SlideShare uma empresa Scribd logo
Pós-Graduação 2009
 Histórico sobre Normas Segurança



                                Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
                                  jairo.pereira@gmail.com
Cronograma

Semana                                     Teoria                                       Prática
         Conceituação Básica SI
  1                                                                                      E01
         Conceitos de Gestão de Risco

         Histórico do Surgimento das Normas de Segurança                                 E02
  2
         Sarbanes Oxley
         ISO/EIC 15408 (CC)
  3                                                                                      E03
         ITIL

         Família 2700x (BS-7799)                                                         E04
  4
         COBIT
         Planejamento Corporativo de Segurança da Informação
  5                                                                                      P01
         Primeira Avaliação - Dissertativa

         Resolução Prova
         Apresentação Trabalhos:
              BS 25999 – Gestão de Contiuidade de Negócios                               T01
  6
              RFC 2196 – Gestão de Resposta à Incidentes de Seguranca
                                                                                         T02
              Legislação Brasileira
              COSO - Committee of Sponsoring Organizations of the Treadway Commission


                                               2                                               CON – A2
Índice Histórico



1. Conceitos
2. Timeline
3. Conclusão
4. HomeWork




               3              CON – A2
Conceitos


         Primeira iniciativa - Conjunto de Regras

•   DoD EUA, Oct, 1967
     Willis H. Ware +
    Computer Security Task-Force


    Security Control for
    Computer System:
    Report of Defense
    Sciense Board Task Force
    on Computer Security


           [!]

                                   4                CON – A2
Conceitos


               Paralelamente  ADEPT-50 OS

•   CIA, 1967-1968
     Weissmann


    Sistema Operacional:
    Políticas similares ao DoD
    para ambiente S/360 IBM

    - Baseado modelo MAC




                                 5           CON – A2
Conceitos


Mecanismos Segurança  Relatório Técnico

•   James P. Anderson, Oct, 1972
     ESD, US Air Force


    Computer Security
    Technology Planning Study:
    Problemas envolvidos em
    mecanismos para salvaguardar
    a segurança de computadores


           [!]

                                   6        CON – A2
Conceitos


  Fusões docs + materias  Doctrine


 Computer Security
 Technology Planning Study                           }   James P. Anderson




            +
 Secure Computer Systems: Mathematical Foundations
 Mathematical Model
 Refinament of Mathematical Model
                                          [!]
                                                      }   D.E. Bell
                                                          L. J. La Padula




            =
        Doctrine
                               7                                  CON – A2
Conceitos


     Técnicas & experimentos  Security Kernels

•   Major Roger R. Schell, 1973
     ESD, USAF


     Security Kernels:
     Principais componentes para
     desenvolvimento seguro de
     Sistemas Operacionais.




           [!]

                                   8         CON – A2
Conceitos


    Plano para Problemas Clássicos de Segurança

•   DoD, 1977



    Security Classical Problems 

    DoD “Computer Security Initiative”
    Centro do DoD torna-se referência
    para validação de “quão” seguras
    eram soluções disponibilizadas


                [!]             Padrões?

                                         9        CON – A2
Conceitos


                  Padrões = The Orange Book!

•   DoD, 1978 - ?
    Major Roger Schell via Centro CSI

     TCSEC - Trusted Computer Systems
     Evaluation Criteria:
     Classificação de sistemas em
     “níveis pré-definidos de segurança”


     DoD 5200.28-STD
                                    TNI 1987

            [!]

                                        10          CON – A2
Conceitos


Diversos padrões DoD = Rainbow Series/Books




                    11                  CON – A2
Conceitos


     Fusão de padrões  Commom Criteria


 TCSEC (Orange Book)
 The Rainbow Series/Books                           }   DoD - USA



             +
 CTCPEC –
 ITSEC  –
              Baseado US DoD
              France, Germany, UK...
                                       (May, 1993)
                                       ( ≈ 1990 )    }   Canadian Stardard

                                                         European Stardard


             =
  Commom Criteria (CC)                    ≈ 1996


                              12                                  CON – A2
Conceitos


              ...CC x.y  CC 2.1  ISO 15408

CC 1.0                  Jan,1996
CC 2.0                  May,1998
CC 2.1                  Mar,1999
ISO 15408                   1999
ISO 15408:2005              2005
[ Updates ]       ...Sep,2006/07
                                                  [!]

• Medir grau de confiabilidade em SO´s;
• Guia para desenvolvimento para aplicações sensíveis/seguras;
• Base para "especificação" de requisitos (segurança em produtos).

                                13                           CON – A2
Conclusão


                       Linha do tempo...

