Importância dos padrões de segurança.

Padrão Americano(rainbow Series)

Orange book quanto o Red Book são padrões estabelecido pra o S.O.

Orange Book - Um computador não ligado a rede,isolado stand alone, é um livro

que está relacionada
aos sitemas operacionais S.O.

Red Book - Sistema computacional a rede

Padrões são importantes no sistema internacional.

União de empresas de nacionalidade diferente.

Aparnet - e uma rede que foi utlizada para

lançamentos de misseis nucleares.

dowinsizing - baixa plataforma

Orange Book conhecido com DoD85 ou TCP IP

Sitemas são classificado em A,B,C e D.

Classe -D

Não apresenta qualquer nivel de segurança

Exemplos se sistemas da classe D, Dos,Windowns 3.1..

São sistema não exitem qualquer segurança são muito vulneraveis.

Classe C - Proteção Descritas

- Baseada em ACL, ou seja, Acsses Control List

- Tem objetivo de descrever o que o usuário pode
ou não fazer no sistema como ler,escrever,alterar....

- Dar permissão a usuário ou grupo

- O Owner(Responsável pelo Banco de dados) decide como conceder e proteger a seus

recursos.

- Classificado em C1 e C2.

Nivel C1
Inclui o uso de senhas,restrição de acesso a arquivos e
capacidade de prevenção de esclusão de arquivos...por exemplo você não consegue
apagar um arquivo dos sistemas

Nivel C2
Diferente do C1, ele possui resgistros de log que mostra quem
apagou,hora que apagou...

Garante que nenhum usuário possa acessar um

arquivo particular do outro.

Classe B - Proteção mandatória

Poder ser estabelecidos rotulos composto por uma
classificação hierárquica(super-secreto,secreto,confidencial,restrito)

Classe A - É uma classe militar..

Evaluation x Certification

Evalution quando um sistema pode atingir a

certificação(c1,c2), não é que ele é certificado.

Certification - Quando ele é certificado e o sistema

não pode ser modificado.

ICSA Evaluation - É um laboratorio que faz a

ceritificação se um sistema.

Avaliação de riscos
Ativo - O que tudo tem valor para empresa funcionarios, equipamentos...

Intangivel - O que agrega valor ao produto, por exemplo

uma pick up roubada, pode ter muito mais valor do que
o valor da caminhonete, ou um servidor roubado...
muitos dados de alto valor também serão perdidos...

Tangivel - O que você sabe mensurar

Risco x Impacto

Risco - Existe um valor que pode ser pago para previnir ou você assume

Impacto - O que causa se você não assumir o risco.

Para saber quanto custa uma segurança,

precisa ser calculado o ativo...