ucp-pos-seg-legistacao-aula01-parte01-historico e normas ... · de hardware, firmware e/ou software...
TRANSCRIPT
Legislaccedilatildeo e Normas de Seguranccedila da Informaccedilatildeo13Petroacutepolis Setembro e Novembro de 2015
Luiacutes Rodrigo de O GonccedilalvesE-mail lrodrigolrodrigocombrSite httpwwwlrodrigolnccbr
1
Uma visatildeo geral da legislaccedilatildeo nacional e das normas relacionadas agrave seguranccedila da informaccedilatildeo no Brasil e no Mundo
1
Toacutepicos
bull Motivaccedilatildeo bull Surgimento do Problema Claacutessico de Seguranccedila bull Surgimento das Primeiras Normas e Praacuteticas
bullOrigem e Evoluccedilatildeo da Seguranccedila da informaccedilatildeo
bull Normas e Diretrizes Internacionais
bullDefiniccedilotildees relacionadas agrave seguranccedila da informaccedilatildeo
bull Legislaccedilatildeo e Normas Nacionais
2
2
Motivaccedilatildeo
ldquoO ser humano sempre se preocupou com a sua seguranccedila e de seus bens isto faz parte de nossos instintosrdquo
3
ldquoAtualmente o maior bem que a humanidade possui satildeo as informaccedilotildees e conhecimentos gerados por elardquo
3
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
bull Desde a antiguidade que a humanidade tenta proteger seu conhecimento
bull No antigo Egito somente algumas castas possuiacuteam acesso a leitura e a escrita o mesmo ocorria na idade meacutedia
4
4
Histoacuterico
bull Com o advento a Primeira Grande Guerra e com o surgimento das Maacutequinas de Crifrar a seguranccedila dos dados eacute levada a outro patamar
bull Finalmente a interconexatildeo em larga escala dos computadores e os incidentes de seguranccedila forccedila o surgimento das normas internacionais
5
5
Histoacuterico
O problema claacutessico de seguranccedila
6
6
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico13O problema claacutessico de seguranccedila
bull Segundo o NIST Hand Book []13
ldquoos primeiros problemas de seguranccedila surgem da necessidade de compartilhamento do processamento de
informaccedilotildees e recursos entre vaacuterios tipos de usuaacuteriosrdquo
7
7
ldquoComo fazer para que os usuaacuterios autorizados possam ter acesso a determinadas informaccedilotildees ao mesmo tempo que usuaacuterios natildeo autorizados natildeo possam ter acesso agrave elasrdquo
8
Histoacuterico13O problema claacutessico de seguranccedila
8
ldquoo time-sharing era visto como uma mera conveniecircncia mas criou uma nova forma de se trabalhar com o computadorrdquo
ldquosurgimento de vaacuterios tipos de perifeacutericos tais como
terminais de acesso dispositivos de armazenamento de dados com acesso aleatoacuterio e de novos softwares para
explora-los transformaria o computador em um novo tipo de maacutequinardquo
9
Histoacuterico13O problema claacutessico de seguranccedila
9
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquodificuldade de se criar um SO time-sharing que operando em modo multi-niacutevel implemente os princiacutepios de niacutevel de seguranccedila e de sistema de liberaccedilatildeordquo
ldquocomo construir um sistema operacional time-
sharing multi-niacutevel segurordquo
10
Histoacuterico13O problema claacutessico de seguranccedila
10
bull Time-Sharing e a Classificaccedilatildeo das informaccedilotildees13
ldquoAteacute o iniacutecio da deacutecada de 1960 natildeo havia uma
metodologia para combinar vaacuterios niacuteveis de acesso e garantir que os usuaacuterios natildeo teriam acesso a conteuacutedo natildeo autorizadordquo
11
Histoacuterico13O problema claacutessico de seguranccedila
11
bull Primeiras propostas de soluccedilatildeo13
ldquoconstruccedilatildeo de um sistema operacional que
permitissem o compartilhamento seguro dos recursosrdquo
ldquofornecer um conjunto de provas que evidenciem a implementaccedilatildeo corretardquo
ldquorequeria o desenvolvimento de softwares confiaacuteveisrdquo
12
Histoacuterico13O problema claacutessico de seguranccedila
12
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Software Crisis and The Doctrine
13
13
ldquocriaccedilatildeo de teacutecnicas que permitisse uma melhor especificaccedilatildeo e descriccedilatildeo do comportamento do softwarerdquo
ldquobusca de melhores teacutecnicas para o desenvolvimento organizaccedilatildeo e gerenciamento dos processos relacionados agrave construccedilatildeo e manutenccedilatildeo de softwarerdquo
ldquosurgimento das teacutecnicas de Verificaccedilatildeo do
programa e a Programaccedilatildeo estruturadardquo
Periacuteodo marcado pelo trabalhos de ldquo Ware e Andersonrdquo
14
Histoacuterico13Software Crisis
14
Primeiros artigos do Software Crisis
ldquoAssigning Meanings to Progransrdquo de R W Floyd - 1969
ldquoAn axiomatic basic for computer programingrdquo
de CAR Hoare publicado em 1969 na Communication da ACM
15
Histoacuterico13Software Crisis
15
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoAn axiomatic basic for computer programingrdquo de CAR Hoare
ldquohellip programaccedilatildeo de computadores eacute uma ciecircncia exata na qual todas as propriedades de um programa e todas as consequecircncias de sua execuccedilatildeo em um dado ambiente pode a princiacutepio ser determinada pelo proacuteprio coacutedigo fonte helliprdquo
16
Histoacuterico13Software Crisis
16
ldquoProgram development by step wise refinementrdquo de Niklaus Wirth - ACM Communication - 1971
ldquoA technique for software module specification with examplesrdquo de DLParnas - ACM Communication - 1972
17
Histoacuterico13Software Crisis
17
DL Parnas publica vaacuterios artigos com o objetivo de desenvolver mecanismos para melhorar
bull o processo de elaboraccedilatildeo bull organizaccedilatildeo do projeto e bull construccedilatildeo de softwares
ldquo hellip tratar o software como vaacuterios moacutedulos de
programas que poderiam ser conectados para construir um software completo hellip rdquo
18
Histoacuterico13Software Crisis
18
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoespecifica as funcionalidade que o Sistema
Operacional (SO) deve ter para controlar o acesso de usuaacuterios agraves informaccedilotildeesrdquo
ldquo desenvolvimento de teacutecnicas e para modelar e
construir os novos sistemas rdquo
Entre 1961 e 1963 o MIT lanccedila em estado experimental o primeiro SO de propoacutesito geral
19
Histoacuterico13The Doctrine
19
Histoacuterico
Surgimento das Primeiras Praacuteticas
20
20
bull USA196713ndash seguranccedila de computadores passa a ter atenccedilatildeo
oficial nos Estados Unidos ndash proteccedilatildeo de informaccedilotildees classificadas e do
compartilhamento de recursos ndash surge a primeira forccedila tarefa relacionada agrave
mecanismos de seguranccedila
21
Histoacuterico13Surgimento das primeiras praacuteticas
21
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull USA196713ldquo Security Control for Computer System Report of
Defense Science Board Task Force on Computer Security rdquo - DoD
ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico
22
Histoacuterico13Surgimento das primeiras praacuteticas
22
bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia
Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila
ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD
23
Histoacuterico13Surgimento das primeiras praacuteticas
23
bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o
design incorretohelliprdquo - JP Anderson
ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao
fornecimento de mecanismos para salvaguardar a seguranccedila de computadores
24
Histoacuterico13Surgimento das primeiras praacuteticas
24
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
bull Desde a antiguidade que a humanidade tenta proteger seu conhecimento
bull No antigo Egito somente algumas castas possuiacuteam acesso a leitura e a escrita o mesmo ocorria na idade meacutedia
4
4
Histoacuterico
bull Com o advento a Primeira Grande Guerra e com o surgimento das Maacutequinas de Crifrar a seguranccedila dos dados eacute levada a outro patamar
bull Finalmente a interconexatildeo em larga escala dos computadores e os incidentes de seguranccedila forccedila o surgimento das normas internacionais
5
5
Histoacuterico
O problema claacutessico de seguranccedila
6
6
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico13O problema claacutessico de seguranccedila
bull Segundo o NIST Hand Book []13
ldquoos primeiros problemas de seguranccedila surgem da necessidade de compartilhamento do processamento de
informaccedilotildees e recursos entre vaacuterios tipos de usuaacuteriosrdquo
