uniÃo educacional de minas gerais especialização em segurança da informação
DESCRIPTION
UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança da Informação Segurança em Aplicações. Ada Andersen, Cleitom Ribeiro Amaral, Hebert Douglas Pereira, Leonardo B. F. Vinhandel, Michele Prado. Norma ISO/IEC 15408. ISO/IEC 15408 Common Criteria Como surgiu. Norma ISO/IEC 15408. - PowerPoint PPT PresentationTRANSCRIPT
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
UNIÃO EDUCACIONAL DE MINAS GERAISEspecialização em Segurança da Informação
Segurança em Aplicações
Ada Andersen, Cleitom Ribeiro Amaral, Hebert Douglas Pereira, Leonardo B. F. Vinhandel, Michele Prado
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
ISO/IEC 15408
Common Criteria
Como surgiu
Norma ISO/IEC 15408
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Três níveis:
Definições e metodologia
Requisitos de segurança
Metodologias de avaliação
Norma ISO/IEC 15408
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Definição
Target of Evaluation (TOE)
Protect Profile (PP): Análise do Perfil do Produto
Norma ISO/IEC 15408
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Security Functional Requirements (SFR)Especificações dos Requisitos funcionais de segurança.
Dividida em Classes:
Classe FAU: Auditorias
Classe FCS: Suporte a Criptografia
Classe FCO: Comunicação
Classe FDP: Proteção de dados do usuários
Classe FIA: Identificação e Autenticação
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Security Functional Requirements SFR Cont.
Classe FMT: Gerenciamento de Segurança
Classe FPR: Privacidade
Classe FPT: Funções de segurança e proteção do TOE
Classe FRU: Recursos de utilização
Classe FTA: Acesso do TOE
Classe de FTP: Caminhos ou Canais confiáveis
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Tabela de dependências da Classe FAU - Auditoria de Segurança
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Tabela de dependências da Classe FCS – Suporte Criptografia
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Tabela de dependências da Classe FMT – Gerenciamento de segurança
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
É uma propriedade de segurança de cada elemento do TOE, avaliado
contra os SFR (Security Functional Requirements).
Security Objectives: Baseado na política de segurança, identifica as
ameaças que o sistema possa suportar
Descriçoes do TOE: Descreve o contexto para a avaliação e também
ajuda no entendimento dos requisitos de segurança
Requerimentos de Segurança em TI: Indentifica os requisitos de
segurança do TOE
Security Target (ST)
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Resumo das especificações do TOE: Prevê um alto nível de definição
das funções de segurança e requerimentos funcionais de segurança
Ambiente de Segurança no TOE: Verifica as ameaças que o sistema
possa sofrer no ambiente de trabalho
Exigências do PP: Verifica quais são as exigências de um ou mais PPs
Security Target (ST) Cont.
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Security Assurance Requirements (SAR)
Identifica quais os requisitos a serem adotados no desenvolvimento do sistema ou produto em TI e na avaliação para garantir que o mesmo será seguro incluindo os níveis de segurança EAL.
Dividida em várias classes
Classe ACM: Configuração de Gerenciamento
Classe ADO:distribuição e operação
Classe ADV: Desenvolvimento
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Security Assurance Requirements (SAR) Cont.
Classe ALC: Ciclo de vida suportado
Classe APE: Avaliação de Protection Profile
Classe ASE: Avaliação das Security Target
Classe ATE: Testes
Classe AVA: Taxação das Vulnerabilidades
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Classes de Familias das SARs
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Classe da Família ASE: Avaliação dos STs
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Requisitos Necessários
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Relação das famílias com os níveis de segurança
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Exemplo de requisitos de segurança para um software específico
Identificação Descrição
ACM_CAP.2 Documento de gestão de configuração do sistema
ADO_DEL.1 Documento de operação e distribuição do sistema
ADO_ICS.1 Guia de instalação
ADO_IGS.1 Procedimentos de instalação, geração e iniciação
ADV_FSP.1 Especificação Funcional Informal
ADV_HLD.1 Descritivo de alto-nível do projeto de desenvolvimento
ADV_RCR.1 Demonstração de correspondência (projeto e produto) informal
AGD_ADM.1 Guia do administrador
AGD_USR.1 Guia do usuário
ATE_COV.1 Evidências de testes de cobertura
ATE_FUN.1 Evidência de execução de testes funcionais
ATE_IND.2 Exemplos de testes independentes (não o desenvolvedor)
AVA_SOF.1 Avaliação da força das funções de segurança do software
AVA_VLA.1 Análise de vulnerabilidade do desenvolvedor
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
É uma avaliação numérica atribuída ao produto.
