ucp-pos-seg-legistacao-aula01-parte01-historico e normas ... · de hardware, firmware e/ou software...

Legislaccedilatildeo e Normas de Seguranccedila da Informaccedilatildeo13Petroacutepolis Setembro e Novembro de 2015

Luiacutes Rodrigo de O GonccedilalvesE-mail lrodrigolrodrigocombrSite httpwwwlrodrigolnccbr

1

Uma visatildeo geral da legislaccedilatildeo nacional e das normas relacionadas agrave seguranccedila da informaccedilatildeo no Brasil e no Mundo

1

Toacutepicos

bull Motivaccedilatildeo bull Surgimento do Problema Claacutessico de Seguranccedila bull Surgimento das Primeiras Normas e Praacuteticas

bullOrigem e Evoluccedilatildeo da Seguranccedila da informaccedilatildeo

bull Normas e Diretrizes Internacionais

bullDefiniccedilotildees relacionadas agrave seguranccedila da informaccedilatildeo

bull Legislaccedilatildeo e Normas Nacionais

2

2

Motivaccedilatildeo

ldquoO ser humano sempre se preocupou com a sua seguranccedila e de seus bens isto faz parte de nossos instintosrdquo

3

ldquoAtualmente o maior bem que a humanidade possui satildeo as informaccedilotildees e conhecimentos gerados por elardquo

3

UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015

Histoacuterico

bull Desde a antiguidade que a humanidade tenta proteger seu conhecimento

bull No antigo Egito somente algumas castas possuiacuteam acesso a leitura e a escrita o mesmo ocorria na idade meacutedia

4

4

Histoacuterico

bull Com o advento a Primeira Grande Guerra e com o surgimento das Maacutequinas de Crifrar a seguranccedila dos dados eacute levada a outro patamar

bull Finalmente a interconexatildeo em larga escala dos computadores e os incidentes de seguranccedila forccedila o surgimento das normas internacionais

5

5

Histoacuterico

O problema claacutessico de seguranccedila

6

6


Histoacuterico13O problema claacutessico de seguranccedila

bull Segundo o NIST Hand Book []13

ldquoos primeiros problemas de seguranccedila surgem da necessidade de compartilhamento do processamento de

informaccedilotildees e recursos entre vaacuterios tipos de usuaacuteriosrdquo

7

7

ldquoComo fazer para que os usuaacuterios autorizados possam ter acesso a determinadas informaccedilotildees ao mesmo tempo que usuaacuterios natildeo autorizados natildeo possam ter acesso agrave elasrdquo

8


8

ldquoo time-sharing era visto como uma mera conveniecircncia mas criou uma nova forma de se trabalhar com o computadorrdquo

ldquosurgimento de vaacuterios tipos de perifeacutericos tais como

terminais de acesso dispositivos de armazenamento de dados com acesso aleatoacuterio e de novos softwares para

explora-los transformaria o computador em um novo tipo de maacutequinardquo

9


9


ldquodificuldade de se criar um SO time-sharing que operando em modo multi-niacutevel implemente os princiacutepios de niacutevel de seguranccedila e de sistema de liberaccedilatildeordquo

ldquocomo construir um sistema operacional time-

sharing multi-niacutevel segurordquo

10


10

bull Time-Sharing e a Classificaccedilatildeo das informaccedilotildees13

ldquoAteacute o iniacutecio da deacutecada de 1960 natildeo havia uma

metodologia para combinar vaacuterios niacuteveis de acesso e garantir que os usuaacuterios natildeo teriam acesso a conteuacutedo natildeo autorizadordquo

11


11

bull Primeiras propostas de soluccedilatildeo13

ldquoconstruccedilatildeo de um sistema operacional que

permitissem o compartilhamento seguro dos recursosrdquo

ldquofornecer um conjunto de provas que evidenciem a implementaccedilatildeo corretardquo

ldquorequeria o desenvolvimento de softwares confiaacuteveisrdquo

12


12


Histoacuterico

Software Crisis and The Doctrine

13

13

ldquocriaccedilatildeo de teacutecnicas que permitisse uma melhor especificaccedilatildeo e descriccedilatildeo do comportamento do softwarerdquo

ldquobusca de melhores teacutecnicas para o desenvolvimento organizaccedilatildeo e gerenciamento dos processos relacionados agrave construccedilatildeo e manutenccedilatildeo de softwarerdquo

