A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança.

Apresentações semelhantes


Apresentação em tema: "Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança."— Transcrição da apresentação:

1 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança da Informação Segurança em Aplicações Ada Andersen, Cleitom Ribeiro Amaral, Hebert Douglas Pereira, Leonardo B. F. Vinhandel, Michele Prado

2 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria ISO/IEC Common Criteria Como surgiu Norma ISO/IEC 15408

3 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Três níveis: Definições e metodologia Requisitos de segurança Metodologias de avaliação Norma ISO/IEC 15408

4 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Definição Target of Evaluation (TOE) Protect Profile (PP): Análise do Perfil do Produto Norma ISO/IEC 15408

5 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Security Functional Requirements (SFR) Especificações dos Requisitos funcionais de segurança. Dividida em Classes: Classe FAU: Auditorias Classe FCS: Suporte a Criptografia Classe FCO: Comunicação Classe FDP: Proteção de dados do usuários Classe FIA: Identificação e Autenticação

6 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Security Functional Requirements SFR Cont. Classe FMT: Gerenciamento de Segurança Classe FPR: Privacidade Classe FPT: Funções de segurança e proteção do TOE Classe FRU: Recursos de utilização Classe FTA: Acesso do TOE Classe de FTP: Caminhos ou Canais confiáveis

7 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Tabela de dependências da Classe FAU - Auditoria de Segurança

8 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Tabela de dependências da Classe FCS – Suporte Criptografia

9 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Tabela de dependências da Classe FMT – Gerenciamento de segurança

10 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria É uma propriedade de segurança de cada elemento do TOE, avaliado contra os SFR (Security Functional Requirements). Security Objectives : Baseado na política de segurança, identifica as ameaças que o sistema possa suportar Descriçoes do TOE : Descreve o contexto para a avaliação e também ajuda no entendimento dos requisitos de segurança Requerimentos de Segurança em TI : Indentifica os requisitos de segurança do TOE Security Target (ST)

11 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Resumo das especificações do TOE : Prevê um alto nível de definição das funções de segurança e requerimentos funcionais de segurança Ambiente de Segurança no TOE : Verifica as ameaças que o sistema possa sofrer no ambiente de trabalho Exigências do PP : Verifica quais são as exigências de um ou mais PPs Security Target (ST) Cont.

12 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria

13 Security Assurance Requirements (SAR) Identifica quais os requisitos a serem adotados no desenvolvimento do sistema ou produto em TI e na avaliação para garantir que o mesmo será seguro incluindo os níveis de segurança EAL. Dividida em várias classes Classe ACM: Configuração de Gerenciamento Classe ADO:distribuição e operação Classe ADV: Desenvolvimento

14 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Security Assurance Requirements (SAR) Cont. Classe ALC: Ciclo de vida suportado Classe APE: Avaliação de Protection Profile Classe ASE: Avaliação das Security Target Classe ATE: Testes Classe AVA: Taxação das Vulnerabilidades

15 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Classes de Familias das SARs

16 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Classe da Família ASE: Avaliação dos STs

17 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Requisitos Necessários

18 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Relação das famílias com os níveis de segurança

19 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Exemplo de requisitos de segurança para um software específico IdentificaçãoDescrição ACM_CAP.2Documento de gestão de configuração do sistema ADO_DEL.1Documento de operação e distribuição do sistema ADO_ICS.1Guia de instalação ADO_IGS.1Procedimentos de instalação, geração e iniciação ADV_FSP.1Especificação Funcional Informal ADV_HLD.1Descritivo de alto-nível do projeto de desenvolvimento ADV_RCR.1Demonstração de correspondência (projeto e produto) informal AGD_ADM.1Guia do administrador AGD_USR.1Guia do usuário ATE_COV.1Evidências de testes de cobertura ATE_FUN.1Evidência de execução de testes funcionais ATE_IND.2Exemplos de testes independentes (não o desenvolvedor) AVA_SOF.1Avaliação da força das funções de segurança do software AVA_VLA.1Análise de vulnerabilidade do desenvolvedor

