O documento resume a linha do tempo histórico do surgimento de normas e padrões de segurança da informação. Começa com as primeiras iniciativas na década de 1960 nos EUA, como as regras do DoD e o sistema operacional ADEPT-50 da CIA. Ao longo das décadas seguintes, vários relatórios e estudos contribuíram para o desenvolvimento da doutrina de segurança cibernética e modelos como a série Rainbow Books do DoD. Finalmente, os padrões convergiram para os Critérios Comuns em meados dos anos
2. Cronograma
Semana Teoria Prática
Conceituação Básica SI
1 E01
Conceitos de Gestão de Risco
Histórico do Surgimento das Normas de Segurança E02
2
Sarbanes Oxley
ISO/EIC 15408 (CC)
3 E03
ITIL
Família 2700x (BS-7799) E04
4
COBIT
Planejamento Corporativo de Segurança da Informação
5 P01
Primeira Avaliação - Dissertativa
Resolução Prova
Apresentação Trabalhos:
BS 25999 – Gestão de Contiuidade de Negócios T01
6
RFC 2196 – Gestão de Resposta à Incidentes de Seguranca
T02
Legislação Brasileira
COSO - Committee of Sponsoring Organizations of the Treadway Commission
2 CON – A2
4. Conceitos
Primeira iniciativa - Conjunto de Regras
• DoD EUA, Oct, 1967
Willis H. Ware +
Computer Security Task-Force
Security Control for
Computer System:
Report of Defense
Sciense Board Task Force
on Computer Security
[!]
4 CON – A2
5. Conceitos
Paralelamente ADEPT-50 OS
• CIA, 1967-1968
Weissmann
Sistema Operacional:
Políticas similares ao DoD
para ambiente S/360 IBM
- Baseado modelo MAC
5 CON – A2
6. Conceitos
Mecanismos Segurança Relatório Técnico
• James P. Anderson, Oct, 1972
ESD, US Air Force
Computer Security
Technology Planning Study:
Problemas envolvidos em
mecanismos para salvaguardar
a segurança de computadores
[!]
6 CON – A2
7. Conceitos
Fusões docs + materias Doctrine
Computer Security
Technology Planning Study } James P. Anderson
+
Secure Computer Systems: Mathematical Foundations
Mathematical Model
Refinament of Mathematical Model
[!]
} D.E. Bell
L. J. La Padula
=
Doctrine
7 CON – A2
8. Conceitos
Técnicas & experimentos Security Kernels
• Major Roger R. Schell, 1973
ESD, USAF
Security Kernels:
Principais componentes para
desenvolvimento seguro de
Sistemas Operacionais.
[!]
8 CON – A2
9. Conceitos
Plano para Problemas Clássicos de Segurança
• DoD, 1977
Security Classical Problems
DoD “Computer Security Initiative”
Centro do DoD torna-se referência
para validação de “quão” seguras
eram soluções disponibilizadas
[!] Padrões?
9 CON – A2
10. Conceitos
Padrões = The Orange Book!
• DoD, 1978 - ?
Major Roger Schell via Centro CSI
TCSEC - Trusted Computer Systems
Evaluation Criteria:
Classificação de sistemas em
“níveis pré-definidos de segurança”
DoD 5200.28-STD
TNI 1987
[!]
10 CON – A2
12. Conceitos
Fusão de padrões Commom Criteria
TCSEC (Orange Book)
The Rainbow Series/Books } DoD - USA
+
CTCPEC –
ITSEC –
Baseado US DoD
France, Germany, UK...
(May, 1993)
( ≈ 1990 ) } Canadian Stardard
European Stardard
=
Commom Criteria (CC) ≈ 1996
12 CON – A2
13. Conceitos
...CC x.y CC 2.1 ISO 15408
CC 1.0 Jan,1996
CC 2.0 May,1998
CC 2.1 Mar,1999
ISO 15408 1999
ISO 15408:2005 2005
[ Updates ] ...Sep,2006/07
[!]
• Medir grau de confiabilidade em SO´s;
• Guia para desenvolvimento para aplicações sensíveis/seguras;
• Base para "especificação" de requisitos (segurança em produtos).
13 CON – A2
14. Conclusão
Linha do tempo...
DoD, Ware (RS) 1967 Security Control for Computer System
CIA , Weissmann (OST) 67-68 ADEPT-50
USAF, Anderson (TR) 1972 Computer Sec. Tech.Planning Study
J.P.A., La Padula, Bell (SB) 72-73 Doctrine
ESD/USAF, R. Schell, (T&E) 1973 Security Kernel
DoD “Computer Sec Initiative 1977 Security Classical Problems
DoD, Roger Schell via CSI 1978 Orange Book (TCSEC)
DoD & NCSC 83-95 The Rainbow Series
Fusão, CC 2.1 – ISO 15408 96-99 TCSEC, CTCPEC e ITSEC
Updates... 99-0x ISO 15408...
... ?
14 CON – A2
15. Cartoon
Source: Operating System Structures to Support Security and Reliable Software – NIST, 1976
15 CON – A2