A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

UNIÃO EDUCACIONAL DE MINAS GERAIS Segurança em Aplicações

PublicouIsabel Melchior Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "UNIÃO EDUCACIONAL DE MINAS GERAIS Segurança em Aplicações"— Transcrição da apresentação:

1 UNIÃO EDUCACIONAL DE MINAS GERAIS Segurança em Aplicações
Especialização em Segurança da Informação Segurança em Aplicações Ada Andersen, Cleitom Ribeiro Amaral, Hebert Douglas Pereira, Leonardo B. F. Vinhandel, Michele Prado

2 Norma ISO/IEC 15408 ISO/IEC 15408 Common Criteria Como surgiu

3 Norma ISO/IEC 15408 Três níveis: Definições e metodologia
Requisitos de segurança Metodologias de avaliação

4 Norma ISO/IEC 15408 Definição Target of Evaluation (TOE)
Protect Profile (PP): Análise do Perfil do Produto

5 Security Functional Requirements (SFR)
Especificações dos Requisitos funcionais de segurança. Dividida em Classes: Classe FAU: Auditorias Classe FCS: Suporte a Criptografia Classe FCO: Comunicação Classe FDP: Proteção de dados do usuários Classe FIA: Identificação e Autenticação

6 Security Functional Requirements SFR Cont.
Classe FMT: Gerenciamento de Segurança Classe FPR: Privacidade Classe FPT: Funções de segurança e proteção do TOE Classe FRU: Recursos de utilização Classe FTA: Acesso do TOE Classe de FTP: Caminhos ou Canais confiáveis

7 Tabela de dependências da Classe FAU - Auditoria de Segurança

8 Tabela de dependências da Classe FCS – Suporte Criptografia

9 Tabela de dependências da Classe FMT – Gerenciamento de segurança

10 Security Target (ST) É uma propriedade de segurança de cada elemento do TOE, avaliado contra os SFR (Security Functional Requirements). Security Objectives: Baseado na política de segurança, identifica as ameaças que o sistema possa suportar Descriçoes do TOE: Descreve o contexto para a avaliação e também ajuda no entendimento dos requisitos de segurança Requerimentos de Segurança em TI: Indentifica os requisitos de segurança do TOE

11 Security Target (ST) Cont.
Resumo das especificações do TOE: Prevê um alto nível de definição das funções de segurança e requerimentos funcionais de segurança Ambiente de Segurança no TOE: Verifica as ameaças que o sistema possa sofrer no ambiente de trabalho Exigências do PP: Verifica quais são as exigências de um ou mais PPs

12

13 Security Assurance Requirements (SAR)
Identifica quais os requisitos a serem adotados no desenvolvimento do sistema ou produto em TI e na avaliação para garantir que o mesmo será seguro incluindo os níveis de segurança EAL. Dividida em várias classes Classe ACM: Configuração de Gerenciamento Classe ADO:distribuição e operação Classe ADV: Desenvolvimento

14 Security Assurance Requirements (SAR) Cont.
Classe ALC: Ciclo de vida suportado Classe APE: Avaliação de Protection Profile Classe ASE: Avaliação das Security Target Classe ATE: Testes Classe AVA: Taxação das Vulnerabilidades

15 Classes de Familias das SARs

16 Classe da Família ASE: Avaliação dos STs

17 Requisitos Necessários

18 Relação das famílias com os níveis de segurança

19 Exemplo de requisitos de segurança para um software específico
Identificação Descrição ACM_CAP.2 Documento de gestão de configuração do sistema ADO_DEL.1 Documento de operação e distribuição do sistema ADO_ICS.1 Guia de instalação ADO_IGS.1 Procedimentos de instalação, geração e iniciação ADV_FSP.1 Especificação Funcional Informal ADV_HLD.1 Descritivo de alto-nível do projeto de desenvolvimento ADV_RCR.1 Demonstração de correspondência (projeto e produto) informal AGD_ADM.1 Guia do administrador AGD_USR.1 Guia do usuário ATE_COV.1 Evidências de testes de cobertura ATE_FUN.1 Evidência de execução de testes funcionais ATE_IND.2 Exemplos de testes independentes (não o desenvolvedor) AVA_SOF.1 Avaliação da força das funções de segurança do software AVA_VLA.1 Análise de vulnerabilidade do desenvolvedor

20 Evaluation Assurance Level (EAL) Avaliação do nível de garantia
É uma avaliação numérica atribuída ao produto. A maioria destas avaliações envolvem a documentação do projeto, a análise do projeto, testar funcionalmente, ou testar a penetração. Cada nível corresponde a um pacote de exigências que cubra o desenvolvimento completo de um produto. São sete níveis, o Nível 1 que é o mais básico (e conseqüentemente mais barato de executar e avaliar) e o Nível 7 que é o mais exigente (e mais caro). Níveis mais elevados de garantia de segurança não implicam necessariamente na melhor segurança, eles significam que a garantia reivindicada de segurança esteve validada .

