SlideShare uma empresa Scribd logo
Pós-Graduação 2009
            ISO 15408 (CC)



                                Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
                                  jairo.pereira@gmail.com
Índice ISO-15408

1.    Timeline
2.    Introdução
3.    Níveis de Segurança
4.    Preocupações
5.    Passos para implementação
6.    Especificação de Segurança
7.    Ambiente de desenvolvimento
8.    Trilha de Auditoria – Exemplo
9.    Não implementação
10.   Conclusão
11.   Homework
12.   Links
13.   Dúvidas

                     36                    CON – A3
Introdução


                    Linha do tempo...

DoD, Ware (RS)                  1967   Security Control for
                                         Computer System
CIA , Weissmann (OST)           67-68  ADEPT-50
USAF, Anderson (TR)             1972  Computer Security
                                         Technology Planning Study
J.P.A., La Padula, Bell (SB)    72-73  Doctrine
ESD/USAF, R. Schell, (T&E)      1973  Security Kernel
DoD “Computer Sec Initiative”  1977  Security Classical Problems
DoD, Roger Schell via CSI       1978  Orange Book (TCSEC)
DoD & NCSC                      83-95  The Rainbow Series
Fusão/Draft, CC 2.1 (SO 15408)  96,99  TCSEC, CTCPEC e ITSEC
Updates...                      96-08  ISO 15408:2008

                                37                          CON – A3
Introdução


 ISO 15408 (Commom Criteria)


• Part 1: Introduction and general model
             Discute definições e metodologia

• Part 2: Security functional components
            Lista requisitos de segurança

• Part 3: Security assurance components
            Lista metodologias de avaliação

                           38                       CON – A3
Introdução


 ISO 15408 (Commom Criteria)

• Especificar critérios de segurança para aplicações (D/T)
        Fornece conjunto de critérios fixos;
        Definir segurança da aplicação para o usuário-final;

• Comitê Internacional do Commom Criteria
        Criado para evitar diversos padrões divergentes;

• Estabelece escopo para Security Target (ST)
        Quais controles de segurança o TOE (produto) deve satisfazer;

• Estabeleve Protection Profile (PP)
        Uma versão do ST mais específica, aplicado para validar condições
         de segurança em “perfis de dispositivos”
                                    39                              CON – A3
Níves de garantia


 ISO 15408 (Commom Criteria)

• Define 7 níveis de classificação de Segurança:

-     Evaluation Assurance Level – EAL 1
      Evaluation Assurance Level – EAL 2
      Evaluation Assurance Level – EAL 3
      Evaluation Assurance Level – EAL 4
                                            }   Reconhecidos pela ISO
                                                e aplicáveis ao TOE.




+
      Evaluation Assurance Level – EAL 5
      Evaluation Assurance Level – EAL 6
      Evaluation Assurance Level – EAL 7
                                            }   Extremamente rígidos!
                                                Na prática, inviáveis.


                              40                              CON – A3
Níves de garantia


 ISO 15408 (Commom Criteria)

• Define 7 níveis de classificação de Segurança:

-     EAL 1    –   Funcionalmente testado
      EAL 2    –   Estruturalmente testado
      EAL 3    –   Metodicamente testado e verificado
      EAL 4    –   Metodicamente projetado, testado e verificado

      EAL 5    – Semi-formalmente projetado e testado
      EAL 6    – Semi-formalmente projetado, testado e verificado
+     EAL 7    – Formalmente projetado, testado e verificado
                              41                             CON – A3
Níves de garantia


 ISO 15408 (Commom Criteria)

• “Avaliações Técnicas” podem incluir:

   1.   analysis and checking of processes and procedures (applied?);
   2.   analysis of the correspondence between TOE design/requiments;
   3.   verification of proofs;
   4.   analysis of guidance documents;
   5.   analysis of functional tests developed and the results provided;
   6.   independent functional testing;
   7.   analysis for vulnerabilities (including flaw/error hypothesis);
   8.   penetration testing.