A maioria destas avaliações envolvem a documentação do projeto, a
análise do projeto, testar funcionalmente, ou testar a penetração.
Cada nível corresponde a um pacote de exigências que cubra o
desenvolvimento completo de um produto.
São sete níveis, o Nível 1 que é o mais básico (e conseqüentemente
mais barato de executar e avaliar) e o Nível 7 que é o mais exigente (e
mais caro).
Níveis mais elevados de garantia de segurança não implicam
necessariamente na melhor segurança, eles significam que a garantia
reivindicada de segurança esteve validada .
Evaluation Assurance Level (EAL) Avaliação do nível de garantia
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL1: Testado funcionalmente
As funcionalidades de segurança são testadas no produto pronto e sem
acesso maior ao desenvolvedor ou ao código fonte.
EAL2: Testado funcionalmente e estruturalmente
Requerem um baixo nível de segurança.
Busca no desenvolvimento do produto vulnerabilidades óbvias.
EAL3: Testado e verificado metodicamente O desenvolvedor deve mostrar mais sobre o processo de desenvolvimento,
gerenciamento de configuração, e alguns dos resultados de testes do
desenvolvedor devem ser verificados independentemente.
Níveis de Garantia
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL4: Projetado, testado e revisto metodicamente
Detalhes da estrutura do programa estarão todos disponíveis, testes são verificados independentemente, desenvolvedor deve mostrar o uso de boas praticas de segurança no desenvolvimento do sistema.
EAL4 é o mais elevado nível em que é provável ser economicamente praticável adaptar a uma linha de produto existente.
EAL4 é aplicável naquelas circunstâncias onde os colaboradores ou os usuários requerem um nível médio a elevado de segurança.
O teste é feito em busca de vulnerabilidades óbvias.
Produtos que tem esse Certificado:
Novell NetWare;
SuSE Linux Enterprise Server 9;
Windows 2000 Service Pack 3;
Red Hat Enterprise Linux 5.
Níveis de Garantia
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL5: Projetado e testado semi-formal
Baseada nas rigorosas práticas comerciais do desenvolvimento
Tal produto provavelmente será projetado e desenvolvido com a intenção de
conseguir a garantia EAL5.
Aplicável onde requer uma elevação em nível da segurança.
Níveis de Garantia
Dispositivos smartcards;
Tenix Interactive Link;
XTS-400 (STOP 6);
IBM z/OS operating system;
LPAR on System ZSeries .
Produtos que tem esse Certificado:
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL6: Projetado e testado de forma verificada e semi-formal
Permite aos desenvolvedores ganhar a garantia elevada da aplicação com
técnicas da engenharia de segurança a um ambiente rigoroso do
desenvolvimento. Proteger recursos elevados do valor de encontro aos riscos significativos.
É aplicável onde o valor dos recursos protegidos justifica os custos de
proteção.
Níveis de Garantia
A busca por vulnerabilidades deve assegurar a resistência elevada ao ataque
de penetração.
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL7: Projeto formalmente verificado e testado ( mais CARO)
Situações de risco elevado ou
Ou onde o valor elevado dos recursos justifica os custos mais elevados.
Níveis de Garantia
Níveis mais elevados de garantia de segurança
NÃO significam 100% segurança ! ! !
The Tenix Interactive Link Data Diode Device has been evaluated at EAL7
Produtos que tem esse Certificado:
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Costs
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Surgiu para unificar os padrões de segurança europeu e norte
americano
Garante a segurança do software satisfazendo os princípios da
segurança da informação,
Utilizado tanto em desenvolvimento com em análise de aplicações
prontas,
Tornou-se importante devido à crescente necessidade das empresas
em investir na segurança de suas informações.
Conclusão