21 Níveis de Garantia EAL1: Testado funcionalmente As funcionalidades de segurança são testadas no produto pronto e sem acesso maior ao desenvolvedor ou ao código fonte. EAL2: Testado funcionalmente e estruturalmente Requerem um baixo nível de segurança. Busca no desenvolvimento do produto vulnerabilidades óbvias. EAL3: Testado e verificado metodicamente O desenvolvedor deve mostrar mais sobre o processo de desenvolvimento, gerenciamento de configuração, e alguns dos resultados de testes do desenvolvedor devem ser verificados independentemente.

22 Níveis de Garantia EAL4: Projetado, testado e revisto metodicamente
Detalhes da estrutura do programa estarão todos disponíveis, testes são verificados independentemente, desenvolvedor deve mostrar o uso de boas praticas de segurança no desenvolvimento do sistema. EAL4 é o mais elevado nível em que é provável ser economicamente praticável adaptar a uma linha de produto existente. EAL4 é aplicável naquelas circunstâncias onde os colaboradores ou os usuários requerem um nível médio a elevado de segurança. O teste é feito em busca de vulnerabilidades óbvias. Produtos que tem esse Certificado: Novell NetWare; SuSE Linux Enterprise Server 9; Windows 2000 Service Pack 3; Red Hat Enterprise Linux 5.

23 Níveis de Garantia EAL5: Projetado e testado semi-formal Baseada nas rigorosas práticas comerciais do desenvolvimento Tal produto provavelmente será projetado e desenvolvido com a intenção de conseguir a garantia EAL5. Aplicável onde requer uma elevação em nível da segurança. Produtos que tem esse Certificado: Dispositivos smartcards; Tenix Interactive Link; XTS-400 (STOP 6); IBM z/OS operating system; LPAR on System ZSeries .

24 Níveis de Garantia EAL6: Projetado e testado de forma verificada e semi-formal Permite aos desenvolvedores ganhar a garantia elevada da aplicação com técnicas da engenharia de segurança a um ambiente rigoroso do desenvolvimento. Proteger recursos elevados do valor de encontro aos riscos significativos. É aplicável onde o valor dos recursos protegidos justifica os custos de proteção. A busca por vulnerabilidades deve assegurar a resistência elevada ao ataque de penetração.

25 NÃO significam 100% segurança ! ! !
Níveis de Garantia EAL7: Projeto formalmente verificado e testado ( mais CARO) Situações de risco elevado ou Ou onde o valor elevado dos recursos justifica os custos mais elevados. Produtos que tem esse Certificado: The Tenix Interactive Link Data Diode Device has been evaluated at EAL7 Níveis mais elevados de garantia de segurança NÃO significam 100% segurança ! ! !

26 Costs

27 Conclusão Surgiu para unificar os padrões de segurança europeu e norte americano Garante a segurança do software satisfazendo os princípios da segurança da informação, Utilizado tanto em desenvolvimento com em análise de aplicações prontas, Tornou-se importante devido à crescente necessidade das empresas em investir na segurança de suas informações.

Carregar ppt "UNIÃO EDUCACIONAL DE MINAS GERAIS Segurança em Aplicações"

Apresentações semelhantes

Análise e Projeto de Sistemas III

Análise e Projeto de Sistemas III
1.Introdução Com o aumento no número de dispositivos com software embarcado em diversas áreas, há uma necessidade de um controle externo que certifique.

1.Introdução Com o aumento no número de dispositivos com software embarcado em diversas áreas, há uma necessidade de um controle externo que certifique.
Qualidade de Produto de Software

Qualidade de Produto de Software
Rational Unified Process

Rational Unified Process
Administração e segurança de redes

Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software

ISO Processos do Ciclo de Vida do Software
UML Visões – Parte 2.

UML Visões – Parte 2.
Teste de Software.

Teste de Software.
Identificando requisitos

Identificando requisitos
Faculdade de Ciências Sociais de Aplicadas de Petrolina – FACAPE

Faculdade de Ciências Sociais de Aplicadas de Petrolina – FACAPE
Segurança em Redes Elmar Melcher

Segurança em Redes Elmar Melcher
Código de Prática para a Gestão de Segurança de Informação.

Código de Prática para a Gestão de Segurança de Informação.
Análise e Projeto de Sistemas

Análise e Projeto de Sistemas
COMMON CRITeRIA – ISO/IEC 15408

COMMON CRITeRIA – ISO/IEC 15408
TIPOS DE TESTES APLICÁVEIS E NÃO APLICÁVEIS AO PROJETO

TIPOS DE TESTES APLICÁVEIS E NÃO APLICÁVEIS AO PROJETO
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Segurança em Aplicações 1. Introdução

Segurança em Aplicações 1. Introdução
Metodologia Versão 2 FSRS.

Metodologia Versão 2 FSRS.
Gerenciamento de Requisitos com Casos de Uso

Gerenciamento de Requisitos com Casos de Uso
Modelagem para Web Aula de 11/04/2011.

Modelagem para Web Aula de 11/04/2011.

Apresentações semelhantes

Anúncios Google