7
7
ldquoComo fazer para que os usuaacuterios autorizados possam ter acesso a determinadas informaccedilotildees ao mesmo tempo que usuaacuterios natildeo autorizados natildeo possam ter acesso agrave elasrdquo
8
Histoacuterico13O problema claacutessico de seguranccedila
8
ldquoo time-sharing era visto como uma mera conveniecircncia mas criou uma nova forma de se trabalhar com o computadorrdquo
ldquosurgimento de vaacuterios tipos de perifeacutericos tais como
terminais de acesso dispositivos de armazenamento de dados com acesso aleatoacuterio e de novos softwares para
explora-los transformaria o computador em um novo tipo de maacutequinardquo
9
Histoacuterico13O problema claacutessico de seguranccedila
9
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquodificuldade de se criar um SO time-sharing que operando em modo multi-niacutevel implemente os princiacutepios de niacutevel de seguranccedila e de sistema de liberaccedilatildeordquo
ldquocomo construir um sistema operacional time-
sharing multi-niacutevel segurordquo
10
Histoacuterico13O problema claacutessico de seguranccedila
10
bull Time-Sharing e a Classificaccedilatildeo das informaccedilotildees13
ldquoAteacute o iniacutecio da deacutecada de 1960 natildeo havia uma
metodologia para combinar vaacuterios niacuteveis de acesso e garantir que os usuaacuterios natildeo teriam acesso a conteuacutedo natildeo autorizadordquo
11
Histoacuterico13O problema claacutessico de seguranccedila
11
bull Primeiras propostas de soluccedilatildeo13
ldquoconstruccedilatildeo de um sistema operacional que
permitissem o compartilhamento seguro dos recursosrdquo
ldquofornecer um conjunto de provas que evidenciem a implementaccedilatildeo corretardquo
ldquorequeria o desenvolvimento de softwares confiaacuteveisrdquo
12
Histoacuterico13O problema claacutessico de seguranccedila
12
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Software Crisis and The Doctrine
13
13
ldquocriaccedilatildeo de teacutecnicas que permitisse uma melhor especificaccedilatildeo e descriccedilatildeo do comportamento do softwarerdquo
ldquobusca de melhores teacutecnicas para o desenvolvimento organizaccedilatildeo e gerenciamento dos processos relacionados agrave construccedilatildeo e manutenccedilatildeo de softwarerdquo
ldquosurgimento das teacutecnicas de Verificaccedilatildeo do
programa e a Programaccedilatildeo estruturadardquo
Periacuteodo marcado pelo trabalhos de ldquo Ware e Andersonrdquo
14
Histoacuterico13Software Crisis
14
Primeiros artigos do Software Crisis
ldquoAssigning Meanings to Progransrdquo de R W Floyd - 1969
ldquoAn axiomatic basic for computer programingrdquo
de CAR Hoare publicado em 1969 na Communication da ACM
15
Histoacuterico13Software Crisis
15
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoAn axiomatic basic for computer programingrdquo de CAR Hoare
ldquohellip programaccedilatildeo de computadores eacute uma ciecircncia exata na qual todas as propriedades de um programa e todas as consequecircncias de sua execuccedilatildeo em um dado ambiente pode a princiacutepio ser determinada pelo proacuteprio coacutedigo fonte helliprdquo
16
Histoacuterico13Software Crisis
16
ldquoProgram development by step wise refinementrdquo de Niklaus Wirth - ACM Communication - 1971
ldquoA technique for software module specification with examplesrdquo de DLParnas - ACM Communication - 1972
17
Histoacuterico13Software Crisis
17
DL Parnas publica vaacuterios artigos com o objetivo de desenvolver mecanismos para melhorar
bull o processo de elaboraccedilatildeo bull organizaccedilatildeo do projeto e bull construccedilatildeo de softwares
ldquo hellip tratar o software como vaacuterios moacutedulos de
programas que poderiam ser conectados para construir um software completo hellip rdquo
18
Histoacuterico13Software Crisis
18
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoespecifica as funcionalidade que o Sistema
Operacional (SO) deve ter para controlar o acesso de usuaacuterios agraves informaccedilotildeesrdquo
ldquo desenvolvimento de teacutecnicas e para modelar e
construir os novos sistemas rdquo
Entre 1961 e 1963 o MIT lanccedila em estado experimental o primeiro SO de propoacutesito geral
19
Histoacuterico13The Doctrine
19
Histoacuterico
Surgimento das Primeiras Praacuteticas
20
20
bull USA196713ndash seguranccedila de computadores passa a ter atenccedilatildeo
oficial nos Estados Unidos ndash proteccedilatildeo de informaccedilotildees classificadas e do
compartilhamento de recursos ndash surge a primeira forccedila tarefa relacionada agrave
mecanismos de seguranccedila
21
Histoacuterico13Surgimento das primeiras praacuteticas
21
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull USA196713ldquo Security Control for Computer System Report of
Defense Science Board Task Force on Computer Security rdquo - DoD
ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico
22
Histoacuterico13Surgimento das primeiras praacuteticas
22
bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia
Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila
ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD
23
Histoacuterico13Surgimento das primeiras praacuteticas
23
bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o
design incorretohelliprdquo - JP Anderson
ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao
fornecimento de mecanismos para salvaguardar a seguranccedila de computadores
24
Histoacuterico13Surgimento das primeiras praacuteticas
24
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico13O problema claacutessico de seguranccedila
bull Segundo o NIST Hand Book []13
ldquoos primeiros problemas de seguranccedila surgem da necessidade de compartilhamento do processamento de
informaccedilotildees e recursos entre vaacuterios tipos de usuaacuteriosrdquo
7
7
ldquoComo fazer para que os usuaacuterios autorizados possam ter acesso a determinadas informaccedilotildees ao mesmo tempo que usuaacuterios natildeo autorizados natildeo possam ter acesso agrave elasrdquo
8
Histoacuterico13O problema claacutessico de seguranccedila
8
ldquoo time-sharing era visto como uma mera conveniecircncia mas criou uma nova forma de se trabalhar com o computadorrdquo
ldquosurgimento de vaacuterios tipos de perifeacutericos tais como
terminais de acesso dispositivos de armazenamento de dados com acesso aleatoacuterio e de novos softwares para
explora-los transformaria o computador em um novo tipo de maacutequinardquo
9
Histoacuterico13O problema claacutessico de seguranccedila
9
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquodificuldade de se criar um SO time-sharing que operando em modo multi-niacutevel implemente os princiacutepios de niacutevel de seguranccedila e de sistema de liberaccedilatildeordquo
ldquocomo construir um sistema operacional time-
sharing multi-niacutevel segurordquo
10
Histoacuterico13O problema claacutessico de seguranccedila
10
bull Time-Sharing e a Classificaccedilatildeo das informaccedilotildees13
ldquoAteacute o iniacutecio da deacutecada de 1960 natildeo havia uma
metodologia para combinar vaacuterios niacuteveis de acesso e garantir que os usuaacuterios natildeo teriam acesso a conteuacutedo natildeo autorizadordquo
11
Histoacuterico13O problema claacutessico de seguranccedila
11
bull Primeiras propostas de soluccedilatildeo13
ldquoconstruccedilatildeo de um sistema operacional que
permitissem o compartilhamento seguro dos recursosrdquo
ldquofornecer um conjunto de provas que evidenciem a implementaccedilatildeo corretardquo
ldquorequeria o desenvolvimento de softwares confiaacuteveisrdquo
12
Histoacuterico13O problema claacutessico de seguranccedila
12
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Software Crisis and The Doctrine
13
13
ldquocriaccedilatildeo de teacutecnicas que permitisse uma melhor especificaccedilatildeo e descriccedilatildeo do comportamento do softwarerdquo
ldquobusca de melhores teacutecnicas para o desenvolvimento organizaccedilatildeo e gerenciamento dos processos relacionados agrave construccedilatildeo e manutenccedilatildeo de softwarerdquo
ldquosurgimento das teacutecnicas de Verificaccedilatildeo do
programa e a Programaccedilatildeo estruturadardquo
Periacuteodo marcado pelo trabalhos de ldquo Ware e Andersonrdquo
14
Histoacuterico13Software Crisis
14
Primeiros artigos do Software Crisis
ldquoAssigning Meanings to Progransrdquo de R W Floyd - 1969
ldquoAn axiomatic basic for computer programingrdquo
de CAR Hoare publicado em 1969 na Communication da ACM