                                 42                             CON – A3
Níves de garantia


 ISO 15408 (Commom Criteria)


EAL-1




                  43                CON – A3
Níves de garantia


 ISO 15408 (Commom Criteria)


EAL-1




                  44                CON – A3
Níves de garantia


 ISO 15408 (Commom Criteria)




                  45                CON – A3
Níves de garantia




46               CON – A3
Preocupações


 ISO 15408 (Commom Criteria)

:: 3 preocupações básicas em desenvolvimento

  1. Segurança do ambiente de desenvolvimento
         Segurança código-fonte, controle, disponibilidade...

  2. Segurança da aplicação desenvolvida
         Código sem falhas, sem backdoors, documentado...

  3. Garantia “conjunta” da aplicação desenvolvida
         De acordo com especificado, testada, analisada...

                              47                                CON – A3
Passos - Implementação


 ISO 15408 (Commom Criteria)

:: Avaliar TOE “novos” e “existentes”. Passos:

  1. Especifique a Segurança da aplicação – Fase de Análise
         - Gere documento de especificação da segurança;
         - Utilize a 15408 como base e seus requisitos descritos;
         - Utilize a mesma estrutura de análise do/para ambiente.

  2. Mantenha ambientes de desenvolvimento/teste seguros
         - Capaz de atender a 15408
         - Utilize EAL-3. Considerado um bom começo!

                              48                           CON – A3
Passos - Implementação


 ISO 15408 (Commom Criteria)

:: Avaliar TOE “novos” e “existentes”. Passos:

  3. Defina metas para “boas práticas de programação”
         - Obedeça requisitos;
         - Produza documentação decente;
         - Utilize “crítica de dados”.

  4. Submeta seu sistema a testes internos;
         - Escolha um dos níveis de garantia;
         - Gere evidências – valide sua aderência a especificação.

                              49                           CON – A3
Passos - Implementação


 ISO 15408 (Commom Criteria)

:: Se for “aplicações/sistemas” existentes...

  1. Defina a especificação de Segurança para a aplicação
         - Use a 15408 como base de análise  defina objetivo!

  2. Defina quais os “requisitos de segurança” presentes
         - Na aplicação e no ambiente de desenvolvimento
         - Valide se os implementados atendem os requisitados

  3. Defina um nível de Segurança (EAL-1  EAL-3)
         - Considere limitações dos testes em aplicações prontas
                             50                           CON – A3
Especificação de Segurança


 ISO 15408 (Commom Criteria)

:: Descubra porque o TOE “demanda” segurança

  1. Aspectos Legais e/ou ameaças conhecidas do “negócio”
         - Podem demandar controles adicionais

  2. Após mapeamento dos requisitos legais e ameaças
         - Consolide objetivos de Segurança
         - Persiga esses “requisitos base” a serem atendidos
         - Defina a estratégia para atingir os objetivos!


                              51                           CON – A3
Especificação de Segurança


 ISO 15408 (Commom Criteria)

:: Mecanismos CC – Atendimento dos objetivos


   Dividido em “12 Famílias de Atributos”;
             Proteção de Dados dos Usuários;
             Criptografia;
             Gerenciamento de Segurança

   Exigências são baseadas no nível a ser avaliado;
              EAL


                             52                        CON – A3
Ambiente Desenvolvimento – EAL3


 ISO 15408 (Commom Criteria)

•   ACM_CAP3          Controle de versão autorizado;
•   ACM_SCP.1         Abrangência da Gerência de Configuração;
•   ADO_DEL.1         Procedimento de Entrega;
•   AGD_USR.1         Documentação do usuário do sistema;
•   ALC_DVS.1         Identificação de Medidas de Segurança;
•   ATE_FUN.1         Teste Funcional;
•   ATE_IND.2         Teste Independente por Amostragem;
•   ATE_COV.2         Análise da Abrangência dos Testes;
•   AVA_MSU.1         Análise do uso inapropriado;
•   AVA_VLA.1         Análise de Vulnerabilidade;
•   AVA_SOF.1         Avaliação de ataques por força bruta
                ...
                                    53                           CON – A3
Prevendo “trilhas auditoria”, FAU


 ISO 15408 (Commom Criteria)

$timestampToken = date("Y/m/d H:i:s");
query = “select id from LocalUserTable where loginName = ‘$loginName’ and
                                             passCode = ‘$passCode’”;

$stmt = oci_parse( $conn, $query );          oci_exec( $stmt );

if (oci_fetchinto( $stmt, $result, OCI_ASSOC ) == FALSE)
 {
   syslog(LOG_WARNING, “$timestampToken Acesso negado: $loginName
          $_SERVER[‘REMOTE_ADDR’] ($_SERVER [‘HTTP_USER_AGENT´])");
   // Registrar autenticacao falha, reportar erro e retornar tela login
   ...
 }
else
 {
   syslog(LOG_NOTICE, “$timestampToken Acesso OK: $loginName
          $_SERVER[´REMOTE_ADDR´] ($_SERVER [‘HTTP_USER_AGENT’])");
   setcookie("TestCookie", time()+3600);
   // Registrar autenticacao OK + identidade em cookie e direcionar acesso
      ...
 }

