Grupos e Padrões Internacionais de segurança da informação

Olá Pessoal!

Hoje irei falar de um assunto bem interessante, Grupos e Padrões Internacionais de segurança da informação.

Vamos lá!

Selecionei alguns grupos e padrões, a nível de reconhecimento mundial e popularidade.
São eles:
  • Owasp
  • NIST 
  • OSSTMM
  • ISSAF /PTF
  • ISO/IEC 17799:2005 e ISO/IEC 27000 


Owasp - Open Web Application Security Project


O Projeto aberto de Segurança de Aplicações Web é uma comunidade online dedicada à segurança de aplicações web. É ferido por uma fundação livre de pressões comerciais e sem fins lucrativos. Um modelo colaborativo e internacionalmente conhecido.

Categorias de Projeto:
  1. Projetos de incubadoras - Projectos em idéias ainda estão sendo comprovadas e desenvolvimento ainda está em andamento. 
  2. Projetos Lab - projetos que tenham produzido uma entrega de valor OWASP-reviewed.
  3. Projectos emblemáticos - A designação Flagship é dada aos projetos que demonstraram maturidade superior, de qualidade estabelecido, e valor estratégico para OWASP e para a segurança do aplicativo como um todo.

Dentro das categorias de projeto citadas acima a owasp conta com alguns projetos mais conhecidos:
  1. Web Scarab - Segurança de Websites e Webservices
  2. Web Goat - Treinamento e aprendizado hands on
  3. Zap - Teste de penetração
Documentação mais conhecida:

OWASP Testing Guide Descreve em detalhes boas práticas, técnicas e ferramentas necessárias para a execução de testes de segurança em aplicações web

Acesse: https://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf


NIST - National Institute of Standards and Technology

O Instituto Nacional de Padrões e Tecnologia  é um laboratório de padrões de medição , também conhecido como Instituto Nacional de Metrologia (NMI), que é uma agência não regulamentar do Departamento de Comércio dos Estados Unidos . 

Tem como missão oficial: 

Promover a inovação e competitividade industrial através do avanço da ciência de medição, padrões e tecnologia de forma a aumentar a segurança econômica e melhorar a nossa qualidade de vida .

Documentações mais conhecidas: 

NIST SP 800-42 Visa fornecer orientação sobre testes de segurança de rede e teste de penetração. Abaixo o link.

Acesse: http://www.albany.edu/acc/courses/acc661/spring2004/NIST-SP800-42.pdf

NIST SP 800-115 Possui aspectos técnicos da realização de testes e avaliações de Segurança da Informação.

Acesse: http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf


OSSTMM - Open Source Security Testing Methodology Manual 

OSSTMM foi um movimento criado pelo Instituto para a Segurança e metodologias abertas (ISECOM) para melhorar a forma como a segurança foi testada e implementada.

Conhecido como Manual de Metodologia Open Source Security Testing o OSSTMM  é pronunciado como "awstem".

Este manual aborda segurança operacional. O manual no modelo de peer-reviewed de testes e análises de segurança que resultam em fatos verificados. Estes fatos fornecem informações úteis que podem mensurável melhorar sua segurança operacional. 

Trata-se de conhecer e medir o quão bem funciona a segurança. Esta metodologia vai dizer se o que você tem faz o que você quer que ele faça e não apenas o que lhe foi dito que ele faz. 

Documentação:

Acesse:http://scadahacker.com/library/Documents/Assessment_Guidance/OSSTMM-3.0.pdf


ISSAF - Information Systems Security Assessment Framework 

O ISSAF tem como propósito integrar ferramentas de gestão e controles de segurança, avaliar os processos e políticas de Segurança da Informação e buscar conformidade com padrões e normas regulatórias voltados para infraestrutura de TI. 

Documentação:

Acesse: http://pt.scribd.com/doc/106731914/ISSAF-0-2-1B


ISO/IEC 17799:2005 e ISO/IEC 27000 

Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. 

A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. 

Bom galerinha, é isso. Espero que tenham gostado.

Até a próxima o/!

Thallita Celeste

Olá! Sou Thallita, fundadora do blog ThallitaCeleste. Sou Analista de segurança, com fome de conhecimento e grande vontade de ajudar as pessoas ao redor. Aqui, tento manter meu histórico sobre diversos temas. Bem, seja Bem Vindo ao meu Blog! Espero que goste. o/

Nenhum comentário:

Postar um comentário