON – A2 13
Conceitos
CC 1.0 Jan,1996
CC 2.0 May,1998
CC 2.1 Mar,1999
ISO 15408 1999
ISO 15408:2005 2005
[ Updates ] ...Sep,2006/07
• Medir grau de confiabilidade em SO´s;
• Guia para desenvolvimento para aplicações sensíveis/seguras;
• Base para "especificação" de requisitos (segurança em produtos).
...CC x.y CC 2.1 ISO 15408
[!]
CON – A2 14
Conclusão
DoD, Ware (RS) 1967 Security Control for Computer System CIA , Weissmann (OST) 67-68 ADEPT-50 USAF, Anderson (TR) 1972 Computer Sec. Tech.Planning Study J.P.A., La Padula, Bell (SB) 72-73 Doctrine ESD/USAF, R. Schell, (T&E) 1973 Security Kernel DoD “Computer Sec Initiative 1977 Security Classical Problems DoD, Roger Schell via CSI 1978 Orange Book (TCSEC) DoD & NCSC 83-95 The Rainbow Series Fusão, CC 2.1 – ISO 15408 96-99 TCSEC, CTCPEC e ITSEC Updates... 99-0x ISO 15408... ... ?
Linha do tempo...
CON – A2 15
Cartoon
Source: Operating System Structures to Support Security and Reliable Software – NIST, 1976
CON – A2 16
Homework
Pesquisar destino ISO/IEC 15408
?