Padrões de Segurança

ISO/IEC 15408 - Common Criteria (CC)

O Common Criteria for Information Technology Security Evaluation / Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (abreviado como Common Criteria ou CC) é a base para o padrão internacional ISO/IEC 15408 em segurança da informação. É originado dos padrões para critérios de avaliação de segurança do Departamento de Defesa dos Estados Unidos (TSEC), Canadá (CTCSEC) e Europa (ITSEC, França, Alemanha, Países Baixos e Reino Unido). O CC é um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em sistemas de informação e produtos de TI.

O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level, EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de segurança, Security Assurance Requirements (SARs).

Common Criteria Evaluation and Validation Scheme (CCEVS) & Rainbow Series

  • The Common Criteria Evaluation and Validation Scheme (CCEVS)
    Por National Information Assurance Partnership (NIAP), uma iniciativa do Governo dos E.U.A.
  • Rainbow Series
    From Wikipedia, the free encyclopedia.
  • Rainbow Series Library
    A Rainbow Series (às vezes conhecida como os Livros Arco-íris) é uma série de padrões e guias de segurança de computadores publicada pelo governo dos Estados Unidos nos anos 1980 e 90. Eles foram originalmente publicados pelo Centro de Segurança de Computadores do Departamento de Defesa (DoD) dos EUA, e depois pelo National Computer Security Center.
    The Rainbow Series is six-foot tall stack of books on evaluating "Trusted Computer Systems" according to the National Security Agency (NSA). The term "Rainbow Series" comes from the fact that each book is a different color. The main book, upon which all other expound, was the Orange Book.
    Nota (2003): Partes da Rainbow Series (e.g. o Orange book e o Red Book) foram suplantadas pelo Common Criteria Evaluation and Validation Scheme (CCEVS).
    Formato: ASCII Text. Disponível em Federation of American Scientists (FAS), Intelligence Resource Program. Alternativa: csrc.nist.gov.
  • The Orange Book Site - Dynamoo.com
    First published in 1983, the US Department of Defense Trusted Computer System Evaluation Criteria, (DOD-5200.28-STD) known as the Orange Book was a de facto standard for computer security, now superseded by the Common Criteria Evaluation and Validation Scheme (CCEVS). Orange Book was part of NSA/DoD Rainbow Series.
    Orange Book Summary.
    USA Department of Defense Standard: Trusted Computer System Evaluation Criteria (DoD 5200.28-STD).

Série ISO/IEC 27000 (ex 17799, BS 7799) - Gestão de Segurança da Informação

O Padrão Britânico (British Standard) 7799 (BS7799) originou-se de um código de prática do Governo do Reino Unido (Department of Trade and Industry - DTI) de 1993, depois publicado como padrão em 1995 pelo British Standards Institution (BSi) e revisado em 1999. Quando foi inicialmente publicado como um padrão internacional ISO em dezembro de 2000, BS7799 parte 1 (BS7799-1) se tornou ISO 17799, porque um padrão chamado ISO 7799 já existia.

Em outubro de 2005, British Standard BS 7799 parte 2 (BS7799-2) foi adotado pela ISO e re-identificado, iniciando a nova série 27000 de padrões internacionais para segurança da informação, lançado como norma ISO/IEC 27001:2005.

De 2001 a 2004, a norma internacional ISO 17799 (BS7799-1) passou por ampla revisão, culminando na nova versão ISO/IEC 17799:2005 publicada em junho de 2005. E em julho de 2007, o padrão 17799:2005 foi renumerado para 27002:2005 (através do ISO/IEC 17799:2005/Cor.1:2007), integrando a nova série 27000.

No Brasil, a ABNT publica as normas localizadas ABNT NBR ISO/IEC.

Padrões Abertos para Segurança de Aplicações Web


Padrões de Criptografia de Chave-Pública e Assinatura Digital

Public-Key Cryptography Standards (PKCS)

Os Padrões de Criptografia com Chave-Pública (PKCS) são especificações produzidas pelos RSA Laboratories em cooperação com desenvolvedores de sistemas de segurança no mundo todo, com o propósito de acelerar a implantação de criptografia com chave-pública. Inicialmente publicados em 1991 como resultado de encontros de um pequeno grupo de pioneiros da tecnologia de chave-pública, os documentos PKCS se tornaram amplamente referenciados e implementados. Contribuições da série PKCS se tornaram parte de muitos padrões formais e de-facto, incluindo documentos ANSI X9, PKIX, SET, S/MIME, e SSL.