20 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria É uma avaliação numérica atribuída ao produto. A maioria destas avaliações envolvem a documentação do projeto, a análise do projeto, testar funcionalmente, ou testar a penetração. Cada nível corresponde a um pacote de exigências que cubra o desenvolvimento completo de um produto. São sete níveis, o Nível 1 que é o mais básico (e conseqüentemente mais barato de executar e avaliar) e o Nível 7 que é o mais exigente (e mais caro). Níveis mais elevados de garantia de segurança não implicam necessariamente na melhor segurança, eles significam que a garantia reivindicada de segurança esteve validada. Evaluation Assurance Level (EAL) Avaliação do nível de garantia

21 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria EAL1: Testado funcionalmente As funcionalidades de segurança são testadas no produto pronto e sem acesso maior ao desenvolvedor ou ao código fonte. EAL2: Testado funcionalmente e estruturalmente Requerem um baixo nível de segurança. Busca no desenvolvimento do produto vulnerabilidades óbvias. EAL3: Testado e verificado metodicamente O desenvolvedor deve mostrar mais sobre o processo de desenvolvimento, gerenciamento de configuração, e alguns dos resultados de testes do desenvolvedor devem ser verificados independentemente. Níveis de Garantia

22 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria EAL4: Projetado, testado e revisto metodicamente Detalhes da estrutura do programa estarão todos disponíveis, testes são verificados independentemente, desenvolvedor deve mostrar o uso de boas praticas de segurança no desenvolvimento do sistema. EAL4 é o mais elevado nível em que é provável ser economicamente praticável adaptar a uma linha de produto existente. EAL4 é aplicável naquelas circunstâncias onde os colaboradores ou os usuários requerem um nível médio a elevado de segurança. O teste é feito em busca de vulnerabilidades óbvias. Produtos que tem esse Certificado: Novell NetWare; SuSE Linux Enterprise Server 9; Windows 2000 Service Pack 3; Red Hat Enterprise Linux 5. Níveis de Garantia

23 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria EAL5: Projetado e testado semi-formal Baseada nas rigorosas práticas comerciais do desenvolvimento Tal produto provavelmente será projetado e desenvolvido com a intenção de conseguir a garantia EAL5. Aplicável onde requer uma elevação em nível da segurança. Níveis de Garantia Dispositivos smartcards; Tenix Interactive Link;Interactive Link XTS-400 (STOP 6); XTS-400 IBM z/OS operating system;z/OS LPAR on System ZSeries.ZSeries Produtos que tem esse Certificado:

24 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria EAL6: Projetado e testado de forma verificada e semi-formal Permite aos desenvolvedores ganhar a garantia elevada da aplicação com técnicas da engenharia de segurança a um ambiente rigoroso do desenvolvimento. Proteger recursos elevados do valor de encontro aos riscos significativos. É aplicável onde o valor dos recursos protegidos justifica os custos de proteção. Níveis de Garantia A busca por vulnerabilidades deve assegurar a resistência elevada ao ataque de penetração.

25 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria EAL7: Projeto formalmente verificado e testado ( mais CARO) Situações de risco elevado ou Ou onde o valor elevado dos recursos justifica os custos mais elevados. Níveis de Garantia Níveis mais elevados de garantia de segurança NÃO significam 100% segurança ! ! ! The Tenix Interactive Link Data Diode Device has been evaluated at EAL7Interactive Link Produtos que tem esse Certificado:

26 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Costs

27 Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria Surgiu para unificar os padrões de segurança europeu e norte americano Garante a segurança do software satisfazendo os princípios da segurança da informação, Utilizado tanto em desenvolvimento com em análise de aplicações prontas, Tornou-se importante devido à crescente necessidade das empresas em investir na segurança de suas informações. Conclusão


Carregar ppt "Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria UNIÃO EDUCACIONAL DE MINAS GERAIS Especialização em Segurança."

Apresentações semelhantes


Anúncios Google