                                      54                                CON – A3
Quando não implementado!


 ISO 15408 (Commom Criteria)


• Priorização dos “Requisitos Funcionais”;
• Falta cultura/preparo da equipe desenvolvimento;
• Projeto e tempo precários;
• Falta de informação sobre existência;
• Limitações financeiras;
• Terceirizam segurança para outras camadas;
     ...
                        55                     CON – A3
Conclusão


 ISO 15408 (Commom Criteria)

• Segurança de infra-estrutura torna-se inviável com
  aplicações inseguras;
• 15408 é referência internacional para desenvolvimento,
  avaliação e segurança em "sistemas e produtos";
• Provê definições (P1), requisitos (P2) e metodologias de
  avaliação (P3)  Produto dentro do “esperado”
• Foco sistemas/aplicações ou produtos, não corporativo!

                            56                         CON – A3
Cartoon


OOXML…




         57      CON – A3
Homework


 ISO 15408    X     2700x.




                ?
                  58                CON – A3
Links


http://www.niap-ccevs.org/cc-scheme/dd_docs/
http://www.commoncriteriaportal.org
http://www.iso.org
http://ultimainstancia.uol.com.br
http://www.opiceblum.com.br
http://www.truzzi.com.br
http://legislacao.planalto.gov.br
http://www.stf.gov.br
http://www.aasp.org


                        59                     CON – A3
Dúvidas ?




60        CON – A3
Fim




61   CON – A1

Mais conteúdo relacionado

Destaque

Présentation : Défense Mutuelle Santé
Présentation : Défense Mutuelle SantéPrésentation : Défense Mutuelle Santé
Présentation : Défense Mutuelle Santé
Défense Assurances
 
Complémentaire santé: note des économistes atterrés
Complémentaire santé: note des économistes atterrésComplémentaire santé: note des économistes atterrés
Complémentaire santé: note des économistes atterrés
Société Tripalio
 
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Habro Group
 
Guide du parcours du militaire blessé
Guide du parcours du militaire blesséGuide du parcours du militaire blessé
Guide du parcours du militaire blessé
Ministère des Armées
 
EP3S_Portfolio_semPEdro
EP3S_Portfolio_semPEdroEP3S_Portfolio_semPEdro
Ideas 4 Change - entendendo o mercado
Ideas 4 Change - entendendo o mercadoIdeas 4 Change - entendendo o mercado
Ideas 4 Change - entendendo o mercado
Troposlab
 
Youth Mode
Youth ModeYouth Mode
Youth Mode
Ewerton Nascimento
 
Objectif 2017 RMC : Les propositions des Français pour réformer le système de...
Objectif 2017 RMC : Les propositions des Français pour réformer le système de...Objectif 2017 RMC : Les propositions des Français pour réformer le système de...
Objectif 2017 RMC : Les propositions des Français pour réformer le système de...
contact Elabe
 
Ov 250 ppt para clientes
Ov 250 ppt para clientesOv 250 ppt para clientes
Ov 250 ppt para clientes
Fitira
 
Paty-Aguilera-book2015
Paty-Aguilera-book2015Paty-Aguilera-book2015
Paty-Aguilera-book2015
Patricia Aguilera
 
Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades...
Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades...Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades...
Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades...
Plan de Calidad para el SNS
 
Windows XP Mode
Windows XP ModeWindows XP Mode
Windows XP Mode
Fabio Hara
 
Ov 250 ppt enero 2009
Ov 250 ppt enero 2009Ov 250 ppt enero 2009
Ov 250 ppt enero 2009
Fitira
 
Apresentação youth mode
Apresentação youth modeApresentação youth mode
Apresentação youth mode
Wil_alves
 
Desktop Tower Defense Como Jogar
Desktop Tower Defense   Como JogarDesktop Tower Defense   Como Jogar
Desktop Tower Defense Como Jogar
jurandyr.vaz
 
Manual do Usuario Tyt th f8 VHF
Manual do Usuario Tyt  th f8 VHFManual do Usuario Tyt  th f8 VHF
Manual do Usuario Tyt th f8 VHF
Fábio Teixeira
 