Cryptographic Message Syntax (CMS) & PKCS #7

Tokens Criptográficos e Smart Cards - PKCS #11 e #15

  • PKCS #11: Cryptographic Token Interface Standard
    RSA Laboratories Public-Key Cryptography Standards (PKCS).
    This standard specifies an API, called Cryptoki, to devices which hold cryptographic information and perform cryptographic functions. Cryptoki, pronounced crypto-key and short for cryptographic token interface, follows a simple object-based approach, addressing the goals of technology independence (any kind of device) and resource sharing (multiple applications accessing multiple devices), presenting to applications a common, logical view of the device called a cryptographic token.
  • PKCS #15: Cryptographic Token Information Format Standard
    RSA Laboratories Public-Key Cryptography Standards (PKCS).
    PKCS #15 establishes a standard that enables users in to use cryptographic tokens to identify themselves to multiple, standards-aware applications, regardless of the application's cryptoki (or other token interface) provider.
  • ISO/IEC 7816-15:2004
    Identification cards -- Integrated circuit cards -- Part 15: Cryptographic information application.
    Preview.
  • Wikipedia: PKCS #11
    From Wikipedia, the free encyclopedia.
  • PKCS#11 Explorer
    PKCS#11 Explorer is a tool for examining the contents of PKCS#11 tokens (e.g. USB tokens and smartcards), and for carrying out various operations on them, including: show all objects stored and all mechanisms supported and their properties; monitor token insert/removal; initialize tokens; set and change PINs; create test keys; seed and generate random data. Free download, including executable and full Delphi source code.
  • FreeOTFE Explorer - Appendix E: PKCS#11 Driver Libraries (PDF)
    FreeOTFE Explorer manual, p 145-150. Not exhaustive list of token manufacturers, devices and their PKCS#11 driver libraries.
    FreeOTFE at Sourceforge.
  • PKCS#11 Task Force - Found Drivers
  • Wikipedia: Smart card
    From Wikipedia, the free encyclopedia.
    A smart card, chip card, or integrated circuit card (ICC) is any pocket-sized card with embedded integrated circuits. Smart cards can provide strong security identification, authentication, data storage (including digital certificates) and application processing.
  • Smart Card Alliance
    Smart Card Alliance mission is to accelerate the widespread adoption, usage, and application of smart card technology in North America by bringing together users and technology providers in an open forum to address opportunities and challenges for our industry.
  • OpenSC - tools and libraries for smart cards
    OpenSC provides a set of libraries and utilities to work with smart cards. Its main focus is on cards that support cryptographic operations, and facilitate their use in security applications such as authentication, mail encryption and digital signatures. OpenSC implements the PKCS#11 API so applications supporting this API (such as Mozilla Firefox and Thunderbird) can use it. On the card OpenSC implements the PKCS#15 standard and aims to be compatible with every software/card that does so, too.
  • M.U.S.C.L.E. - Movement for the Use of Smart Cards in a Linux Environment
    MUSCLE is a project to coordinate the development of smart cards and applications under Linux. The purpose is to develop a set of compliant drivers, API's, and a resource manager for various smart cards and readers for the GNU environment. Source code is now distributed by this site that supports the Schlumbeger Reflex 60 line of reader and all ISO-7816-4 compliant smart cards. I would like to see a Linux resource manager for smart cards and other cryptographic tokens such as Ibuttons or SecureId. A good standpoint for this is the PC/SC specifications written for Microsoft OS.
  • PCSC-Lite projects on Alioth
    PC/SC-Lite: Middleware to access a smart card using SCard API (PC/SC). CCID driver: This package provides the source code for a generic USB CCID (Chip/Smart Card Interface Devices) driver and ICCD (Integrated Circuit(s) Card Devices).

Advanced Electronic Signatures Standards (CAdES, XAdES, PAdES)