ldquosurgimento das teacutecnicas de Verificaccedilatildeo do

programa e a Programaccedilatildeo estruturadardquo

Periacuteodo marcado pelo trabalhos de ldquo Ware e Andersonrdquo

14

Histoacuterico13Software Crisis

14

Primeiros artigos do Software Crisis

ldquoAssigning Meanings to Progransrdquo de R W Floyd - 1969

ldquoAn axiomatic basic for computer programingrdquo

de CAR Hoare publicado em 1969 na Communication da ACM

15


15


ldquoAn axiomatic basic for computer programingrdquo de CAR Hoare

ldquohellip programaccedilatildeo de computadores eacute uma ciecircncia exata na qual todas as propriedades de um programa e todas as consequecircncias de sua execuccedilatildeo em um dado ambiente pode a princiacutepio ser determinada pelo proacuteprio coacutedigo fonte helliprdquo

16


16

ldquoProgram development by step wise refinementrdquo de Niklaus Wirth - ACM Communication - 1971

ldquoA technique for software module specification with examplesrdquo de DLParnas - ACM Communication - 1972

17


17

DL Parnas publica vaacuterios artigos com o objetivo de desenvolver mecanismos para melhorar

bull o processo de elaboraccedilatildeo bull organizaccedilatildeo do projeto e bull construccedilatildeo de softwares

ldquo hellip tratar o software como vaacuterios moacutedulos de

programas que poderiam ser conectados para construir um software completo hellip rdquo

18


18


ldquoespecifica as funcionalidade que o Sistema

Operacional (SO) deve ter para controlar o acesso de usuaacuterios agraves informaccedilotildeesrdquo

ldquo desenvolvimento de teacutecnicas e para modelar e

construir os novos sistemas rdquo

Entre 1961 e 1963 o MIT lanccedila em estado experimental o primeiro SO de propoacutesito geral

19

Histoacuterico13The Doctrine

19

Histoacuterico

Surgimento das Primeiras Praacuteticas

20

20

bull USA196713ndash seguranccedila de computadores passa a ter atenccedilatildeo

oficial nos Estados Unidos ndash proteccedilatildeo de informaccedilotildees classificadas e do

compartilhamento de recursos ndash surge a primeira forccedila tarefa relacionada agrave

mecanismos de seguranccedila

21

Histoacuterico13Surgimento das primeiras praacuteticas

21


bull USA196713ldquo Security Control for Computer System Report of

Defense Science Board Task Force on Computer Security rdquo - DoD

ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico

22


22

bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia

Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila

ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD

23


23

bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o

design incorretohelliprdquo - JP Anderson

ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao

fornecimento de mecanismos para salvaguardar a seguranccedila de computadores

24


24


Histoacuterico

Security Kernel

25

25

Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System

Command)

ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo

26

Histoacuterico13Security Kernel (1973)

26

ldquo um subconjunto de hardware e software

suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou

liberadordquo

27


27


Parnas (1972) endossa as ideias de Schell e afirma

ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo

ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso

compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-

relacionados de acordo com o niacutevel de acesso de ambosrdquo

28


28

bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel

de ldquoimportancia aplicada a uma determinada informaccedilatildeo

ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo

ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas

29

Histoacuterico13Security Kernel e o Controle de Acesso

29

bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de

sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo

ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo

30


30


Histoacuterico

Surgimento das Primeiras Normas

31

31

bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados

Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila

ndash Surge o DoD Computer Security Initiative

32

Histoacuterico13Surgimento das Primeiras Normas

32

bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de

desenvolvimento e uso de seguranccedilardquo

ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo

ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo

33


33


ndash Somente a ultima iniciativa produz resultados

relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como

afirmavahellip ldquoI was again an unwilling volunteerrdquo

ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e

confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel

34


34

Histoacuterico

Orange Book

35

35

bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais

bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema

de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila

36

Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book

36


bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -

TMP Lee e outros

ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)

ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -

CSC (1982)

ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)

37


37

bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983

bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo

bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo

bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo

38


38

bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais

bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros

39


39


bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de

confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos

6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas

40


40

bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC

classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A

41


41

bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio

42


42


bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary

Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso

(ACL)

43


43

bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de

autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila

Primeiras versotildees do UNIX

44


44

bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria

Algumas versotildees de UNIX e VMS

45


45


bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de

sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das

informaccedilotildees que estatildeo na fila de impressatildeo

46


46

bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo

associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o

direito de uso

47


47

bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de

seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e

aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees

do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente

resistentes agrave penetraccedilatildeordquo

48


48


bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos

usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave

penetraccedilatildeordquo

49


49

bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as

informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em

todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema

bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto

bull Elevado grau de garantia que o sistema foi implementado corretamente

bull Meacutetodos formais para especificaccedilatildeo da TCB

50


50

Histoacuterico

Rainbow Series

51

51


bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer

Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)

ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo

52


52

bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1

73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments

Guideline - Guidance for Applying the Trusted Network Interpretation

bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1

102188)

bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted

Systems

53

Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees

53

bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for

Vendors

bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire

bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems

bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document

54


54


bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design

Documentation in Trusted Systems

bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals

bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in

Trusted Systems

bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in

Trusted Systems

55


55

bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility

Management

bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem

Interpretation of the Trusted Computer System Evaluation Criteria

bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)

Rationale for Selecting Access Control List Features for the UNIX System

56


56

bull Yellow Book

bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery

bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users

Guide for Trusted Systems

bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System

Security Officer Responsibilities for Automated Information Systems

57


57


bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection

bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and

Accreditation

bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel

Analysis of Trusted Systems

bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and

Authentication in Trusted Systems Systems

58


58

bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System

Interpretation

bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding

Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding

Configuration management in Trusted Systems

59


59

bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995

bull Green Book DoD Password Management Guidelines - CSC-STD-002-85

bull Light Yellow Book - Guidance for Applying the DoD Trusted

Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85

bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements

60

Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD

60


bull The Red Book The Trusted Networking Implementation (TNI) - 1990

bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992

61


61

Normas de Seguranccedila

Iniciativas de seguranccedila13posteriores ao TCSEC

62

62

ldquoDesde o surgimento do problema claacutessico

da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos

foram desenvolvidosrdquo

63

Normas de Seguranccedila13hellip

63


bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO

64

Normas de Seguranccedila13Protection Analysis

64

bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave

seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo

segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave

sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles

httpswwwisoorgobpuiisostdiso7498-2ed-1v1en

65

Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2

65

bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila

necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI

ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI

ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los

ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais

66


66


bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de

custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou

abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a

entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados

bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos

bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees

67

Normas de Seguranccedila13The Nist Handbook

67

bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation

Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de

avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de

seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC

ITSEC e TCSEC foram ldquoabandonados

68

Normas de Seguranccedila13Canadian Criteria

68

bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte

Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede

bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil

compreensatildeo

69

Normas de Seguranccedila13West German Information Security Agency

69


bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco

de dado bull Inicialmente utilizado para atender os requisitos do governo norte

americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais

que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo

bull O TDI utiliza as mesmas 6 classes do TSEC

bull 1992 - NIST e NSA - Federal Criteria


70

Normas de Seguranccedila13British Commercial Computer Security Center

70

bull 1992 - Europa - The Information Technology Security

Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de

seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na

Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa

bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais

bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados

71

Normas de Seguranccedila13NIST e NSA - Federal Criteria

71

bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto

com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC

bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo

bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common

Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos

e deu origem a uma segunda versatildeo em maio de 1998

72

Normas de Seguranccedila13International Common Criteria

72


bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA

assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas

bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original

bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo

73


73

bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a

criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente

bull A ISO 15408 foi publicada em primeiro de maio de 1999

74

Normas de Seguranccedila13ISOIEC 15408

74


Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo

75

75


76

ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de

Seguranccedila da Informaccedilatildeordquo

76

bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado

ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo

ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica

77

Normas de Seguranccedila da Informaccedilatildeo13BS7799

77

bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento

nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo


78


78


ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo

O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de

transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo

79


79

ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo

Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com

a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada

ISOIEC 177992000rdquo

80


80

ldquoA ISO se originou de um esforccedilo do governo britacircnico

que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a

avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo

81


81


bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo

ndashPD00031989 Coacutedigo de Gerenciamento de

Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado

como uma norma britacircnica (BS)

82


82


ndash BS7799-11995 - Information Technology - Code of

Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para

homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento

estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e

avaliaccedilatildeo do puacuteblico

83


83


ndash BS7799-21998 - Information Security Management

Systems ndash Em 1998 este documento foi publicado como BS7799-21998

(Information Security Management Systems)

ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999

ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia

84


84



bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se

destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente

submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track

bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799

bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes

bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000

85


85


bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma

para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a

ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica

bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas

bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002

86


86

- 01122000 - Publicaccedilatildeo da ISOIEC 177992000

ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo

87

Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799

87


bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo

bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica

o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000

bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001

bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo

bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros

88

Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799

88

- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000

89


89

bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo

2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo

3 Gestatildeo dos Ativos

4 Seguranccedila em recursos humanos

5 Seguranccedila Fiacutesica do Ambiente

6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees

7 Controle de Acessos

8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo

9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo

10Gestatildeo da Continuidade do Negoacutecio

11Conformidade

90


90


A Seacuterie 27000 da ISO

ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo

ldquo a combinar as melhores praacuteticas com padrotildees

de certificaccedilatildeordquo

91

Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000

91

A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila

da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de

Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a

uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)

