Conceitos sobre o Índice de Maturidade Tecnológica Ademir Xavier
Apresentação sucinta sobre o IMATEC ou índice de maturidade tecnológico. Ferramenta conceitual e metodologia que descreve o estágio de desenvolvimento de determinado produto.
Apresentar uma visão geral sobre o processo de criação de especificação de requisitos técnicos conforme a norma ECSS-E-ST-10-06 “Technical Requirement Specification” ;
Discutir com algum detalhes os tipos de requisitos técnicos e sua importância no início de um projeto; Apresentar orientações gerais que restringem e caracterizam como requisitos técnicos devem ser apresentados – os chamados “metarequisitos”.
Conceitos sobre o Índice de Maturidade Tecnológica Ademir Xavier
Apresentação sucinta sobre o IMATEC ou índice de maturidade tecnológico. Ferramenta conceitual e metodologia que descreve o estágio de desenvolvimento de determinado produto.
Apresentar uma visão geral sobre o processo de criação de especificação de requisitos técnicos conforme a norma ECSS-E-ST-10-06 “Technical Requirement Specification” ;
Discutir com algum detalhes os tipos de requisitos técnicos e sua importância no início de um projeto; Apresentar orientações gerais que restringem e caracterizam como requisitos técnicos devem ser apresentados – os chamados “metarequisitos”.
Le ministère de la Défense vient de publier le « Guide du parcours du militaire blessé ». Fruit de la collaboration de tous les acteurs impliqués dans l’accompagnement des blessés et de leurs familles, ce guide a pour vocation d’offrir, de façon claire, l’ensemble des informations nécessaires à leur réinsertion.
This is my book of the digital projects I have worked in as Project Manager, Strategic Planner, Web Designer or Account Executive. Hope you enjoy it. Please, keep in touch! paty.aguilera.delrio@gmail.com
Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades Raras. Odile Kremp. Jornada de Presentación de la Estrategia en Enfermedades Raras del Sistema Nacional de Salud. (Madrid, Ministerio de Sanidad y Política Social, 2009).
Selphie® est un cabinet de conseil spécialisé en ingénierie économique et financière dédié au professionnel de santé, le pharmacien d’officine.
Selphie® apporte des réponses et des améliorations aux problématiques du futur entrepreneur pharmacien et du titulaire installé et l’aide à prendre les bonnes décisions.
Le ministère de la Défense vient de publier le « Guide du parcours du militaire blessé ». Fruit de la collaboration de tous les acteurs impliqués dans l’accompagnement des blessés et de leurs familles, ce guide a pour vocation d’offrir, de façon claire, l’ensemble des informations nécessaires à leur réinsertion.
This is my book of the digital projects I have worked in as Project Manager, Strategic Planner, Web Designer or Account Executive. Hope you enjoy it. Please, keep in touch! paty.aguilera.delrio@gmail.com
Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades Raras. Odile Kremp. Jornada de Presentación de la Estrategia en Enfermedades Raras del Sistema Nacional de Salud. (Madrid, Ministerio de Sanidad y Política Social, 2009).
Selphie® est un cabinet de conseil spécialisé en ingénierie économique et financière dédié au professionnel de santé, le pharmacien d’officine.
Selphie® apporte des réponses et des améliorations aux problématiques du futur entrepreneur pharmacien et du titulaire installé et l’aide à prendre les bonnes décisions.
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil
Be Aware Webinar Symantec
Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
ISO/IEC 27001:2013 is the current international standard that sets out the requirements to establish, implement and continually improve an ISMS. ISO/IEC 27001 training courses follow a structure to help you familiarize yourself with the standard, understand how to implement an ISMS, and how to assessment it.
Hardening is a security process executed to protect
systems and assets against attackers. Usually include removal of unnecessary services, IdM, patching , kernel tuning, port and protocols mgmt and monitoring over system and process in use.
SWOT, Porter, BCG Matrix, SMART and ScoreCard tooltips for "Enterprise Information Security Mgmt" and consolidation of Key Performance Indicators (PKIs)
2. Índice ISO-15408
1. Timeline
2. Introdução
3. Níveis de Segurança
4. Preocupações
5. Passos para implementação
6. Especificação de Segurança
7. Ambiente de desenvolvimento
8. Trilha de Auditoria – Exemplo
9. Não implementação
10. Conclusão
11. Homework
12. Links
13. Dúvidas
36 CON – A3
3. Introdução
Linha do tempo...