15
Histoacuterico13Software Crisis
15
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoAn axiomatic basic for computer programingrdquo de CAR Hoare
ldquohellip programaccedilatildeo de computadores eacute uma ciecircncia exata na qual todas as propriedades de um programa e todas as consequecircncias de sua execuccedilatildeo em um dado ambiente pode a princiacutepio ser determinada pelo proacuteprio coacutedigo fonte helliprdquo
16
Histoacuterico13Software Crisis
16
ldquoProgram development by step wise refinementrdquo de Niklaus Wirth - ACM Communication - 1971
ldquoA technique for software module specification with examplesrdquo de DLParnas - ACM Communication - 1972
17
Histoacuterico13Software Crisis
17
DL Parnas publica vaacuterios artigos com o objetivo de desenvolver mecanismos para melhorar
bull o processo de elaboraccedilatildeo bull organizaccedilatildeo do projeto e bull construccedilatildeo de softwares
ldquo hellip tratar o software como vaacuterios moacutedulos de
programas que poderiam ser conectados para construir um software completo hellip rdquo
18
Histoacuterico13Software Crisis
18
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoespecifica as funcionalidade que o Sistema
Operacional (SO) deve ter para controlar o acesso de usuaacuterios agraves informaccedilotildeesrdquo
ldquo desenvolvimento de teacutecnicas e para modelar e
construir os novos sistemas rdquo
Entre 1961 e 1963 o MIT lanccedila em estado experimental o primeiro SO de propoacutesito geral
19
Histoacuterico13The Doctrine
19
Histoacuterico
Surgimento das Primeiras Praacuteticas
20
20
bull USA196713ndash seguranccedila de computadores passa a ter atenccedilatildeo
oficial nos Estados Unidos ndash proteccedilatildeo de informaccedilotildees classificadas e do
compartilhamento de recursos ndash surge a primeira forccedila tarefa relacionada agrave
mecanismos de seguranccedila
21
Histoacuterico13Surgimento das primeiras praacuteticas
21
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull USA196713ldquo Security Control for Computer System Report of
Defense Science Board Task Force on Computer Security rdquo - DoD
ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico
22
Histoacuterico13Surgimento das primeiras praacuteticas
22
bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia
Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila
ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD
23
Histoacuterico13Surgimento das primeiras praacuteticas
23
bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o
design incorretohelliprdquo - JP Anderson
ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao
fornecimento de mecanismos para salvaguardar a seguranccedila de computadores
24
Histoacuterico13Surgimento das primeiras praacuteticas
24
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquodificuldade de se criar um SO time-sharing que operando em modo multi-niacutevel implemente os princiacutepios de niacutevel de seguranccedila e de sistema de liberaccedilatildeordquo
ldquocomo construir um sistema operacional time-
sharing multi-niacutevel segurordquo
10
Histoacuterico13O problema claacutessico de seguranccedila
10
bull Time-Sharing e a Classificaccedilatildeo das informaccedilotildees13
ldquoAteacute o iniacutecio da deacutecada de 1960 natildeo havia uma
metodologia para combinar vaacuterios niacuteveis de acesso e garantir que os usuaacuterios natildeo teriam acesso a conteuacutedo natildeo autorizadordquo
11
Histoacuterico13O problema claacutessico de seguranccedila
11
bull Primeiras propostas de soluccedilatildeo13
ldquoconstruccedilatildeo de um sistema operacional que
permitissem o compartilhamento seguro dos recursosrdquo
ldquofornecer um conjunto de provas que evidenciem a implementaccedilatildeo corretardquo
ldquorequeria o desenvolvimento de softwares confiaacuteveisrdquo
12
Histoacuterico13O problema claacutessico de seguranccedila
12
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Software Crisis and The Doctrine
13
13
ldquocriaccedilatildeo de teacutecnicas que permitisse uma melhor especificaccedilatildeo e descriccedilatildeo do comportamento do softwarerdquo
ldquobusca de melhores teacutecnicas para o desenvolvimento organizaccedilatildeo e gerenciamento dos processos relacionados agrave construccedilatildeo e manutenccedilatildeo de softwarerdquo
ldquosurgimento das teacutecnicas de Verificaccedilatildeo do
programa e a Programaccedilatildeo estruturadardquo
Periacuteodo marcado pelo trabalhos de ldquo Ware e Andersonrdquo
14
Histoacuterico13Software Crisis
14
Primeiros artigos do Software Crisis
ldquoAssigning Meanings to Progransrdquo de R W Floyd - 1969
ldquoAn axiomatic basic for computer programingrdquo
de CAR Hoare publicado em 1969 na Communication da ACM
15
Histoacuterico13Software Crisis
15
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoAn axiomatic basic for computer programingrdquo de CAR Hoare
ldquohellip programaccedilatildeo de computadores eacute uma ciecircncia exata na qual todas as propriedades de um programa e todas as consequecircncias de sua execuccedilatildeo em um dado ambiente pode a princiacutepio ser determinada pelo proacuteprio coacutedigo fonte helliprdquo
16
Histoacuterico13Software Crisis
16
ldquoProgram development by step wise refinementrdquo de Niklaus Wirth - ACM Communication - 1971
ldquoA technique for software module specification with examplesrdquo de DLParnas - ACM Communication - 1972
17
Histoacuterico13Software Crisis
17
DL Parnas publica vaacuterios artigos com o objetivo de desenvolver mecanismos para melhorar
bull o processo de elaboraccedilatildeo bull organizaccedilatildeo do projeto e bull construccedilatildeo de softwares
ldquo hellip tratar o software como vaacuterios moacutedulos de
programas que poderiam ser conectados para construir um software completo hellip rdquo
18
Histoacuterico13Software Crisis
18
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoespecifica as funcionalidade que o Sistema
Operacional (SO) deve ter para controlar o acesso de usuaacuterios agraves informaccedilotildeesrdquo
ldquo desenvolvimento de teacutecnicas e para modelar e
construir os novos sistemas rdquo
Entre 1961 e 1963 o MIT lanccedila em estado experimental o primeiro SO de propoacutesito geral
19
Histoacuterico13The Doctrine
19
Histoacuterico
Surgimento das Primeiras Praacuteticas
20
20
bull USA196713ndash seguranccedila de computadores passa a ter atenccedilatildeo
oficial nos Estados Unidos ndash proteccedilatildeo de informaccedilotildees classificadas e do
compartilhamento de recursos ndash surge a primeira forccedila tarefa relacionada agrave
mecanismos de seguranccedila
21
Histoacuterico13Surgimento das primeiras praacuteticas
21
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull USA196713ldquo Security Control for Computer System Report of
Defense Science Board Task Force on Computer Security rdquo - DoD
ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico
22
Histoacuterico13Surgimento das primeiras praacuteticas
22
bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia
Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila
ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD
23
Histoacuterico13Surgimento das primeiras praacuteticas
23
bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o
design incorretohelliprdquo - JP Anderson
ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao
fornecimento de mecanismos para salvaguardar a seguranccedila de computadores
24
Histoacuterico13Surgimento das primeiras praacuteticas
24
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Software Crisis and The Doctrine
13
13
ldquocriaccedilatildeo de teacutecnicas que permitisse uma melhor especificaccedilatildeo e descriccedilatildeo do comportamento do softwarerdquo
ldquobusca de melhores teacutecnicas para o desenvolvimento organizaccedilatildeo e gerenciamento dos processos relacionados agrave construccedilatildeo e manutenccedilatildeo de softwarerdquo
ldquosurgimento das teacutecnicas de Verificaccedilatildeo do
programa e a Programaccedilatildeo estruturadardquo
Periacuteodo marcado pelo trabalhos de ldquo Ware e Andersonrdquo
14
Histoacuterico13Software Crisis
14
Primeiros artigos do Software Crisis
ldquoAssigning Meanings to Progransrdquo de R W Floyd - 1969
ldquoAn axiomatic basic for computer programingrdquo
de CAR Hoare publicado em 1969 na Communication da ACM
15
Histoacuterico13Software Crisis
15