Qualidade na Educação Superior a Distância
Qualidade na Educação Superior a DistânciaQualidade na Educação Superior a Distância
Qualidade na Educação Superior a Distância
Joao Mattar
 
Presentation selphie
Presentation selphiePresentation selphie
Presentation selphie
Richard BIDAULT
 
Youth Mode - Marketing Digital
Youth Mode - Marketing DigitalYouth Mode - Marketing Digital
Youth Mode - Marketing Digital
Claudio Gonçalves Junior
 

Destaque (20)

Présentation : Défense Mutuelle Santé
Présentation : Défense Mutuelle SantéPrésentation : Défense Mutuelle Santé
Présentation : Défense Mutuelle Santé
 
Complémentaire santé: note des économistes atterrés
Complémentaire santé: note des économistes atterrésComplémentaire santé: note des économistes atterrés
Complémentaire santé: note des économistes atterrés
 
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
 
Guide du parcours du militaire blessé
Guide du parcours du militaire blesséGuide du parcours du militaire blessé
Guide du parcours du militaire blessé
 
EP3S_Portfolio_semPEdro
EP3S_Portfolio_semPEdroEP3S_Portfolio_semPEdro
EP3S_Portfolio_semPEdro
 
Mimi mode
Mimi modeMimi mode
Mimi mode
 
Ideas 4 Change - entendendo o mercado
Ideas 4 Change - entendendo o mercadoIdeas 4 Change - entendendo o mercado
Ideas 4 Change - entendendo o mercado
 
Youth Mode
Youth ModeYouth Mode
Youth Mode
 
Objectif 2017 RMC : Les propositions des Français pour réformer le système de...
Objectif 2017 RMC : Les propositions des Français pour réformer le système de...Objectif 2017 RMC : Les propositions des Français pour réformer le système de...
Objectif 2017 RMC : Les propositions des Français pour réformer le système de...
 
Ov 250 ppt para clientes
Ov 250 ppt para clientesOv 250 ppt para clientes
Ov 250 ppt para clientes
 
Paty-Aguilera-book2015
Paty-Aguilera-book2015Paty-Aguilera-book2015
Paty-Aguilera-book2015
 
Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades...
Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades...Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades...
Lecciones aprendidas de la evaluación del Primer Plan Francés en Enfermedades...
 
Windows XP Mode
Windows XP ModeWindows XP Mode
Windows XP Mode
 
Ov 250 ppt enero 2009
Ov 250 ppt enero 2009Ov 250 ppt enero 2009
Ov 250 ppt enero 2009
 
Apresentação youth mode
Apresentação youth modeApresentação youth mode
Apresentação youth mode
 
Desktop Tower Defense Como Jogar
Desktop Tower Defense   Como JogarDesktop Tower Defense   Como Jogar
Desktop Tower Defense Como Jogar
 
Manual do Usuario Tyt th f8 VHF
Manual do Usuario Tyt  th f8 VHFManual do Usuario Tyt  th f8 VHF
Manual do Usuario Tyt th f8 VHF
 
Qualidade na Educação Superior a Distância
Qualidade na Educação Superior a DistânciaQualidade na Educação Superior a Distância
Qualidade na Educação Superior a Distância
 
Presentation selphie
Presentation selphiePresentation selphie
Presentation selphie
 
Youth Mode - Marketing Digital
Youth Mode - Marketing DigitalYouth Mode - Marketing Digital
Youth Mode - Marketing Digital
 

Semelhante a ISO15408, Common Criteria 2.x - Overview

11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
Christian Becker
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Welington Monteiro
 
The History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverViewThe History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverView
Jairo Willian Pereira
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
Christian Becker
 
Nbr 14153
Nbr 14153Nbr 14153
Nbr 14153
isaquesantos
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Silvino Neto
 
Dss 3
Dss 3Dss 3
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Symantec Brasil
 
Estudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool QualificationEstudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool Qualification
Airton Lastori
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
TI Safe
 
Weg a-seguranca-operacional-em-maquinas-e-equipamentos-artigo-tecnico-portugu...
Weg a-seguranca-operacional-em-maquinas-e-equipamentos-artigo-tecnico-portugu...Weg a-seguranca-operacional-em-maquinas-e-equipamentos-artigo-tecnico-portugu...
Weg a-seguranca-operacional-em-maquinas-e-equipamentos-artigo-tecnico-portugu...
Yohanan Martins
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
TI Safe
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo Fernandes
TI Safe
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
Conviso Application Security
 