DoD, Ware (RS) 1967 Security Control for
Computer System
CIA , Weissmann (OST) 67-68 ADEPT-50
USAF, Anderson (TR) 1972 Computer Security
Technology Planning Study
J.P.A., La Padula, Bell (SB) 72-73 Doctrine
ESD/USAF, R. Schell, (T&E) 1973 Security Kernel
DoD “Computer Sec Initiative” 1977 Security Classical Problems
DoD, Roger Schell via CSI 1978 Orange Book (TCSEC)
DoD & NCSC 83-95 The Rainbow Series
Fusão/Draft, CC 2.1 (SO 15408) 96,99 TCSEC, CTCPEC e ITSEC
Updates... 96-08 ISO 15408:2008
37 CON – A3
4. Introdução
ISO 15408 (Commom Criteria)
• Part 1: Introduction and general model
Discute definições e metodologia
• Part 2: Security functional components
Lista requisitos de segurança
• Part 3: Security assurance components
Lista metodologias de avaliação
38 CON – A3
5. Introdução
ISO 15408 (Commom Criteria)
• Especificar critérios de segurança para aplicações (D/T)
Fornece conjunto de critérios fixos;
Definir segurança da aplicação para o usuário-final;
• Comitê Internacional do Commom Criteria
Criado para evitar diversos padrões divergentes;
• Estabelece escopo para Security Target (ST)
Quais controles de segurança o TOE (produto) deve satisfazer;
• Estabeleve Protection Profile (PP)
Uma versão do ST mais específica, aplicado para validar condições
de segurança em “perfis de dispositivos”
39 CON – A3
6. Níves de garantia
ISO 15408 (Commom Criteria)
• Define 7 níveis de classificação de Segurança:
- Evaluation Assurance Level – EAL 1
Evaluation Assurance Level – EAL 2
Evaluation Assurance Level – EAL 3
Evaluation Assurance Level – EAL 4
} Reconhecidos pela ISO
e aplicáveis ao TOE.
+
Evaluation Assurance Level – EAL 5
Evaluation Assurance Level – EAL 6
Evaluation Assurance Level – EAL 7
} Extremamente rígidos!
Na prática, inviáveis.
40 CON – A3
7. Níves de garantia
ISO 15408 (Commom Criteria)
• Define 7 níveis de classificação de Segurança:
- EAL 1 – Funcionalmente testado
EAL 2 – Estruturalmente testado
EAL 3 – Metodicamente testado e verificado
EAL 4 – Metodicamente projetado, testado e verificado
EAL 5 – Semi-formalmente projetado e testado
EAL 6 – Semi-formalmente projetado, testado e verificado
+ EAL 7 – Formalmente projetado, testado e verificado
41 CON – A3
8. Níves de garantia
ISO 15408 (Commom Criteria)
• “Avaliações Técnicas” podem incluir:
1. analysis and checking of processes and procedures (applied?);
2. analysis of the correspondence between TOE design/requiments;
3. verification of proofs;
4. analysis of guidance documents;
5. analysis of functional tests developed and the results provided;
6. independent functional testing;
7. analysis for vulnerabilities (including flaw/error hypothesis);
8. penetration testing.
42 CON – A3
13. Preocupações
ISO 15408 (Commom Criteria)
:: 3 preocupações básicas em desenvolvimento
1. Segurança do ambiente de desenvolvimento
Segurança código-fonte, controle, disponibilidade...
2. Segurança da aplicação desenvolvida
Código sem falhas, sem backdoors, documentado...
3. Garantia “conjunta” da aplicação desenvolvida
De acordo com especificado, testada, analisada...
47 CON – A3
14. Passos - Implementação
ISO 15408 (Commom Criteria)
:: Avaliar TOE “novos” e “existentes”. Passos:
1. Especifique a Segurança da aplicação – Fase de Análise
- Gere documento de especificação da segurança;
- Utilize a 15408 como base e seus requisitos descritos;
- Utilize a mesma estrutura de análise do/para ambiente.
2. Mantenha ambientes de desenvolvimento/teste seguros
- Capaz de atender a 15408
- Utilize EAL-3. Considerado um bom começo!