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoAn axiomatic basic for computer programingrdquo de CAR Hoare
ldquohellip programaccedilatildeo de computadores eacute uma ciecircncia exata na qual todas as propriedades de um programa e todas as consequecircncias de sua execuccedilatildeo em um dado ambiente pode a princiacutepio ser determinada pelo proacuteprio coacutedigo fonte helliprdquo
16
Histoacuterico13Software Crisis
16
ldquoProgram development by step wise refinementrdquo de Niklaus Wirth - ACM Communication - 1971
ldquoA technique for software module specification with examplesrdquo de DLParnas - ACM Communication - 1972
17
Histoacuterico13Software Crisis
17
DL Parnas publica vaacuterios artigos com o objetivo de desenvolver mecanismos para melhorar
bull o processo de elaboraccedilatildeo bull organizaccedilatildeo do projeto e bull construccedilatildeo de softwares
ldquo hellip tratar o software como vaacuterios moacutedulos de
programas que poderiam ser conectados para construir um software completo hellip rdquo
18
Histoacuterico13Software Crisis
18
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoespecifica as funcionalidade que o Sistema
Operacional (SO) deve ter para controlar o acesso de usuaacuterios agraves informaccedilotildeesrdquo
ldquo desenvolvimento de teacutecnicas e para modelar e
construir os novos sistemas rdquo
Entre 1961 e 1963 o MIT lanccedila em estado experimental o primeiro SO de propoacutesito geral
19
Histoacuterico13The Doctrine
19
Histoacuterico
Surgimento das Primeiras Praacuteticas
20
20
bull USA196713ndash seguranccedila de computadores passa a ter atenccedilatildeo
oficial nos Estados Unidos ndash proteccedilatildeo de informaccedilotildees classificadas e do
compartilhamento de recursos ndash surge a primeira forccedila tarefa relacionada agrave
mecanismos de seguranccedila
21
Histoacuterico13Surgimento das primeiras praacuteticas
21
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull USA196713ldquo Security Control for Computer System Report of
Defense Science Board Task Force on Computer Security rdquo - DoD
ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico
22
Histoacuterico13Surgimento das primeiras praacuteticas
22
bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia
Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila
ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD
23
Histoacuterico13Surgimento das primeiras praacuteticas
23
bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o
design incorretohelliprdquo - JP Anderson
ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao
fornecimento de mecanismos para salvaguardar a seguranccedila de computadores
24
Histoacuterico13Surgimento das primeiras praacuteticas
24
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoAn axiomatic basic for computer programingrdquo de CAR Hoare
ldquohellip programaccedilatildeo de computadores eacute uma ciecircncia exata na qual todas as propriedades de um programa e todas as consequecircncias de sua execuccedilatildeo em um dado ambiente pode a princiacutepio ser determinada pelo proacuteprio coacutedigo fonte helliprdquo
16
Histoacuterico13Software Crisis
16
ldquoProgram development by step wise refinementrdquo de Niklaus Wirth - ACM Communication - 1971
ldquoA technique for software module specification with examplesrdquo de DLParnas - ACM Communication - 1972
17
Histoacuterico13Software Crisis
17
DL Parnas publica vaacuterios artigos com o objetivo de desenvolver mecanismos para melhorar
bull o processo de elaboraccedilatildeo bull organizaccedilatildeo do projeto e bull construccedilatildeo de softwares
ldquo hellip tratar o software como vaacuterios moacutedulos de
programas que poderiam ser conectados para construir um software completo hellip rdquo
18
Histoacuterico13Software Crisis
18
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoespecifica as funcionalidade que o Sistema
Operacional (SO) deve ter para controlar o acesso de usuaacuterios agraves informaccedilotildeesrdquo
ldquo desenvolvimento de teacutecnicas e para modelar e
construir os novos sistemas rdquo
Entre 1961 e 1963 o MIT lanccedila em estado experimental o primeiro SO de propoacutesito geral
19
Histoacuterico13The Doctrine
19
Histoacuterico
Surgimento das Primeiras Praacuteticas
20
20
bull USA196713ndash seguranccedila de computadores passa a ter atenccedilatildeo
oficial nos Estados Unidos ndash proteccedilatildeo de informaccedilotildees classificadas e do
compartilhamento de recursos ndash surge a primeira forccedila tarefa relacionada agrave
mecanismos de seguranccedila
21
Histoacuterico13Surgimento das primeiras praacuteticas
21
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull USA196713ldquo Security Control for Computer System Report of
Defense Science Board Task Force on Computer Security rdquo - DoD
ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico
22
Histoacuterico13Surgimento das primeiras praacuteticas
22
bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia
Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila
ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD
23
Histoacuterico13Surgimento das primeiras praacuteticas
23
bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o
design incorretohelliprdquo - JP Anderson
ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao
fornecimento de mecanismos para salvaguardar a seguranccedila de computadores
24
Histoacuterico13Surgimento das primeiras praacuteticas
24
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquoespecifica as funcionalidade que o Sistema
Operacional (SO) deve ter para controlar o acesso de usuaacuterios agraves informaccedilotildeesrdquo
ldquo desenvolvimento de teacutecnicas e para modelar e
construir os novos sistemas rdquo
Entre 1961 e 1963 o MIT lanccedila em estado experimental o primeiro SO de propoacutesito geral
19
Histoacuterico13The Doctrine
19
Histoacuterico
Surgimento das Primeiras Praacuteticas
20
20
bull USA196713ndash seguranccedila de computadores passa a ter atenccedilatildeo
oficial nos Estados Unidos ndash proteccedilatildeo de informaccedilotildees classificadas e do
compartilhamento de recursos ndash surge a primeira forccedila tarefa relacionada agrave
mecanismos de seguranccedila
21
Histoacuterico13Surgimento das primeiras praacuteticas
21
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull USA196713ldquo Security Control for Computer System Report of
Defense Science Board Task Force on Computer Security rdquo - DoD
ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico
22
Histoacuterico13Surgimento das primeiras praacuteticas
22
bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia
Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila
ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD
23
Histoacuterico13Surgimento das primeiras praacuteticas
23
bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o
design incorretohelliprdquo - JP Anderson
ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao
fornecimento de mecanismos para salvaguardar a seguranccedila de computadores
24
Histoacuterico13Surgimento das primeiras praacuteticas
24
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull USA196713ldquo Security Control for Computer System Report of
Defense Science Board Task Force on Computer Security rdquo - DoD
ndash Este relatoacuterio representou o trabalho inicial de ndash Identificaccedilatildeo ndash e Tratamento do problema claacutessico
22
Histoacuterico13Surgimento das primeiras praacuteticas
22
bull USA196713ndash DoD (Departamento de Defesa) e CIA (Agencia
Central de Inteligecircncia atuam em questotildees relacionadas agrave seguranccedila
ndash Iniacutecio do desenvolvimento do ADEPT-50 primeiro sistema a implementar as poliacuteticas de seguranccedila do DoD
23
Histoacuterico13Surgimento das primeiras praacuteticas
23
bull USA197213ndash ldquoo risco mais seacuterio em um sistema de software eacute o
design incorretohelliprdquo - JP Anderson
ndash Relatoacuterio teacutecnico ldquo Computer Security Technologs Planning Studyrdquo - JP Anderson ndash Descreve os problemas relacionados ao
fornecimento de mecanismos para salvaguardar a seguranccedila de computadores
24
Histoacuterico13Surgimento das primeiras praacuteticas
24
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Security Kernel
25
25
Originaacuterio do trabalho de Roger R Shell - EDS (Eletronic System Division Air Force System
Command)
ldquohellip desenvolver uma teacutecnica para construccedilatildeo do SO multi-niacutevel seguro e tornar esta teacutecnica aplicaacutevel e atraenterdquo
