MO826/MC936 - Tópicos em Sistemas de Informação
Segurança da Informação 

2º Semestre de 2007
Instituto de Computação - UNICAMP

NovidadesProfessoresLocais e horáriosObejtivos e ementaReferênciasAvaliaçãoDatas importantes

Novidades

Professores (menu principal)

Locais e horários (menu principal)

Objetivos e ementa

Objetivo geral

O objetivo deste curso é o estudo dos princípios da Segurança da Informação (SI). Grosso modo, há três aspectos principais, complementares, que compõem a área de SI:
  1. Aspectos técnicos. São as ameaças e medidas de defesa de cunho técnico, relativas ao hardware e software dos sistemas em questão.
  2. Aspectos gerenciais. Tratam das práticas e políticas para o projeto, implantação e manutenção do processo da SI em organizações.
  3. Aspectos sociais. Tratam das implicações éticas e legais das práticas e políticas de SI em efeito nas organizações.
Neste curso nos deteremos mais nos dois primeiros aspectos, iniciando com aspectos gerenciais, numa abordagem top-down.

Tópicos  abordados

Os seguintes tópicos serão abordados, com diferentes graus de profundidade:

Referências (em constante atualização) (menu principal)

Procuramos, a seguir, selecionar textos relevantes para o curso, nem todos prontamente disponíveis. No caso de livros, procuramos selecionar aqueles disponíveis no recentemente consolidado portal E-books do CRUESP, iniciativa das três universidades estaduais paulistas. 

Textos abrangentes

  1. Os relatórios da Série 800 do National Institute of Standards and Technology (NIST) dos EUA cobrem um vasto leque de aspectos de SI, alguns gerais, outros extremamente específicos e detalhados. Nem todos são atuais e vários já sofreram revisões. Veja aqui um guia para esses documentos. Entre os textos de cunho mais geral recomendamos:
    1. (800-12) An Introduction to Computer Security: The NIST Handbook, outubro de 1995. (TG)
Trecho da introdução:
1.1 Purpose
This handbook provides assistance in securing computer-based resources (including hardware, software, and information) by explaining important concepts, cost considerations, and interrelationships of security controls. It illustrates the benefits of security controls, the major techniques or approaches for each control, and important related considerations.

The handbook provides a broad overview of computer security to help readers understand their computer security needs and develop a sound approach to the selection of appropriate security controls. It does not describe detailed steps necessary to implement a computer security program, provide detailed implementation procedures for security controls, or give guidance for auditing the security of specific systems. General references are provided at the end of this chapter, and references of "how-to" books and articles are provided at the end of each chapter in Parts II, III and IV.

The purpose of this handbook is not to specify requirements but, rather, to discuss the benefits of various computer security controls and situations in which their application may be appropriate. Some requirements for federal systems2 are noted in the text. This document provides advice and guidance; no penalties are stipulated.
  1. (800-33) Underlying Technical Models for Information Technology Security, dezembro de 2001. (TG)
Trecho da introdução:
Purpose
The purpose of this document is to provide a description of the technical foundations, termed ‘models’, that underlie secure information technology (IT). The intent is to provide, in a concise form, the models that should be considered in the design and development of technical security capabilities. These models encompass lessons learned, good practices, and specific technical considerations. 
  1. (800-100) Information Security Handbook: A Guide for Managers, outubro de 2006. (G)
Trecho da introdução:
1.1 Purpose and Applicability
The purpose of this publication is to inform members of the information security management team (agency heads; chief information officers [CIOs]; senior agency information security officers [SAISOs], also commonly referred to as Chief Information Security Officers [CISOs]; and security managers) about various aspects of information security that they will be expected to implement and oversee in their respective organizations. In addition, the handbook provides guidance for facilitating a more consistent approach to information security programs across the federal government. Even though the terminology in this document is geared toward the federal sector, the handbook can also be used to provide guidance on a variety of other governmental, organizational, or institutional security requirements.
  1. O livro Principles of Information Security (Michael E. Whitman e Herbert J. Mattord, 2003, Thomson Course Technology, ISBN 0619063181), será usado como guia e fonte de material das primeiras aulas, mais gerais e voltadas aos fundamentos da SI. (GT)
  2. O livro Computer Security: Art and Science (Matt Bishop, 2003, Addison-Wesley, ISBN 0201440997) é mais técnico mas também trata de vários aspectos gerenciais. É escrito por um professor da U da California com bastante experiência na área. Nesta página, do website do autor, podem ser encontrados material suplementar, alguns capítulos, errata e slides. (TG)
  3. O livro Information Security Management Handbook (Harold F. Tipton e Micki Krause, 2004, CRC Press, ISBN 0849332109) é um compêndio sobre SI, com contribuições de vários autores). Algumas edições mais antigas estão disponíveis para leitura online. (GTS)
  4. O livro Security Engineering: A Guide to Building Dependable Distributed Systems (Ross J. Anderson, 2001, Wiley, ISBN 0471389226) é outro texto abrangente, moderno, técnico, com poucos capítulos tratando de aspectos gerenciais e éticos. O autor the extensa experiência na área de segurança, tendo liderado projetos de construção e análise prática de artefatos criptográficos. Tem também contribuído com vários textos e análises críticas sobre aspectos sociais da SI. (TGS)

Textos e materiais específicos

  1. Técnicas criptográficas modernas: algoritmos e protocolos (R. Dahab e J. López, 2007, SBC). Texto escrito para as Jornadas de Atualização em Informática do Congresso da SBC de 2007. Cobre algoritmos básicos da Criptografia e protocolos para autenticação e gerência de chaves criptográficas.
  2. Handbook of Applied Cryptography (Alfred J. Menezes,  Paul C. van Oorschot  e  Scott A. Vanstone, 1996, CRC Press, ISBN 0-8493-8523-7). Excelente referência, enciclopédica, já um pouco desatualizada. Para os fins do curso o capítulo 1 é leitura suficiente.
  1. A norma ISO/IEC 15408 (Common Criteria) é um arcabouço para especificação e avaliação de requisitos de segurança de sistemas de TI. Um texto muito introdutório pode ser encontrado aqui. O portal do projeto Common Criteria contém outras informações a respeito da norma, inclusive o texto atualizado dela.
  2. A norma britânica BS7799 (ISO 17799) é a inspiradora da norma ABNT NBR ISO IEC 17799. Transparências para a aula sobre a norma encontram-se aqui.
  3. Discussões sobre diferenças entre a ISO 17799 e a ISO 27001 podem ser encontradas neste site, assim como outras sobre temas correlatos à segurança da informação.
  1. Um bom artigo introdutório sobre políticas, modelos e mecanismos de controle de acesso é Access Control: Policies, Models, and Mechanisms, de Pierangela Samarati and Sabrina de Capitani di Vimercati.

Links úteis

No Brasil, um profissional que tem se dedicado ao estudo do direito eletrônico (e suas implicações para a SI) é o advogado Renato Opice Blum. No website do seu escritório de advocacia encontra-se um grande repositório de informações sobre esse tema.

Avaliação (menu principal)

Os alunos deverão escrever um trabalho que resolve, ou desenvolve um problema especifico. Como exemplo motivador, dois trabalhos deste curso, oferecido em 2005 , foram aceitos no SBSeg 2006.

Datas importantes (menu principal)

 Esta página é mantida pelo Prof.  R. Dahab