48 CON – A3
15. Passos - Implementação
ISO 15408 (Commom Criteria)
:: Avaliar TOE “novos” e “existentes”. Passos:
3. Defina metas para “boas práticas de programação”
- Obedeça requisitos;
- Produza documentação decente;
- Utilize “crítica de dados”.
4. Submeta seu sistema a testes internos;
- Escolha um dos níveis de garantia;
- Gere evidências – valide sua aderência a especificação.
49 CON – A3
16. Passos - Implementação
ISO 15408 (Commom Criteria)
:: Se for “aplicações/sistemas” existentes...
1. Defina a especificação de Segurança para a aplicação
- Use a 15408 como base de análise defina objetivo!
2. Defina quais os “requisitos de segurança” presentes
- Na aplicação e no ambiente de desenvolvimento
- Valide se os implementados atendem os requisitados
3. Defina um nível de Segurança (EAL-1 EAL-3)
- Considere limitações dos testes em aplicações prontas
50 CON – A3
17. Especificação de Segurança
ISO 15408 (Commom Criteria)
:: Descubra porque o TOE “demanda” segurança
1. Aspectos Legais e/ou ameaças conhecidas do “negócio”
- Podem demandar controles adicionais
2. Após mapeamento dos requisitos legais e ameaças
- Consolide objetivos de Segurança
- Persiga esses “requisitos base” a serem atendidos
- Defina a estratégia para atingir os objetivos!
51 CON – A3
18. Especificação de Segurança
ISO 15408 (Commom Criteria)
:: Mecanismos CC – Atendimento dos objetivos
Dividido em “12 Famílias de Atributos”;
Proteção de Dados dos Usuários;
Criptografia;
Gerenciamento de Segurança
Exigências são baseadas no nível a ser avaliado;
EAL
52 CON – A3
19. Ambiente Desenvolvimento – EAL3
ISO 15408 (Commom Criteria)
• ACM_CAP3 Controle de versão autorizado;
• ACM_SCP.1 Abrangência da Gerência de Configuração;
• ADO_DEL.1 Procedimento de Entrega;
• AGD_USR.1 Documentação do usuário do sistema;
• ALC_DVS.1 Identificação de Medidas de Segurança;
• ATE_FUN.1 Teste Funcional;
• ATE_IND.2 Teste Independente por Amostragem;
• ATE_COV.2 Análise da Abrangência dos Testes;
• AVA_MSU.1 Análise do uso inapropriado;
• AVA_VLA.1 Análise de Vulnerabilidade;
• AVA_SOF.1 Avaliação de ataques por força bruta
...
53 CON – A3
20. Prevendo “trilhas auditoria”, FAU
ISO 15408 (Commom Criteria)
$timestampToken = date("Y/m/d H:i:s");
query = “select id from LocalUserTable where loginName = ‘$loginName’ and
passCode = ‘$passCode’”;
$stmt = oci_parse( $conn, $query ); oci_exec( $stmt );
if (oci_fetchinto( $stmt, $result, OCI_ASSOC ) == FALSE)
{
syslog(LOG_WARNING, “$timestampToken Acesso negado: $loginName
$_SERVER[‘REMOTE_ADDR’] ($_SERVER [‘HTTP_USER_AGENT´])");
// Registrar autenticacao falha, reportar erro e retornar tela login
...
}
else
{
syslog(LOG_NOTICE, “$timestampToken Acesso OK: $loginName
$_SERVER[´REMOTE_ADDR´] ($_SERVER [‘HTTP_USER_AGENT’])");
setcookie("TestCookie", time()+3600);
// Registrar autenticacao OK + identidade em cookie e direcionar acesso
...
}
54 CON – A3
21. Quando não implementado!
ISO 15408 (Commom Criteria)
• Priorização dos “Requisitos Funcionais”;
• Falta cultura/preparo da equipe desenvolvimento;
• Projeto e tempo precários;
• Falta de informação sobre existência;
• Limitações financeiras;
• Terceirizam segurança para outras camadas;
...
55 CON – A3
22. Conclusão
ISO 15408 (Commom Criteria)
• Segurança de infra-estrutura torna-se inviável com
aplicações inseguras;
• 15408 é referência internacional para desenvolvimento,
avaliação e segurança em "sistemas e produtos";
• Provê definições (P1), requisitos (P2) e metodologias de
avaliação (P3) Produto dentro do “esperado”
• Foco sistemas/aplicações ou produtos, não corporativo!
56 CON – A3