Padrões de Segurança
ISO/IEC 15408 - Common Criteria (CC)
O Common Criteria for Information Technology Security Evaluation /
Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação
(abreviado como Common Criteria ou CC) é a base para o padrão internacional
ISO/IEC 15408 em segurança da informação. É originado dos padrões para critérios
de avaliação de segurança do Departamento de Defesa dos Estados Unidos (TSEC),
Canadá (CTCSEC) e Europa (ITSEC, França, Alemanha, Países Baixos e Reino Unido).
O CC é um framework padronizado de critérios para especificação, implementação e
avaliação de requisitos e propriedades de segurança em sistemas de informação e
produtos de TI.
O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level,
EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de
segurança, Security Assurance Requirements (SARs).
-
Common Criteria - The Common Criteria Portal
The Common Criteria
for Information Technology Security Evaluation (CC), and the companion
Common Methodology for Information Technology Security Evaluation (CEM)
are the technical basis for an international agreement, the
Common Criteria
Recognition Agreement (CCRA).
For Consumers, Developers, Experts.
-
Common Criteria
From Wikipedia, the free encyclopedia.
Common Criteria (CC): Key Concepts, History, Mutual Recognition
Arrangement, Some Thoughts, External links.
Evaluation
Assurance Level (EAL).
-
ISO/IEC 15408-1:2009
Information technology -- Security techniques -- Evaluation criteria for
IT security -- Part 1: Introduction and general model.
Revision of withdrawn standards
ISO/IEC 15408-1:2005,
ISO/IEC 15408-1:1999.
-
ISO/IEC Freely Available Standards - ISO/IEC 15408
ISO/IEC 15408: Information technology -- Security techniques --
Evaluation criteria for IT security.
-
The Common Criteria Evaluation and Validation Scheme (CCEVS)
The National Information Assurance Partnership (NIAP) is a U.S. Government
initiative originated to meet the security testing needs of both information
technology (IT) consumers and producers. NIAP is operated by the National
Security Agency (NSA).
International Standard ISO/IEC 17799:2000 Code of Practice for Information
Security Management - Frequently Asked Questions (FAQ) (PDF), nov-2002.
The Common Criteria (CC) project was formerly maintained by
NIST Computer Security Division.
-
The Common Criteria ISO/IEC 15408 - The Insight, Some Thoughts,
Questions and Issues (PDF)
SANS Institute whitepaper. By Ariffuddin Aizuddin, 2001.
Common Criteria Evaluation and Validation Scheme (CCEVS) & Rainbow Series
-
The Common Criteria Evaluation and Validation Scheme (CCEVS)
Por National Information Assurance Partnership (NIAP), uma iniciativa do Governo dos E.U.A.
-
Rainbow Series
From Wikipedia, the free encyclopedia.
-
Rainbow Series Library
A Rainbow Series (às vezes conhecida como os Livros Arco-íris) é uma série de padrões e guias
de segurança de computadores publicada pelo governo dos Estados Unidos nos anos 1980 e 90.
Eles foram originalmente publicados pelo Centro de Segurança de Computadores do Departamento
de Defesa (DoD) dos EUA, e depois pelo National Computer Security Center.
The Rainbow Series is six-foot tall stack of books on evaluating "Trusted Computer Systems"
according to the National Security Agency (NSA). The term "Rainbow Series" comes from the
fact that each book is a different color. The main book, upon which all other expound,
was the Orange Book.
Nota (2003): Partes da Rainbow Series (e.g. o Orange book e o Red Book) foram
suplantadas pelo Common Criteria Evaluation and Validation Scheme (CCEVS).
Formato: ASCII Text. Disponível em Federation of American Scientists (FAS),
Intelligence Resource Program. Alternativa:
csrc.nist.gov.
-
The Orange Book Site - Dynamoo.com
First published in 1983, the US Department of Defense Trusted Computer
System Evaluation Criteria, (DOD-5200.28-STD) known as the Orange Book
was a de facto standard for computer security, now superseded by the
Common Criteria Evaluation and Validation Scheme (CCEVS).
Orange Book was part of NSA/DoD Rainbow Series.
Orange Book Summary.
USA Department of Defense Standard:
Trusted Computer System Evaluation Criteria (DoD 5200.28-STD).
Série ISO/IEC 27000 (ex 17799, BS 7799)
- Gestão de Segurança da Informação
O Padrão Britânico (British Standard) 7799 (BS7799) originou-se de
um código de prática do Governo do Reino Unido (Department of Trade and Industry
- DTI) de 1993, depois publicado como padrão em 1995 pelo
British Standards Institution (BSi) e revisado em 1999. Quando foi inicialmente
publicado como um padrão internacional ISO em dezembro de 2000, BS7799 parte 1
(BS7799-1) se tornou ISO 17799, porque um padrão chamado ISO 7799 já existia.
Em outubro de 2005, British Standard BS 7799 parte 2 (BS7799-2) foi adotado
pela ISO e re-identificado, iniciando a nova série 27000 de padrões internacionais
para segurança da informação, lançado como norma ISO/IEC 27001:2005.