Aula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareAula 6 - Qualidade de Software
Aula 6 - Qualidade de Software
Leinylson Fontinele
 
ITA CE-230 Lista de Exercício 3 - Apresentação
ITA CE-230 Lista de Exercício 3 - ApresentaçãoITA CE-230 Lista de Exercício 3 - Apresentação
ITA CE-230 Lista de Exercício 3 - Apresentação
Jefferson Andrade
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
TI Safe
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
TI Safe
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
TI Safe
 
Aula18_V&VTesteSoftware.pdf
Aula18_V&VTesteSoftware.pdfAula18_V&VTesteSoftware.pdf
Aula18_V&VTesteSoftware.pdf
MichaelArrais1
 

Semelhante a ISO15408, Common Criteria 2.x - Overview (20)

11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
The History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverViewThe History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverView
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
 
Nbr 14153
Nbr 14153Nbr 14153
Nbr 14153
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Dss 3
Dss 3Dss 3
Dss 3
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
 
Estudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool QualificationEstudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool Qualification
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Weg a-seguranca-operacional-em-maquinas-e-equipamentos-artigo-tecnico-portugu...
Weg a-seguranca-operacional-em-maquinas-e-equipamentos-artigo-tecnico-portugu...Weg a-seguranca-operacional-em-maquinas-e-equipamentos-artigo-tecnico-portugu...
Weg a-seguranca-operacional-em-maquinas-e-equipamentos-artigo-tecnico-portugu...
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo Fernandes
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
 
Aula 6 - Qualidade de Software
Aula 6 - Qualidade de SoftwareAula 6 - Qualidade de Software
Aula 6 - Qualidade de Software
 
ITA CE-230 Lista de Exercício 3 - Apresentação
ITA CE-230 Lista de Exercício 3 - ApresentaçãoITA CE-230 Lista de Exercício 3 - Apresentação
ITA CE-230 Lista de Exercício 3 - Apresentação
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
 
Aula18_V&VTesteSoftware.pdf
Aula18_V&VTesteSoftware.pdfAula18_V&VTesteSoftware.pdf
Aula18_V&VTesteSoftware.pdf
 

Mais de Jairo Willian Pereira

Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
Jairo Willian Pereira
 
Hardening Unix
Hardening UnixHardening Unix
Hardening Unix
Jairo Willian Pereira
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
Jairo Willian Pereira
 
CObIT Module - OverView
CObIT Module - OverViewCObIT Module - OverView
CObIT Module - OverView
Jairo Willian Pereira
 
SOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - OverviewSOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - Overview
Jairo Willian Pereira
 
Brazilian Legislation - OverView
Brazilian Legislation - OverViewBrazilian Legislation - OverView
Brazilian Legislation - OverView
Jairo Willian Pereira
 
ITIL Module - OverView
ITIL Module - OverViewITIL Module - OverView
ITIL Module - OverView
Jairo Willian Pereira
 

Mais de Jairo Willian Pereira (7)

Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Hardening Unix
Hardening UnixHardening Unix
Hardening Unix
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
 
CObIT Module - OverView
CObIT Module - OverViewCObIT Module - OverView
CObIT Module - OverView
 
SOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - OverviewSOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - Overview
 
Brazilian Legislation - OverView
Brazilian Legislation - OverViewBrazilian Legislation - OverView
Brazilian Legislation - OverView
 
ITIL Module - OverView
ITIL Module - OverViewITIL Module - OverView
ITIL Module - OverView
 