92


92

A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2

para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005

(Coacutedigo de Boas Praacuteticas)

93


93



- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a

implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC

27001

94


94

A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios

relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de

meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de

Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001

95


95

A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila

da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de

riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma

australiana neozelandesa ASNZS 4360

96


96



- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo

97


97

98

98


Histoacuterico

bull Desde a antiguidade que a humanidade tenta proteger seu conhecimento

bull No antigo Egito somente algumas castas possuiacuteam acesso a leitura e a escrita o mesmo ocorria na idade meacutedia

4

4

Histoacuterico

bull Com o advento a Primeira Grande Guerra e com o surgimento das Maacutequinas de Crifrar a seguranccedila dos dados eacute levada a outro patamar

bull Finalmente a interconexatildeo em larga escala dos computadores e os incidentes de seguranccedila forccedila o surgimento das normas internacionais

5

5

Histoacuterico

O problema claacutessico de seguranccedila

6

6






7

7


8


8





9


9





10


10




11


11






12


12


Histoacuterico


13

13






14


14





15


15




16


16



17


17





18


18







19


19

Histoacuterico


20

20





21


21





22


22




23


23





24


24


Histoacuterico

Security Kernel

25

25


Command)


26


26



liberadordquo

27


27







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98






7

7


8


8





9


9





10


10




11


11






12


12


Histoacuterico


13

13






14


14





15


15




16


16



17


17





18


18







19


19

Histoacuterico


20

20





21


21





22


22




23


23





24


24


Histoacuterico

Security Kernel

25

25


Command)


26


26



liberadordquo

27


27







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98





10


10




11


11






12


12


Histoacuterico


13

13






14


14





15


15




16


16



17


17





18


18







19


19

Histoacuterico


20

20





21


21





22


22




23


23





24


24


Histoacuterico

Security Kernel

25

25


Command)


26


26



liberadordquo

27


27







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98


Histoacuterico


13

13






14


14





15


15




16


16



17


17





18


18







19


19

Histoacuterico


20

20





21


21





22


22




23


23





24


24


Histoacuterico

Security Kernel

25

25


Command)


26


26



liberadordquo

27


27







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98




16


16



17


17





18


18







19


19

Histoacuterico


20

20





21


21





22


22




23


23





24


24


Histoacuterico

Security Kernel

25

25


Command)


26


26



liberadordquo

27


27







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98







19


19

Histoacuterico


20

20





21


21





22


22




23


23





24


24


Histoacuterico

Security Kernel

25

25


Command)


26


26



liberadordquo

27


27







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98





22


22




23


23





24


24


Histoacuterico

Security Kernel

25

25


Command)


26


26



liberadordquo

27


27







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98


Histoacuterico

Security Kernel

25

25


Command)


26


26



liberadordquo

27


27







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98







28


28





29


29




30


30


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98


Histoacuterico


31

31




32


32





33


33







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98







34


34

Histoacuterico

Orange Book

35

35




36


36



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98



TMP Lee e outros



CSC (1982)


37


37





38


38



39


39





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98





40


40



41


41


42


42




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98




(ACL)

43


43




44


44



45


45





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98





46


46



direito de uso

47


47






48


48





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98





49


49







50


50

Histoacuterico

Rainbow Series

51

51





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98





52


52





102188)


Systems

53


53


Vendors




54


54






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98






Trusted Systems


Trusted Systems

55


55


Management





56


56

bull Yellow Book






57


57




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98




Accreditation





58


58


Interpretation




59


59






60


60




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98




61


61



62

62




63


63



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98



64


64






65


65






66


66








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98








67


67






68


68




compreensatildeo

69


69









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98









70


70







71


71







72


72






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98






73


73




74


74



75

75


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98


76



76




77


77




78


78





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98





79


79





80


80




81


81






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98






82


82







83


83







84


84









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98









85


85







86


86



87


87








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98








88


88


89


89











11Conformidade

90


90






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98






91


91





92


92




93


93





27001

94


94





95


95





96


96




97


97

98

98





27001

94


94





95


95





96


96




97


97

98

98




97


97

98

98


ucp-pos-seg-legistacao-aula01-parte01-historico e normas ... · de hardware, firmware e/ou software...

Documents