De 2001 a 2004, a norma internacional ISO 17799 (BS7799-1) passou por ampla
revisão, culminando na nova versão ISO/IEC 17799:2005 publicada em junho de 2005.
E em julho de 2007, o padrão 17799:2005 foi renumerado para 27002:2005
(através do ISO/IEC 17799:2005/Cor.1:2007), integrando a nova série 27000.
No Brasil, a ABNT publica as normas localizadas ABNT NBR ISO/IEC 27002:2005
(NBR ISO/IEC 17799:2005) e NBR ISO/IEC 27001:2006.
ISO/IEC 27000 series:
ISO 27001 [BS7799-2]: information security management systems (ISMS)
requirements. (ABNT NBR) ISO/IEC 27001:2005 = BS 7799-2:2005. Requisitos (shall/deve)
para se implementar um sistema de gestão de segurança da informação.
ISO 27002 [BS7799-1]: code of practice for information security
management. ISO/IEC 27002:2005 = ISO 17799:2005 = BS7799-1:2005. Recomendações
(should/convém) de controles para segurança da informação.
ISO 27003 (esperada para 2009): an ISMS implementation guide.
ISO 27004 (proposta): information security management measurement and metrics.
ISO 27005 [BS 7799-3] (proposta): information security risk
management. BS 7799-3:2006 - Risk Management Guidelines.
ISO 27006: requirements for bodies providing audit and
certification of information security management systems. 2007-02-03.
-
ISO/IEC 27000-series
From Wikipedia, the free encyclopedia.
ISO/IEC 27000.
ISO/IEC 27001:2005 -
Information technology -- Security techniques --
Information security management
systems (ISMS) -- Requirements.
ISO/IEC 27002:2005
(anteriormente 17799:2005) - Code of practice for information security management.
Boa orientação prática sobre ISMS.
ISO/IEC 27006:2007
- Requirements for bodies providing audit and certification of information
security management systems. Um guia para o processo de certificação/registro.
-
ISO 27001 security
This website is dedicated to the latest international standards
for information security management.
ISO 27000 series, Other standards, FAQ, Books, Links.
-
ISO 27001 Information Portal
-
ISO 27000 Directory
Information Portal for ISO 27000 series: 27001, 27002, 27004, 27005.
A Short History of the ISO 27000
Standards.
-
Norma de Segurança BS7799 [Em português]
Introdução e FAQ sobre a Norma de Segurança BS7799 (British Standart 7799)
e sua versão brasileira denominada NBR ISO/IEC 17799, homologada pela ABNT.
Por InformaBR, portal informativo sobre administração e segurança da informação.
-
ABNT NBR ISO/IEC 27001: Sistemas de gestão de segurança da informação
- Requisitos [Em Português]
Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de
segurança da informação - Requisitos.
Por ABNT - Associação Brasileira de Normas Técnicas, 2006.
-
ISO/IEC 27001: Information Security Management System
ISO Guide 72 similar to ISO 9000 & ISO 14000.
Based on revised 17799 and 13335, British Standard 7799 Part 2.
-
ABNT NBR ISO/IEC 27002: Código de prática para a gestão da segurança da
informação [Em Português]
Tecnologia da informação - Técnicas de segurança - Código de prática para a
gestão da segurança da informação.
Por ABNT - Associação Brasileira de Normas Técnicas, 2005.
Conteúdo idêntico ao da ABNT NBR ISO/IEC 17799.
-
ISO/IEC - Information Security Management
ISO/IEC 27002:2005 - Information technology -- Security techniques --
Código de prática para gerenciamento da
segurança da informação. Padronização do
Padrão Britânico BS 7799 Parte 1.
ISO/IEC 17799:2005/Cor. 1:2007, publicada em 2007-07-06, changes the
reference number of the standard from 17799 to 27002.
ISO/IEC 17799:2005, publicada em 2005-06-10, é uma revisão atualizada da
ISO/IEC 17799:2000. Pela Organização Internacional para
Padronização (ISO).
ISO JTC 1/SC 27 - IT Security techniques.
-
ISO 27001 and ISO 27002 (17799) User Group
International ISO 27001 and ISO 27002 (ISO 17799) Information Security
Community Portal and Forum.
User forums, news, articles and other information related to the ISO 27000
and BS7799 information security standards series.
-
ISO 17799 Information Portal
Iso 17799 Information and Resource Portal.
What is ISO 17799 (the ISO Security Standard):
Presentation on ISO 17999 general information.
Endereço antigo:
iso17799software.com, The Information Portal for ISO17799,
The ISO 17799 Service & Software Directory.
-
ISO 17799 Central
The A-Z guide for BS7799, ISO 27001 and ISO17799 information.
Endereço antigo: iso-17799.com, The ISO 17799 Directory.
-
Standards Direct - ISO 17799/27001
ISO 17799 and ISO 27001 Purchase and Download.
-
ISO 17799 Made Easy
ISO/IEC 17799 Security Resources.
-
ISO 17799 Standard: ISO17799 Compliance & Positioning
By Risk Associates.
Padrões Abertos para Segurança de Aplicações Web
·