26
Histoacuterico13Security Kernel (1973)
26
ldquo um subconjunto de hardware e software
suficientes para prover seguranccedila mesmo quando outros componentes do mesmo sistema satildeo desenvolvidos por entidades distintasrdquo ldquo natildeo eacute capaz de definir o que deve ser bloqueado ou
liberadordquo
27
Histoacuterico13Security Kernel (1973)
27
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Parnas (1972) endossa as ideias de Schell e afirma
ldquohellipo conceito baacutesico no qual os sistemas de seguranccedila de computadores devem ser apoiados eacute o controle compartilhadohelliprdquo
ldquohellip o controle deve ser estabelecido explicitamente sobre cada usuaacuterio a cada recurso
compartilhadohelliprdquo ldquohellip usuaacuterio e recurso devem ser identificados e inter-
relacionados de acordo com o niacutevel de acesso de ambosrdquo
28
Histoacuterico13Security Kernel (1973)
28
bull Conceitos Baacutesicos ndash Classificaccedilatildeo eacute a designaccedilatildeo autorizada do niacutevel
de ldquoimportancia aplicada a uma determinada informaccedilatildeo
ndash Categoria roacutetulo que foi aplicado agrave uma informaccedilatildeo classificada ou natildeo
ndash Sensibilidade da Informaccedilatildeo combinaccedilatildeo de uma classificaccedilatildeo hieraacuterquica e um conjunto de categorias natildeo hieraacuterquicas
29
Histoacuterico13Security Kernel e o Controle de Acesso
29
bull Conceitos Baacutesicos ndash Niacutevel de Seguranccedila combinaccedilatildeo do niacutevel de
sensibilidade e de conjunto hieraacuterquico de categorias que representam o quatildeo restrita eacute uma informaccedilatildeo
ndash Liberaccedilatildeo ou desobstruccedilatildeo atribuiccedilatildeo de um autorizaccedilatildeo de um niacutevel de seguranccedila a um determinado indiviacuteduo
30
Histoacuterico13Security Kernel e o Controle de Acesso
30
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
Histoacuterico
Surgimento das Primeiras Normas
31
31
bull DoD Computer Security Initiative (1977) ndash Em 1977 o Departamento de Defesa dos Estados
Unidos (DoD) formula um plano sistemaacutetico para tratar do problema claacutessico de seguranccedila
ndash Surge o DoD Computer Security Initiative
32
Histoacuterico13Surgimento das Primeiras Normas
32
bull Os trecircs propoacutesitos da iniciativa ndash ldquo permitir ao DoD atuar no processo de
desenvolvimento e uso de seguranccedilardquo
ndash ldquo envolver a industria na definiccedilatildeo dos requisitos para a construccedilatildeo de um sistema confiaacutevelrdquo
ndash ldquo desenvolver um centro governamental capaz de avaliar o quatildeo boa e segura eram as soluccedilotildees produzidas pela induacutestriardquo
33
Histoacuterico13Surgimento das Primeiras Normas
33
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ndash Somente a ultima iniciativa produz resultados
relevantes ndash Em 1980 nasce o ldquoComputer Security Centerrdquo ndash Roger Schell foi o primeiro diretor do centro e como
afirmavahellip ldquoI was again an unwilling volunteerrdquo
ndash Shell possui dois desafios bull Prover uma estrutura administrativa segura e
confiaacutevel bull Prover uma estrutura tecnoloacutegica confiaacutevel
34
Histoacuterico13Surgimento das Primeiras Normas
34
Histoacuterico
Orange Book
35
35
bull The Orange Book bull Uma das principais publicaccedilotildees do DoD bull Sua escrita iniciou em 1978 e encerrou em 1995 bull Elaborado para auxiliar o processo de bull desenvolvimento de sistemas operacionais bull classificaccedilatildeo de sistemas operacionais
bull Define o conceito de TCB - Trusted Computing Base bull A Base de Computaccedilatildeo Confiaacutevel (TCB) de um sistema
de computador eacute o conjunto de todos os componentes de hardware firmware eou software que satildeo criacuteticos para a sua seguranccedila
36
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
36
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Processo de Escrita ldquoProcessors operating systems and nearby peripheralsrdquo -
TMP Lee e outros
ldquoProposed Technical Evaluation Criteria for Computer Systensrdquo - GH Nibalde (1979)
ldquoTrusted Computer System Evaluation Criteacuteria 1st Draftrdquo -
CSC (1982)
ldquoTrusted Computer System Evaluation Criteacuteria - DoD 520028-STD - TCSEC The Orange Bookrdquo- NCSA (1995)
37
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
37
bull O centro iniciou oficialmente o processo de avaliaccedilatildeo de sistemas em 15 de abril de 1983
bull Em 1985 o ldquoComputer Security Centerrdquo passa a se chamar ldquoNational Computer Security Center (NCSC)rdquo
bull Atualmente o NCSC estaacute subordinado agrave National Security Agency (NSA)rdquo
bull O NCSC produziu uma seacuterie de documentos e padrotildees que ficou mundialmente conhecido como ldquoRainbow Seriesrdquo
38
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
38
bull Estes documentos definiram requisitos de seguranccedila a serem aplicados em ambientes computacionais
bull Graccedilas aos esforccedilos do NCSC e ao ldquoOrange Bookrdquo uma vasta quantidade de publicaccedilotildees teacutecnicas foram criadas para o desenvolvimento de sistemas mais seguros
39
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
39
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Orange Book - Requisitos de seguranccedila 1 Estabelecer uma Poliacutetica de Seguranccedila 2 Rotular os objetos relacionados agrave Poliacutetica 3 Identificar os usuaacuterios 4 Contabilizar os eventos relevantes agrave seguranccedila 5 Usar mecanismos de hw e sw para o fornecimento de um niacutevel de
confiabilidade o qual garanta que os requisitos anteriores possam ser satisfeitos
6 Garantir a proteccedilatildeo do sistema contra alteraccedilotildees natildeo autorizadas
40
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
40
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Baseado nos seis requisitos de seguranccedila o TCSEC
classifica os sistemas utilizando uma estrutura de Divisotildees e Classes bull D bull C - C1 bull B - B1 B2 B3 bull A
41
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
41
bull The Orange Book - Classificaccedilatildeo dos sistemas bull Divisatildeo ldquoD - Proteccedilatildeo Miacutenimardquo bull Menor niacutevel de seguranccedila bull Sistemas tidos como natildeo confiaacuteveis bull Natildeo possuem nenhuma proteccedilatildeo para o HW bull Natildeo realizam autenticaccedilatildeo de usuaacuterio
42
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
42
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Separaccedilatildeo de usuaacuterio e dados bull Identificaccedilatildeo e autenticaccedilatildeo de usuaacuterios bull Mecanismos de controle de acesso (Discretionary
Access Controls - DAC) bull Usuaacuterio controla quem pode acessar seus arquivos bull Proteccedilatildeo de arquivos via Listas de Controle de Acesso
(ACL)
43
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
43
bull Divisatildeo ldquoC1 - Seguranccedila Arbitraacuteriardquo bull Proteccedilatildeo por senha eou banco de dados de
autorizaccedilatildeo bull Checagem da integridade da TCB bull Documentaccedilatildeo de Seguranccedila
Primeiras versotildees do UNIX
44
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
44
bull Divisatildeo ldquoC2 - Acesso Controladordquo bull Controle de acesso mais refinado bull Contabilizaccedilatildeo das accedilotildees dos usuaacuterios bull Auditoria de eventos e isolamento de recursos bull Acesso restrito a usuaacuterios autorizados bull Processo obrigatoacuterio de identificaccedilatildeo de usuaacuterio bull Operaccedilatildeo em modo protegido bull Melhor processo de documentaccedilatildeo sobre anaacutelise e auditoria
Algumas versotildees de UNIX e VMS
45
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
45
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Mesmos requisitos da divisatildeo C2 bull Rotulaccedilatildeo dos Dados para classificaccedilatildeo segundo o grau de
sensibilidade bull Controle da integridade dos roacutetulos bull Controle de acesso aos objetos do sistema bull Controle de acesso sobre recursos e usuaacuterios bull Mecanismos de especificaccedilatildeo do niacutevel de seguranccedila das
informaccedilotildees que estatildeo na fila de impressatildeo
46
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
46
bull Divisatildeo ldquoB1 - Seguranccedila Rotuladardquo bull Para cada elemento do sistema deve haver um roacutetulo