ISO15408, Common Criteria 2.x - Overview

  • 1. Pós-Graduação 2009 ISO 15408 (CC) Jairo Willian Pereira Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  • 2. Índice ISO-15408 1. Timeline 2. Introdução 3. Níveis de Segurança 4. Preocupações 5. Passos para implementação 6. Especificação de Segurança 7. Ambiente de desenvolvimento 8. Trilha de Auditoria – Exemplo 9. Não implementação 10. Conclusão 11. Homework 12. Links 13. Dúvidas 36 CON – A3
  • 3. Introdução Linha do tempo... DoD, Ware (RS)  1967  Security Control for Computer System CIA , Weissmann (OST)  67-68  ADEPT-50 USAF, Anderson (TR)  1972  Computer Security Technology Planning Study J.P.A., La Padula, Bell (SB)  72-73  Doctrine ESD/USAF, R. Schell, (T&E)  1973  Security Kernel DoD “Computer Sec Initiative”  1977  Security Classical Problems DoD, Roger Schell via CSI  1978  Orange Book (TCSEC) DoD & NCSC  83-95  The Rainbow Series Fusão/Draft, CC 2.1 (SO 15408)  96,99  TCSEC, CTCPEC e ITSEC Updates...  96-08  ISO 15408:2008 37 CON – A3
  • 4. Introdução  ISO 15408 (Commom Criteria) • Part 1: Introduction and general model Discute definições e metodologia • Part 2: Security functional components Lista requisitos de segurança • Part 3: Security assurance components Lista metodologias de avaliação 38 CON – A3
  • 5. Introdução  ISO 15408 (Commom Criteria) • Especificar critérios de segurança para aplicações (D/T)  Fornece conjunto de critérios fixos;  Definir segurança da aplicação para o usuário-final; • Comitê Internacional do Commom Criteria  Criado para evitar diversos padrões divergentes; • Estabelece escopo para Security Target (ST)  Quais controles de segurança o TOE (produto) deve satisfazer; • Estabeleve Protection Profile (PP)  Uma versão do ST mais específica, aplicado para validar condições de segurança em “perfis de dispositivos” 39 CON – A3
  • 6. Níves de garantia  ISO 15408 (Commom Criteria) • Define 7 níveis de classificação de Segurança: - Evaluation Assurance Level – EAL 1 Evaluation Assurance Level – EAL 2 Evaluation Assurance Level – EAL 3 Evaluation Assurance Level – EAL 4 } Reconhecidos pela ISO e aplicáveis ao TOE. + Evaluation Assurance Level – EAL 5 Evaluation Assurance Level – EAL 6 Evaluation Assurance Level – EAL 7 } Extremamente rígidos! Na prática, inviáveis. 40 CON – A3
  • 7. Níves de garantia  ISO 15408 (Commom Criteria) • Define 7 níveis de classificação de Segurança: - EAL 1 – Funcionalmente testado EAL 2 – Estruturalmente testado EAL 3 – Metodicamente testado e verificado EAL 4 – Metodicamente projetado, testado e verificado EAL 5 – Semi-formalmente projetado e testado EAL 6 – Semi-formalmente projetado, testado e verificado + EAL 7 – Formalmente projetado, testado e verificado 41 CON – A3
  • 8. Níves de garantia  ISO 15408 (Commom Criteria) • “Avaliações Técnicas” podem incluir: 1. analysis and checking of processes and procedures (applied?); 2. analysis of the correspondence between TOE design/requiments; 3. verification of proofs; 4. analysis of guidance documents; 5. analysis of functional tests developed and the results provided; 6. independent functional testing; 7. analysis for vulnerabilities (including flaw/error hypothesis); 8. penetration testing. 42 CON – A3
  • 9. Níves de garantia  ISO 15408 (Commom Criteria) EAL-1 43 CON – A3
  • 10. Níves de garantia  ISO 15408 (Commom Criteria) EAL-1 44 CON – A3
  • 11. Níves de garantia  ISO 15408 (Commom Criteria) 45 CON – A3
  • 12. Níves de garantia 46 CON – A3
  • 13. Preocupações  ISO 15408 (Commom Criteria) :: 3 preocupações básicas em desenvolvimento 1. Segurança do ambiente de desenvolvimento Segurança código-fonte, controle, disponibilidade... 2. Segurança da aplicação desenvolvida Código sem falhas, sem backdoors, documentado... 3. Garantia “conjunta” da aplicação desenvolvida De acordo com especificado, testada, analisada... 47 CON – A3
