1 / 27

UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança da Informação

UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança da Informação Segurança em Aplicações. Ada Andersen, Cleitom Ribeiro Amaral, Hebert Douglas Pereira, Leonardo B. F. Vinhandel, Michele Prado. Norma ISO/IEC 15408. ISO/IEC 15408 Common Criteria Como surgiu. Norma ISO/IEC 15408.

huey
Download Presentation

UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança da Informação

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança da Informação Segurança em Aplicações Ada Andersen, Cleitom Ribeiro Amaral, Hebert Douglas Pereira, Leonardo B. F. Vinhandel,Michele Prado

  2. Norma ISO/IEC 15408 • ISO/IEC 15408 • Common Criteria • Como surgiu

  3. Norma ISO/IEC 15408 • Três níveis: • Definições e metodologia • Requisitos de segurança • Metodologias de avaliação

  4. Norma ISO/IEC 15408 • Definição • Target of Evaluation (TOE) • Protect Profile (PP): Análise do Perfil do Produto

  5. Security Functional Requirements (SFR) • Especificações dos Requisitos funcionais de segurança. • Dividida em Classes: • Classe FAU: Auditorias • Classe FCS: Suporte a Criptografia • Classe FCO: Comunicação • Classe FDP: Proteção de dados do usuários • Classe FIA: Identificação e Autenticação

  6. Security Functional Requirements SFR Cont. Classe FMT: Gerenciamento de Segurança • Classe FPR: Privacidade • Classe FPT: Funções de segurança e proteção do TOE • Classe FRU: Recursos de utilização • Classe FTA: Acesso do TOE • Classe de FTP: Caminhos ou Canais confiáveis

  7. Tabela de dependências da Classe FAU - Auditoria de Segurança

  8. Tabela de dependências da Classe FCS – Suporte Criptografia

  9. Tabela de dependências da Classe FMT – Gerenciamento de segurança

  10. Security Target (ST) É uma propriedade de segurança de cada elemento do TOE, avaliado contra os SFR (Security Functional Requirements). • Security Objectives: Baseado na política de segurança, identifica as ameaças que o sistema possa suportar • Descriçoes do TOE: Descreve o contexto para a avaliação e também ajuda no entendimento dos requisitos de segurança • Requerimentos de Segurança em TI: Indentifica os requisitos de segurança do TOE

  11. Security Target (ST) Cont. • Resumo das especificações do TOE: Prevê um alto nível de definição das funções de segurança e requerimentos funcionais de segurança • Ambiente de Segurança no TOE: Verifica as ameaças que o sistema possa sofrer no ambiente de trabalho • Exigências do PP: Verifica quais são as exigências de um ou mais PPs

  12. Security Assurance Requirements (SAR) • Identifica quais os requisitos a serem adotados no desenvolvimento do sistema ou produto em TI e na avaliação para garantir que o mesmo será seguro incluindo os níveis de segurança EAL. • Dividida em várias classes • Classe ACM: Configuração de Gerenciamento • Classe ADO:distribuição e operação • Classe ADV: Desenvolvimento

  13. Security Assurance Requirements (SAR) Cont. • Classe ALC: Ciclo de vida suportado • Classe APE: Avaliação de Protection Profile • Classe ASE: Avaliação das Security Target • Classe ATE: Testes • Classe AVA: Taxação das Vulnerabilidades

  14. Classes de Familias das SARs

  15. Classe da Família ASE: Avaliação dos STs

  16. Requisitos Necessários

  17. Relação das famílias com os níveis de segurança

  18. Exemplo de requisitos de segurança para um software específico

  19. Evaluation Assurance Level (EAL) Avaliação do nível de garantia É uma avaliação numérica atribuída ao produto. • A maioria destas avaliações envolvem a documentação do projeto, a análise do projeto, testar funcionalmente, ou testar a penetração. • Cada nível corresponde a um pacote de exigências que cubra o desenvolvimento completo de um produto. • São sete níveis, o Nível 1 que é o mais básico (e conseqüentemente mais barato de executar e avaliar) e o Nível 7 que é o mais exigente (e mais caro). Níveis mais elevados de garantia de segurança não implicam necessariamente na melhor segurança, eles significam que a garantia reivindicada de segurança esteve validada .

  20. Níveis de Garantia • EAL1: Testado funcionalmente • As funcionalidades de segurança são testadas no produto pronto e sem acesso maior ao desenvolvedor ou ao código fonte. • EAL2: Testado funcionalmente e estruturalmente • Requerem um baixo nível de segurança. • Busca no desenvolvimento do produto vulnerabilidades óbvias. • EAL3: Testado e verificadometodicamente • O desenvolvedor deve mostrar mais sobre o processo de desenvolvimento, gerenciamento de configuração, e alguns dos resultados de testes do desenvolvedor devem ser verificados independentemente.

  21. Níveis de Garantia • EAL4: Projetado, testado e revisto metodicamente • Detalhes da estrutura do programa estarão todos disponíveis, testes são verificados independentemente, desenvolvedor deve mostrar o uso de boas praticas de segurança no desenvolvimento do sistema. • EAL4 é o mais elevadonível em que é provável ser economicamente praticável adaptar a uma linha de produto existente. • EAL4 é aplicável naquelas circunstâncias onde os colaboradores ou os usuários requerem um nível médio a elevado de segurança. • O teste é feito em busca de vulnerabilidades óbvias. • Produtos que tem esse Certificado: • Novell NetWare; • SuSE Linux Enterprise Server 9; • Windows 2000 Service Pack 3; • Red Hat Enterprise Linux 5.

  22. Níveis de Garantia • EAL5: Projetado e testado semi-formal • Baseada nas rigorosas práticas comerciais do desenvolvimento • Tal produto provavelmente será projetado e desenvolvido com a intenção de conseguir a garantia EAL5. • Aplicável onde requer uma elevação em nível da segurança. • Produtos que tem esse Certificado: • Dispositivos smartcards; • Tenix Interactive Link; • XTS-400 (STOP 6); • IBM z/OS operating system; • LPAR on System ZSeries .

  23. Níveis de Garantia • EAL6: Projetado e testado de forma verificada e semi-formal • Permite aos desenvolvedores ganhar a garantia elevada da aplicação com técnicas da engenharia de segurança a um ambiente rigoroso do desenvolvimento. • Proteger recursos elevados do valor de encontro aos riscos significativos. • É aplicável onde o valor dos recursos protegidosjustifica os custos de proteção. • A busca por vulnerabilidades deve assegurar a resistência elevadaao ataque de penetração.

  24. Níveis de Garantia • EAL7: Projeto formalmente verificado e testado ( mais CARO) • Situações de risco elevado ou • Ou onde o valor elevado dos recursos justifica os custos mais elevados. • Produtos que tem esse Certificado: • The Tenix Interactive Link Data Diode Device has been evaluated at EAL7 Níveis mais elevados de garantia de segurança NÃO significam 100% segurança ! ! !

  25. Costs

  26. Conclusão • Surgiu para unificar os padrões de segurança europeu e norte americano • Garante a segurança do software satisfazendo os princípios da segurança da informação, • Utilizado tanto em desenvolvimento com em análise de aplicações prontas, • Tornou-se importante devido à crescente necessidade das empresas em investir na segurança de suas informações.

More Related