associado bull Para cada usuaacuterio deve haver um niacutevel de acesso bull Baseado no niacutevel de acesso o usuaacuterio pode ou natildeo obter o
direito de uso
47
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
47
bull Divisatildeo ldquoB2 - Proteccedilatildeo Estruturadardquo bull Sistema de seguranccedila baseado em um modelo de poliacutetica de
seguranccedila formal bull Todos os tipo de controle de acesso devem ser implementados e
aplicados agrave todos os usuaacuterios e recursos bull Sistemas de compartilhamento seguro bull Comunicaccedilatildeo segura entre o sistema e o usuaacuterio bull Mecanismos para modificaccedilatildeo dos niacuteveis de seguranccedila bull Processo de anaacutelise e auditoria de atualizaccedilotildees e correccedilotildees
do sistema bull Conjunto de testes melhorados bull Sistemas deste tipo satildeo considerados ldquoRelativamente
resistentes agrave penetraccedilatildeordquo
48
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
48
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Divisatildeo ldquoB3 - Domiacutenio de Seguranccedilardquo bull Monitor de referencia para controle de todos os acessos dos
usuaacuterios aos recursos bull Procedimentos voltados para recuperaccedilatildeo bull Documentaccedilatildeo do processo de recuperaccedilatildeo bull Sinalizaccedilatildeo de eventos importantes que ocorrem no sistema bull Mecanismos de anaacutelise automaacutetica da seguranccedila bull Anaacutelise de auditoria de eventos seguros bull Sistemas deste tipo satildeo tidos como ldquoAltamente resistentes agrave
penetraccedilatildeordquo
49
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
49
bull Divisatildeo ldquoA - Proteccedilatildeo Verificadardquo bull Meacutetodos Formais para verificaccedilatildeo da seguranccedila bull Garantir que o controle de acesso realmente pode proteger as
informaccedilotildees sensiacuteveis bull Uso de documentaccedilatildeo formal bull Demostrar que os requisitos de seguranccedila satildeo atendidos em
todas as fases projeto desenvolvimento e implementaccedilatildeo do sistema
bull Teacutecnicas formais de especificaccedilatildeo e verificaccedilatildeo usadas na fase de projeto
bull Elevado grau de garantia que o sistema foi implementado corretamente
bull Meacutetodos formais para especificaccedilatildeo da TCB
50
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
50
Histoacuterico
Rainbow Series
51
51
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Rainbow Series e o Orange Book ndash Atividade desenvolvida pelo National Computer
Security Center (NCSC) que atualmente estaacute subordinado agrave National Security Agency (NSA)
ndash ldquoeacute uma coleccedilatildeo de publicaccedilotildees que apresentaram pela primeira vez um conjunto de requisitos de seguranccedila a serem aplicados em ambientes computacionaisrdquo
52
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie and Orange Book
52
bull Red Book (1990) ndash NCSC-TG-005 - Trusted Network Interpretation (Version 1
73187) ndash NCSC-TG-011 - Trusted Network Interpretation Environments
Guideline - Guidance for Applying the Trusted Network Interpretation
bull Aqua Book ndash NCSC-TG-004 -Glossary of Computer Security Terms (Version 1
102188)
bull Tan Book - Version 2 60188 ndash NCSC-TG-001 - A Guide to Understanding Audit in Trusted
Systems
53
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
53
bull Bright Blue Book - Version 1 - 3188 bull NCSC-TG-002 - Trusted Product Evaluation - A Guide for
Vendors
bull Blue Book - Version 2 - 2 May 1992 bull NCSC-TG-019 - Trusted Product Evaluation Questionnaire
bull Purple Book - 4189 bull NCSC-TG-014 - Guidelines for Formal Verification Systems
bull Pink Book - Version 2 - 01 Mar 1995 bull NCSC-TG-013 - Rating Maintenance Phase - Program Document
54
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
54
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Burgundy Book bull NCSC-TG-007 - A Guide to Understanding Design
Documentation in Trusted Systems
bull Yellow-Green Book bull NCSC-TG-016 - Writing Trusted Facility Manuals
bull Lavender Book - Version 1 - 121588 bull NCSC-TG-008 - Guide to Understanding Trusted Distribution in
Trusted Systems
bull Teal Book bull NCSC-TG-010 - A Guide to Understanding Security Modeling in
Trusted Systems
55
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
55
bull Brown Book - 689 bull NCSC-TG-015 - A Guide to Understanding Trusted Facility
Management
bull Venice Blue Book bull NCSC-TG-009 - Computer Security Subsystem
Interpretation of the Trusted Computer System Evaluation Criteria
bull GreySilver Book bull NCSC-TG-020 - Trusted UNIX Working Group (TRUSIX)
Rationale for Selecting Access Control List Features for the UNIX System
56
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
56
bull Yellow Book
bull NCSC-TG-022 - A Guide to Understanding Trusted Recovery
bull Hot Peach Book bull NCSC-TG-026 - A Guide to Writing the Security Features Users
Guide for Trusted Systems
bull Turquoise Book bull NCSC-TG-027 - A Guide to Understanding Information System
Security Officer Responsibilities for Automated Information Systems
57
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
57
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Violet Book bull NCSC-TG-028 - Assessing Controlled Access Protection
bull Blue Book - 0994 bull NCSC-TG-029 - Introduction to Certification and
Accreditation
bull Light Pink Book - 1193 bull NCSC-TG-030 - A Guide to Understanding Covert Channel
Analysis of Trusted Systems
bull Light Blue Book bull NCSC-TG-017- A Guide to Understanding Identification and
Authentication in Trusted Systems Systems
58
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
58
bull LavenderPurple Book bull NCSC-TG-021 - Trusted Database Management System
Interpretation
bull Orange Book bull NCSC-TG-003 (Version 1 93087) - A Guide to Understanding
Discretionary Access Control in Trusted Systems bull NCSC-TG-006 (Version 1 32888) - A Guide to Understanding
Configuration management in Trusted Systems
59
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees
59
bull Orange Book Trusted Computer System Evaluation Criteria ndash DoD 520028-STD (TCSEC) ndash CSC-STD-001-831995
bull Green Book DoD Password Management Guidelines - CSC-STD-002-85
bull Light Yellow Book - Guidance for Applying the DoD Trusted
Computer System Evaluation Criteria in Specific Environments -CSC-STD-003-85
bull Yellow Book II - CSC-STD-004-85 - Technical Rationale Behind CSC-STD-003-85 Computer Security Requirements
60
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
60
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull The Red Book The Trusted Networking Implementation (TNI) - 1990
bull The Aqua Book Guide to Understanding Security Modeling in Trusted Systems - 1992
61
Histoacuterico13Surgimento das Primeiras Normas - Rainbow Serie - Publicaccedilotildees - DoD
61
Normas de Seguranccedila
Iniciativas de seguranccedila13posteriores ao TCSEC
62
62
ldquoDesde o surgimento do problema claacutessico
da seguranccedila de computadores ateacute a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo vaacuterios esforccedilos
foram desenvolvidosrdquo
63
Normas de Seguranccedila13hellip
63
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1973 - ARPA - Protection Analysis automatizar o processo de avaliaccedilatildeo da proteccedilatildeo de SO
64
Normas de Seguranccedila13Protection Analysis
64
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash Fornece uma visatildeo geral dos serviccedilos e mecanismos relacionados agrave
seguranccedila que pode ser assegurado nas camadas do modelo RMOSI ndash Assim como o posicionamento dos respectivos serviccedilos e mecanismos ndash Estende o campo de aplicaccedilatildeo da ISO 7498 para cobrir a comunicaccedilatildeo
segura entre sistemas abertos ndash As Funccedilotildees de seguranccedila estatildeo focadas apenas nos aspectos que permitem agrave
sistemas finais para conseguir a transferecircncia segura de informaccedilotildees entre eles
httpswwwisoorgobpuiisostdiso7498-2ed-1v1en
65
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
65
bull 1984 - Information Tecnologic - Open Systems Interconnection - Part 2 Secutity Architecture ndash A norma natildeo estaacute preocupado com as medidas de seguranccedila
necessaacuterias nos sistemas finais instalaccedilotildees e organizaccedilotildees exceto quando estas tiverem implicaccedilotildees sobre a escolha e a posiccedilatildeo dos serviccedilos de seguranccedila na pilha da RMOSI