  • 14. Passos - Implementação  ISO 15408 (Commom Criteria) :: Avaliar TOE “novos” e “existentes”. Passos: 1. Especifique a Segurança da aplicação – Fase de Análise - Gere documento de especificação da segurança; - Utilize a 15408 como base e seus requisitos descritos; - Utilize a mesma estrutura de análise do/para ambiente. 2. Mantenha ambientes de desenvolvimento/teste seguros - Capaz de atender a 15408 - Utilize EAL-3. Considerado um bom começo! 48 CON – A3
  • 15. Passos - Implementação  ISO 15408 (Commom Criteria) :: Avaliar TOE “novos” e “existentes”. Passos: 3. Defina metas para “boas práticas de programação” - Obedeça requisitos; - Produza documentação decente; - Utilize “crítica de dados”. 4. Submeta seu sistema a testes internos; - Escolha um dos níveis de garantia; - Gere evidências – valide sua aderência a especificação. 49 CON – A3
  • 16. Passos - Implementação  ISO 15408 (Commom Criteria) :: Se for “aplicações/sistemas” existentes... 1. Defina a especificação de Segurança para a aplicação - Use a 15408 como base de análise  defina objetivo! 2. Defina quais os “requisitos de segurança” presentes - Na aplicação e no ambiente de desenvolvimento - Valide se os implementados atendem os requisitados 3. Defina um nível de Segurança (EAL-1  EAL-3) - Considere limitações dos testes em aplicações prontas 50 CON – A3
  • 17. Especificação de Segurança  ISO 15408 (Commom Criteria) :: Descubra porque o TOE “demanda” segurança 1. Aspectos Legais e/ou ameaças conhecidas do “negócio” - Podem demandar controles adicionais 2. Após mapeamento dos requisitos legais e ameaças - Consolide objetivos de Segurança - Persiga esses “requisitos base” a serem atendidos - Defina a estratégia para atingir os objetivos! 51 CON – A3
  • 18. Especificação de Segurança  ISO 15408 (Commom Criteria) :: Mecanismos CC – Atendimento dos objetivos  Dividido em “12 Famílias de Atributos”;  Proteção de Dados dos Usuários;  Criptografia;  Gerenciamento de Segurança  Exigências são baseadas no nível a ser avaliado;  EAL 52 CON – A3
  • 19. Ambiente Desenvolvimento – EAL3  ISO 15408 (Commom Criteria) • ACM_CAP3 Controle de versão autorizado; • ACM_SCP.1 Abrangência da Gerência de Configuração; • ADO_DEL.1 Procedimento de Entrega; • AGD_USR.1 Documentação do usuário do sistema; • ALC_DVS.1 Identificação de Medidas de Segurança; • ATE_FUN.1 Teste Funcional; • ATE_IND.2 Teste Independente por Amostragem; • ATE_COV.2 Análise da Abrangência dos Testes; • AVA_MSU.1 Análise do uso inapropriado; • AVA_VLA.1 Análise de Vulnerabilidade; • AVA_SOF.1 Avaliação de ataques por força bruta ... 53 CON – A3
  • 20. Prevendo “trilhas auditoria”, FAU  ISO 15408 (Commom Criteria) $timestampToken = date("Y/m/d H:i:s"); query = “select id from LocalUserTable where loginName = ‘$loginName’ and passCode = ‘$passCode’”; $stmt = oci_parse( $conn, $query ); oci_exec( $stmt ); if (oci_fetchinto( $stmt, $result, OCI_ASSOC ) == FALSE) { syslog(LOG_WARNING, “$timestampToken Acesso negado: $loginName $_SERVER[‘REMOTE_ADDR’] ($_SERVER [‘HTTP_USER_AGENT´])"); // Registrar autenticacao falha, reportar erro e retornar tela login ... } else { syslog(LOG_NOTICE, “$timestampToken Acesso OK: $loginName $_SERVER[´REMOTE_ADDR´] ($_SERVER [‘HTTP_USER_AGENT’])"); setcookie("TestCookie", time()+3600); // Registrar autenticacao OK + identidade em cookie e direcionar acesso ... } 54 CON – A3
  • 21. Quando não implementado!  ISO 15408 (Commom Criteria) • Priorização dos “Requisitos Funcionais”; • Falta cultura/preparo da equipe desenvolvimento; • Projeto e tempo precários; • Falta de informação sobre existência; • Limitações financeiras; • Terceirizam segurança para outras camadas; ... 55 CON – A3
  • 22. Conclusão  ISO 15408 (Commom Criteria) • Segurança de infra-estrutura torna-se inviável com aplicações inseguras; • 15408 é referência internacional para desenvolvimento, avaliação e segurança em "sistemas e produtos"; • Provê definições (P1), requisitos (P2) e metodologias de avaliação (P3)  Produto dentro do “esperado” • Foco sistemas/aplicações ou produtos, não corporativo! 56 CON – A3
  • 23. Cartoon OOXML… 57 CON – A3
  • 24. Homework  ISO 15408  X  2700x. ? 58 CON – A3
  • 26. Dúvidas ? 60 CON – A3
  • 27. Fim 61 CON – A1