DoD, Ware (RS)                     1967      Security Control for Computer System
CIA , Weissmann (OST)             67-68      ADEPT-50
USAF, Anderson (TR)                1972      Computer Sec. Tech.Planning Study
J.P.A., La Padula, Bell (SB)      72-73      Doctrine
ESD/USAF, R. Schell, (T&E)         1973      Security Kernel
DoD “Computer Sec Initiative       1977      Security Classical Problems
DoD, Roger Schell via CSI          1978      Orange Book (TCSEC)
DoD & NCSC                        83-95      The Rainbow Series
Fusão, CC 2.1 – ISO 15408         96-99      TCSEC, CTCPEC e ITSEC
Updates...                        99-0x      ISO 15408...
                                                                             ... ?


                                   14                                    CON – A2
Cartoon




Source:   Operating System Structures to Support Security and Reliable Software – NIST, 1976


                                          15                                           CON – A2
Homework


Pesquisar destino ISO/IEC 15408




           ?
              16                  CON – A2
Fim




17   CON – A1

Mais conteúdo relacionado

Semelhante a The History of Security Standards and Norms - OverView

CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
TI Safe
 
Alinhando abnt 17799_e_27001
Alinhando abnt 17799_e_27001Alinhando abnt 17799_e_27001
Alinhando abnt 17799_e_27001
andrealeixes
 
Seguranca Software Livre
Seguranca Software LivreSeguranca Software Livre
Seguranca Software Livre
Helio Marques
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
TI Safe
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
Jairo Willian Pereira
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
TI Safe
 
Dss 3
Dss 3Dss 3
Conceitos e dicas para profissionais de datacenter
Conceitos e dicas para profissionais de datacenterConceitos e dicas para profissionais de datacenter
Conceitos e dicas para profissionais de datacenter
Fabio Leandro
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
Sidney Modenesi, MBCI
 
Siem on cloud times
Siem on cloud timesSiem on cloud times
Siem on cloud times
Eduardo Alves
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
TI Safe
 
Conceitos e dicas para profissionais de datacenter
Conceitos e dicas para profissionais de datacenterConceitos e dicas para profissionais de datacenter
Conceitos e dicas para profissionais de datacenter
Fabio Leandro
 
ITIL Module - OverView
ITIL Module - OverViewITIL Module - OverView
ITIL Module - OverView
Jairo Willian Pereira
 
Projetos de Simulação e de Tecnologia do EB
Projetos de Simulação e de Tecnologia do EBProjetos de Simulação e de Tecnologia do EB
Projetos de Simulação e de Tecnologia do EB
Workshop de Simulação e Tecnologia Militar
 
Curso OCR - 07 - novos modelos e abordagens de C2
Curso OCR - 07 - novos modelos e abordagens de C2Curso OCR - 07 - novos modelos e abordagens de C2
Curso OCR - 07 - novos modelos e abordagens de C2
Marco Manso
 
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETICSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
Anchises Moraes
 
Guerra cibernética - Impacta
Guerra cibernética - ImpactaGuerra cibernética - Impacta
Guerra cibernética - Impacta
Luiz Sales Rabelo
 
Exin cyber and it
Exin cyber and itExin cyber and it
Exin cyber and it
Marcelo Aguiar
 

Semelhante a The History of Security Standards and Norms - OverView (18)

CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
 
Alinhando abnt 17799_e_27001
Alinhando abnt 17799_e_27001Alinhando abnt 17799_e_27001
Alinhando abnt 17799_e_27001
 
Seguranca Software Livre
Seguranca Software LivreSeguranca Software Livre
Seguranca Software Livre
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
 
Dss 3
Dss 3Dss 3
Dss 3
 
Conceitos e dicas para profissionais de datacenter
Conceitos e dicas para profissionais de datacenterConceitos e dicas para profissionais de datacenter
Conceitos e dicas para profissionais de datacenter
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
 
Siem on cloud times
Siem on cloud timesSiem on cloud times
Siem on cloud times
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
 
Conceitos e dicas para profissionais de datacenter
Conceitos e dicas para profissionais de datacenterConceitos e dicas para profissionais de datacenter
Conceitos e dicas para profissionais de datacenter
 
ITIL Module - OverView
ITIL Module - OverViewITIL Module - OverView
ITIL Module - OverView
 
Projetos de Simulação e de Tecnologia do EB
Projetos de Simulação e de Tecnologia do EBProjetos de Simulação e de Tecnologia do EB
Projetos de Simulação e de Tecnologia do EB
 
Curso OCR - 07 - novos modelos e abordagens de C2
Curso OCR - 07 - novos modelos e abordagens de C2Curso OCR - 07 - novos modelos e abordagens de C2
Curso OCR - 07 - novos modelos e abordagens de C2
 
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETICSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
 
Guerra cibernética - Impacta
Guerra cibernética - ImpactaGuerra cibernética - Impacta
Guerra cibernética - Impacta
 