ndash Estes uacuteltimos aspectos de seguranccedila pode ser normalizada mas natildeo no acircmbito das normas OSI
ndash Esta parte da ISO 7498 acrescenta aos conceitos e princiacutepios definidos na norma ISO 7498 natildeo modificaacute-los
ndash Natildeo eacute uma especificaccedilatildeo de aplicaccedilatildeo nem eacute uma base para avaliar a conformidade das implementaccedilotildees reais
66
Normas de Seguranccedila13ISOIEC 7498-2 JTC1SC2
66
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1987 - An introduction to Computer Security The NIST Handbook bull Fornecia assistecircncia explicando conceitos importantes consideraccedilotildees de
custo e inter-relaccedilotildees dos controles de seguranccedila bull Ilustra os benefiacutecios de controles de seguranccedila as principais teacutecnicas ou
abordagens para cada controle e importantes consideraccedilotildees relacionadas bull Fornecia uma visatildeo geral de seguranccedila de computadores e ajudava a
entender as necessidades que os usuaacuterios poderiam ter com relaccedilatildeo ao tema assim como ajudada a selecionar de controles de seguranccedila apropriados
bull Ele natildeo descrevia as etapas necessaacuterias para implementar os controles nem dava orientaccedilatildeo para auditar a seguranccedila de sistemas especiacuteficos
bull Mas fornecia referencias de livros e artigos que poderiam ser utilizados para auxiliar nestas questotildees
67
Normas de Seguranccedila13The Nist Handbook
67
bull 1988 - Canadian System Security Center (CSSC) bull 1989 - CTCPEC - Canadian Trusted Computer Product Evaluation
Criteria bull Foi uma norma de seguranccedila Canadense que fornecia um criteacuterio de
avaliaccedilatildeo sobre produtos de TI bull Era uma combinaccedilatildeo de a TCSEC (Orange Book) e as abordagens de
seguranccedila disponiacuteveis na Europa (ITSEC) bull Mas devido a homologaccedilatildeo do Common Criteria os padrotildees CTCPEC
ITSEC e TCSEC foram ldquoabandonados
68
Normas de Seguranccedila13Canadian Criteria
68
bull 1989 - West German Information Security Agency ndash produz o primeiro criteacuterio que ao contraacuterio do criteacuterio Norte
Americanos aleacutem de tratar da seguranccedila dos sistemas ndash trata da integridade disponibilidade e da seguranccedila da rede
bull 1989 - British Commercial Computer Security Center (CCSC) bull desenvolve o criteacuterio Britacircnico em uma linguagem clara e de faacutecil
compreensatildeo
69
Normas de Seguranccedila13West German Information Security Agency
69
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1991 o NCSC publicou o documento denominado Trusted Database (TDI) bull Criteacuterio de avaliaccedilatildeo para produtos voltados para o gerenciamento de banco
de dado bull Inicialmente utilizado para atender os requisitos do governo norte
americano bull o TDI foi posteriormente utilizado por organizaccedilotildees natildeo governamentais
que desejam proteger as informaccedilotildees ldquonatildeo classi10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficadas mas sensiacuteveisrdquo
bull O TDI utiliza as mesmas 6 classes do TSEC
bull 1992 - NIST e NSA - Federal Criteria
bull 1992 - NIST e NSA - Federal Criteria
70
Normas de Seguranccedila13British Commercial Computer Security Center
70
bull 1992 - Europa - The Information Technology Security
Evaluation Criteria - ITESEC bull Resultado da harmonizaccedilatildeo dos criteacuterios de avaliaccedilatildeo de
seguranccedila de quatro paiacuteses europeus bull Passou a ser o padratildeo de avaliaccedilatildeo de sistemas e produtos na
Franccedila na Alemanha nos Paiacuteses Baixos e Inglaterra e posteriormente em toda a Europa
bull Ao contraacuterio da norma americana TSEC esta trata de forma mais abrangentes questotildees sobre con10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703dencialidade integridade e disponibilidade tanto para soluccedilotildees militares quanto comerciais
bull Durante o desenvolvimento da ITESEC a Oracle participou ativamente de todos as revisotildees relacionadas agrave sistemas de gerenciamento de banco de dados
71
Normas de Seguranccedila13NIST e NSA - Federal Criteria
71
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em junho de 1993 o NIST e o NSA decidiram trabalhar em conjunto
com o governo Canadense e Europeu para a criaccedilatildeo de um criteacuterio comum o qual alinharia as normas TCSEC ITSEC e CTCPEC
bull O Common Criteria (CC) como 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703ficou conhecido o documento The International Common Criteria for Information Technology Securityrdquo
bull Um criteacuterio que poderia ser utilizado mundialmente bull Em janeiro de 1996 foi publicada a versatildeo 10 da norma Common
Criteria bull Esta versatildeo passou por vaacuterios ajustes devidos aos comentaacuterios recebidos
e deu origem a uma segunda versatildeo em maio de 1998
72
Normas de Seguranccedila13International Common Criteria
72
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull 1996 - NIST NSA os Governos do Canada e Europa - Common Criteria bull Em outubro de 1998 Canadaacute Franccedila Alemanha Inglaterra e EUA
assinaram um acordo de reconhecimento muacutetuo (MRA) de produtos e sistemas
bull Em maio de 2000 uma segunda versatildeo deste acordo foi assinada incluindo a Austraacutelia a Nova Zelacircndia a Finlacircndia a Greacutecia a Itaacutelia os Paiacuteses Baixos a Noruega e a Espanha ao grupo original
bull O MRA permitia que sistemas e produtos homologados em um paiacutes pudessem ser utilizados em outros paiacuteses sem que os mesmos fossem novamente submetidos a um processo de certificaccedilatildeo
73
Normas de Seguranccedila13International Common Criteria
73
bull 1999 - ISOIEC 15408 homologaccedilatildeo da CC bull Apoacutes a homologaccedilatildeo de sua segunda versatildeo a CC foi utilizada para a
criaccedilatildeo de uma norma ISO esta passou a ser reconhecida e utilizada mundialmente
bull A ISO 15408 foi publicada em primeiro de maio de 1999
74
Normas de Seguranccedila13ISOIEC 15408
74
Normas de Seguranccedila
Iniacutecio da era da 13Seguranccedila da Informaccedilatildeo
75
75
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
76
ldquo de um esforccedilo Britacircnico surge a Primeira Norma Internacional de
Seguranccedila da Informaccedilatildeordquo
76
bull 1999 ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento nomeado
ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
77
Normas de Seguranccedila da Informaccedilatildeo13BS7799
77
bull 1999 - Panorama Europeu ndash Comissatildeo das Comunidades Europeacuteias emitiu um documento
nomeado ldquoSeguranccedila das redes e da informaccedilatildeo Proposta de abordagem de uma poliacutetica europeacuteiardquo
ndash Este documento apresenta rapidamente o panorama europeu como as ameaccedilas mais comuns agrave seguranccedila os desafios a serem trabalhados e os elementos baacutesicos que devem fazer parte desta poliacutetica
78
Normas de Seguranccedila da Informaccedilatildeo13BS7799
78
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
ldquo A preocupaccedilatildeo somente com a seguranccedila dos dados que trafegam por uma rede de computadores natildeo era mais o su10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703cientehelliprdquo
O Modelo de seguranccedila foi expandido da rede de computadores para todo e qualquer meio de
transmissatildeo armazenamento e manipulaccedilatildeo de informaccedilatildeordquo
79
Normas de Seguranccedila da Informaccedilatildeo13BS7799
79
ldquo Neste contexto a informaccedilatildeo pode se apresentar de vaacuterias formas e ser propagada em vaacuterios meios mas independentemente da forma e meio de transmissatildeo deve ser sempre protegidardquo
Os esforccedilos relacionados com a busca de melhores mecanismos para salvaguardar a seguranccedila culminaram com
a homologaccedilatildeo da Norma Internacional de Seguranccedila da Informaccedilatildeo denominada
ISOIEC 177992000rdquo
80
Normas de Seguranccedila da Informaccedilatildeo13BS7799
80
ldquoA ISO se originou de um esforccedilo do governo britacircnico
que em 1987 atraveacutes do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Com- puter Security Centre) cujo objetivo era a criaccedilatildeo de criteacuterios para a
avaliaccedilatildeo da seguranccedila e de um coacutedigo de seguranccedila para os usuaacuterios das informaccedilotildees de uma forma geralrdquo
81
Normas de Seguranccedila da Informaccedilatildeo13BS7799
81
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndashPD00031989 Coacutedigo de Gerenciamento de
Seguranccedila da Informaccedilatildeo ndash Em 1995 esse coacutedigo foi revisado ampliado e publicado
como uma norma britacircnica (BS)
82
Normas de Seguranccedila da Informaccedilatildeo13BS7799
82
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-11995 - Information Technology - Code of
Patric for Security Management ndash Em 1996 essa norma foi proposta a ISO para
homologaccedilatildeo mas foi rejeitada ndash Neste mesmo periacuteodo uma segunda parte deste documento
estava sendo criada e ndash Em novembro de 1997 foi disponibilizada para consulta e
avaliaccedilatildeo do puacuteblico
83
Normas de Seguranccedila da Informaccedilatildeo13BS7799
83
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
ndash BS7799-21998 - Information Security Management
Systems ndash Em 1998 este documento foi publicado como BS7799-21998
(Information Security Management Systems)
ndash Em abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas apoacutes uma revisatildeo com o nome de BS7799-1999
ndash A norma jaacute estava sendo adotada por outros paiacuteses como a Austraacutelia a Aacutefrica do Sul a Repuacuteblica Checa a Dinamarca a Coreacuteia a Suiacuteccedila e a Nova Zelacircndia
84
Normas de Seguranccedila da Informaccedilatildeo13BS7799
84
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799 foi traduzida para vaacuterias liacutenguas das quais pode-se
destacar o Francecircs o Alematildeo e o Japonecircs bull Em 1999 a primeira parte deste documento foi novamente
submetida a ISO para homologaccedilatildeo mas agora sobre o mecanismo de Fast Track
bull Em maio de 2000 a BSI homologou a primeira parte da norma BS7799
bull Em outubro na reuniatildeo do comitecirc da ISO em Toacutequio a norma foi votada e aprovada pela maioria dos representantes
bull Os representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo mas em primeiro de dezembro de 2000 houve a homologaccedilatildeo desta BS como ISOIEC 177992000
85
Normas de Seguranccedila da Informaccedilatildeo13BS7799
85
bull Surgimento da Norma Internacional de Seguranccedila da Informaccedilatildeo
bull BS7799-2 foi submetida a um processo de revisatildeo em 2001 bull Em janeiro de 2002 foi emitido o primeiro draft da mesma
para acesso e avaliaccedilatildeo puacuteblica bull Visa ajustar BS7799-2 com normas internacionais tais como a
ISO9001 e a ISO14001 e ainda remover aspectos proacuteprios da lei britacircnica
bull Os controles da ISOIEC 17799 foram adicionados a um anexo desta versatildeo permitindo uma correspondecircncia entre a numeraccedilatildeo em ambas as normas
bull BS 7799-22002 foi publicada no dia 5 de setembro de 2002
86
Normas de Seguranccedila da Informaccedilatildeo13BS7799
86
- 01122000 - Publicaccedilatildeo da ISOIEC 177992000
ldquoOs representantes dos paiacuteses ricos excluindo a Inglaterra foram todos contra a homologaccedilatildeo ldquo
87
Normas de Seguranccedila da Informaccedilatildeo13ISOIEC 17799
87
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
bull Surgimento da Norma Nacional de Seguranccedila da Informaccedilatildeo
bull Em abril de 2001 a ABNT disponibilizou para consulta puacuteblica
o Projeto 2120401-010 que daria origem a norma nacional de seguranccedila da informaccedilatildeo NBR ISOIEC 177992000
bull A versatildeo 10485761048577104857810485791048580104858110485821048583104858410485851048586104858710485881048589104859010485911048592104859310485941048595104859610485971048598104859910486001048601104860210486031048604104860510486061048607104860810486091048610104861110486121048613104861410486151048616104861710486181048619104862010486211048622104862310486241048625104862610486271048628104862910486301048631104863210486331048634104863510486361048637104863810486391048640104864110486421048643104864410486451048646104864710486481048649104865010486511048652104865310486541048655104865610486571048658104865910486601048661104866210486631048664104866510486661048667104866810486691048670104867110486721048673104867410486751048676104867710486781048679104868010486811048682104868310486841048685104868610486871048688104868910486901048691104869210486931048694104869510486961048697104869810486991048700104870110487021048703nacional da NBR ISOIEC-17799 que eacute uma traduccedilatildeo literal da norma Internacional de Seguranccedila da Informaccedilatildeo - ISOIEC-177992000 foi homologada em Setembro de 2001
bull A publicaccedilatildeo inclui oficialmente o Brasil no conjunto de paiacuteses que de certa forma adotam e apoacuteiam o uso da norma de Seguranccedila da Informaccedilatildeo
bull Esta versatildeo da ISOIEC 17799 vem sendo utilizada por vaacuterios outros paiacuteses como eacute o caso de Portugal Angola entre outros
88
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
88
- 092001 - Publicaccedilatildeo da NBR ISOIEC 177992000
89
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
89
bull Macro controles 1 Poliacutetica de Seguranccedila da informaccedilatildeo
2 Organizaccedilatildeo a seguranccedila da informaccedilatildeo
3 Gestatildeo dos Ativos
4 Seguranccedila em recursos humanos
5 Seguranccedila Fiacutesica do Ambiente
6 Gerenciamento das Operaccedilotildees e Comunicaccedilotildees
7 Controle de Acessos
8 Aquisiccedilatildeo desenvolvimento e manutenccedilatildeo de sistemas de informaccedilatildeo
9 Gestatildeo de incidentes de Seguranccedila da Informaccedilatildeo
10Gestatildeo da Continuidade do Negoacutecio
11Conformidade
90
Normas de Seguranccedila da Informaccedilatildeo13NBR ISOIEC 17799
90
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
ldquo alinhada com outros padrotildees de sistemas de gerecircncia ISO como ISO 9001 (sistemas de gerecircncia da qualidade) e ISO 14001 (sistemas de gerecircncia ambiental) rdquo
ldquo a combinar as melhores praacuteticas com padrotildees
de certificaccedilatildeordquo
91
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
91
A Seacuterie 27000 da ISO - ISO 27000 - Vocabulaacuterio de Gestatildeo da Seguranccedila
da Informaccedilatildeo Apresenta uma visatildeo geral da Seacuterie de Normas de
Seguranccedila da Informaccedilatildeo A antiga ISOIEC 17799 e as BS-7799 deram origem a
uma serie de normas focadas em vaacuterios aspectos da Seguranccedila da Informaccedilatildeo (SI)
92
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
92
A Seacuterie 27000 da ISO - ISO 270012005 - substituiu a norma BS 7799-2
para certificaccedilatildeo de Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI) - ISO 270022011 - substituir a ISO 177992005
(Coacutedigo de Boas Praacuteticas)
93
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
93
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270032010 - aborda as diretrizes para Implementaccedilatildeo de Sistemas de Gestatildeo de Seguranccedila da Informaccedilatildeo - Aspectos criacuteticos necessaacuterios para a
implantaccedilatildeo e projeto bem sucedidos de um Sistema de Gestatildeo da Seguranccedila da Informaccedilatildeo (SGSI) - Fornecer apoio agrave implantaccedilatildeo da NBR ISOIEC
27001
94
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
94
A Seacuterie 27000 da ISO - ISO 270042009 - define as meacutetricas e relatoacuterios
relacionados agrave um SGSI bull Diretrizes para o desenvolvimento e uso de
meacutetricas e mediccedilotildees bull Avaliar a eficaacutecia de um Sistema de Gestatildeo de
Seguranccedila da Informaccedilatildeo (SGSI) implementado e dos controles ou grupos de controles conforme especificado na ABNT NBR ISOIEC 27001
95
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
95
A Seacuterie 27000 da ISO - ISO 270052008 - Gestatildeo de riscos de seguranccedila
da informaccedilatildeo (GRSI) bull define as diretrizes para o processo de gestatildeo de
riscos de seguranccedila da informaccedilatildeo bull Teve como base a BS 7799-3 e a norma
australiana neozelandesa ASNZS 4360
96
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
96
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015
A Seacuterie 27000 da ISO
- ISO 270062011 - requisitos e orientaccedilotildees para os organizaccedilotildees que prestem serviccedilos de auditoria e certificaccedilatildeo de um sistema de gestatildeo da seguranccedila da informaccedilatildeo
97
Normas de Seguranccedila da Informaccedilatildeo13Serie ISOIEC 27000
97
98
98
UCP-Pos-SEG-Legistacao-Aula01-Parte01-Historico e Normas-20151013key - 13 de outubro de 2015