Exin cyber and it
Exin cyber and itExin cyber and it
Exin cyber and it
 

The History of Security Standards and Norms - OverView

  • 1. Pós-Graduação 2009 Histórico sobre Normas Segurança Jairo Willian Pereira Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  • 2. Cronograma Semana Teoria Prática Conceituação Básica SI 1 E01 Conceitos de Gestão de Risco Histórico do Surgimento das Normas de Segurança E02 2 Sarbanes Oxley ISO/EIC 15408 (CC) 3 E03 ITIL Família 2700x (BS-7799) E04 4 COBIT Planejamento Corporativo de Segurança da Informação 5 P01 Primeira Avaliação - Dissertativa Resolução Prova Apresentação Trabalhos: BS 25999 – Gestão de Contiuidade de Negócios T01 6 RFC 2196 – Gestão de Resposta à Incidentes de Seguranca T02 Legislação Brasileira COSO - Committee of Sponsoring Organizations of the Treadway Commission 2 CON – A2
  • 3. Índice Histórico 1. Conceitos 2. Timeline 3. Conclusão 4. HomeWork 3 CON – A2
  • 4. Conceitos Primeira iniciativa - Conjunto de Regras • DoD EUA, Oct, 1967 Willis H. Ware + Computer Security Task-Force Security Control for Computer System: Report of Defense Sciense Board Task Force on Computer Security [!] 4 CON – A2
  • 5. Conceitos Paralelamente  ADEPT-50 OS • CIA, 1967-1968 Weissmann Sistema Operacional: Políticas similares ao DoD para ambiente S/360 IBM - Baseado modelo MAC 5 CON – A2
  • 6. Conceitos Mecanismos Segurança  Relatório Técnico • James P. Anderson, Oct, 1972 ESD, US Air Force Computer Security Technology Planning Study: Problemas envolvidos em mecanismos para salvaguardar a segurança de computadores [!] 6 CON – A2
  • 7. Conceitos Fusões docs + materias  Doctrine  Computer Security  Technology Planning Study } James P. Anderson +  Secure Computer Systems: Mathematical Foundations  Mathematical Model  Refinament of Mathematical Model [!] } D.E. Bell L. J. La Padula = Doctrine 7 CON – A2
  • 8. Conceitos Técnicas & experimentos  Security Kernels • Major Roger R. Schell, 1973 ESD, USAF Security Kernels: Principais componentes para desenvolvimento seguro de Sistemas Operacionais. [!] 8 CON – A2
  • 9. Conceitos Plano para Problemas Clássicos de Segurança • DoD, 1977 Security Classical Problems  DoD “Computer Security Initiative” Centro do DoD torna-se referência para validação de “quão” seguras eram soluções disponibilizadas [!] Padrões? 9 CON – A2
  • 10. Conceitos Padrões = The Orange Book! • DoD, 1978 - ? Major Roger Schell via Centro CSI TCSEC - Trusted Computer Systems Evaluation Criteria: Classificação de sistemas em “níveis pré-definidos de segurança” DoD 5200.28-STD TNI 1987 [!] 10 CON – A2
  • 11. Conceitos Diversos padrões DoD = Rainbow Series/Books 11 CON – A2
  • 12. Conceitos Fusão de padrões  Commom Criteria  TCSEC (Orange Book)  The Rainbow Series/Books } DoD - USA +  CTCPEC –  ITSEC – Baseado US DoD France, Germany, UK... (May, 1993) ( ≈ 1990 ) } Canadian Stardard European Stardard = Commom Criteria (CC) ≈ 1996 12 CON – A2
  • 13. Conceitos ...CC x.y  CC 2.1  ISO 15408 CC 1.0  Jan,1996 CC 2.0  May,1998 CC 2.1  Mar,1999 ISO 15408  1999 ISO 15408:2005  2005 [ Updates ] ...Sep,2006/07 [!] • Medir grau de confiabilidade em SO´s; • Guia para desenvolvimento para aplicações sensíveis/seguras; • Base para "especificação" de requisitos (segurança em produtos). 13 CON – A2
  • 14. Conclusão Linha do tempo... DoD, Ware (RS)  1967  Security Control for Computer System CIA , Weissmann (OST)  67-68  ADEPT-50 USAF, Anderson (TR)  1972  Computer Sec. Tech.Planning Study J.P.A., La Padula, Bell (SB)  72-73  Doctrine ESD/USAF, R. Schell, (T&E)  1973  Security Kernel DoD “Computer Sec Initiative  1977  Security Classical Problems DoD, Roger Schell via CSI  1978  Orange Book (TCSEC) DoD & NCSC  83-95  The Rainbow Series Fusão, CC 2.1 – ISO 15408  96-99  TCSEC, CTCPEC e ITSEC Updates...  99-0x  ISO 15408... ... ? 14 CON – A2
  • 15. Cartoon Source: Operating System Structures to Support Security and Reliable Software – NIST, 1976 15 CON – A2
  • 16. Homework Pesquisar destino ISO/IEC 15408 ? 16 CON – A2
  • 17. Fim 17 CON – A1