- Aulas às terças e quintas, 14-16h, sala CC22 (IC-3).
- Atendimento
dos professores: sob demanda, com acerto prévio de dia e hora.
Objetivos e ementa
Objetivo geral
O
objetivo deste curso é o estudo dos princípios da
Segurança da Informação (SI). Grosso modo,
há três aspectos principais, complementares, que
compõem a área de SI:
- Aspectos técnicos.
São as ameaças e medidas de defesa de cunho
técnico, relativas ao hardware e software dos sistemas em
questão.
- Aspectos de gestão: Tratam das
práticas e políticas para o projeto,
implantação e manutenção do processo da SI
em organizações.
- Aspectos sociais. Tratam
das implicações éticas e legais das
práticas e políticas de SI em efeito nas
organizações.
Tópicos abordados
- Tópicos gerais:
- Introdução à segurança da informação e sistemas.
- Criptografia básica.
- Gestão da segurança: modelos de controle de acesso; normas e padrões de segurança.
- Tópicos específicos (não exaustiva)
- Modelos alternativos de certificação digital.
- O papel do hardware seguro em segurança da informação e sistemas.
- Segurança de sistemas de votação eletrônica.
- Troca justa de bens digitais.
- Segurança de computação em nuvem.
- Segurança de redes móveis adhoc.
Referências (em constante atualização) (menu principal)
Procuramos,
a seguir, selecionar textos relevantes para o curso, nem todos
prontamente disponíveis. No caso de livros, procuramos
selecionar aqueles disponíveis no
portal E-books do CRUESP.
Textos abrangentes
- Os relatórios da Série 800 do National Institute of Standards and Technology (NIST)
dos EUA cobrem um vasto leque de aspectos de SI, alguns gerais, outros
extremamente específicos e detalhados. Nem todos são
atuais e vários já sofreram revisões. Veja aqui um guia para esses documentos. Entre os textos de cunho mais geral recomendamos:
(800-12) An Introduction to Computer Security: The NIST
Handbook, outubro de 1995.
(TG)
Trecho da introdução:
1.1 Purpose
This
handbook provides assistance in securing computer-based resources
(including hardware, software, and information) by explaining important
concepts, cost considerations, and interrelationships of security
controls. It illustrates the benefits of security controls, the major
techniques or approaches for each control, and important related
considerations.
The handbook provides a broad overview of
computer security to help readers understand their computer security
needs and develop a sound approach to the selection of appropriate
security controls. It does not describe detailed steps necessary to
implement a computer security program, provide detailed implementation
procedures for security controls, or give guidance for auditing the
security of specific systems. General references are provided at the
end of this chapter, and references of "how-to" books and articles are
provided at the end of each chapter in Parts II, III and IV.
The
purpose of this handbook is not to specify requirements but, rather, to
discuss the benefits of various computer security controls and
situations in which their application may be appropriate. Some
requirements for federal systems2 are noted in the text. This document
provides advice and guidance; no penalties are stipulated.
(800-33) Underlying Technical Models for Information Technology Security, dezembro de 2001.
(TG)(800-100) Information Security Handbook: A Guide for Managers, outubro de 2006.
(G)
Trecho da introdução:
Purpose
The
purpose of this document is to provide a description of the technical
foundations, termed ‘models’, that underlie secure
information technology (IT). The intent is to provide, in a concise
form, the models that should be considered in the design and
development of technical security capabilities. These models encompass
lessons learned, good practices, and specific technical
considerations.
(800-53) Recommended Security Controls for Federal Information Systems and Organizations, agosto 2009 (revisão 2010).
(TG)
Purpose
The purpose of this
publication is to provide guidelines for selecting and specifying
security controls for information systems supporting the executive
agencies of the federal government to meet the requirements of FIPS
200, Minimum Security Requirements for Federal Information and
Information Systems. The guidelines apply to all components11 of an
information system that process, store, or transmit federal
information. The guidelines have been developed to help achieve more
secure information systems and effective risk management within the
federalgovernment by...
(800-100) Information Security Handbook: A Guide for Managers, outubro de 2006.
(G)
Trecho da introdução:
1.1 Purpose and Applicability
The
purpose of this publication is to inform members of the information
security management team (agency heads; chief information officers
[CIOs]; senior agency information security officers [SAISOs], also
commonly referred to as Chief Information Security Officers [CISOs];
and security managers) about various aspects of information security
that they will be expected to implement and oversee in their respective
organizations. In addition, the handbook provides guidance for
facilitating a more consistent approach to information security
programs across the federal government. Even though the terminology in
this document is geared toward the federal sector, the handbook can
also be used to provide guidance on a variety of other governmental,
organizational, or institutional security requirements.
- O livro Principles of Information Security (Michael E. Whitman e Herbert J. Mattord, 2003, Thomson Course Technology, ISBN
0619063181), será usado como guia e fonte de material das
primeiras aulas, mais gerais e voltadas aos fundamentos da SI. (GT)
- O livro Computer Security: Art and Science (Matt Bishop, 2003, Addison-Wesley, ISBN
0201440997) é mais técnico mas também trata de
vários aspectos gerenciais. É escrito por um professor da
U da California com bastante experiência na área. Nesta página, do website do autor, podem ser encontrados material suplementar, alguns capítulos, errata e slides. (TG)
- O livro Information Security Management Handbook (Harold F. Tipton e Micki Krause, 2004, CRC Press,
ISBN 0849332109) é um compêndio sobre SI, com
contribuições de vários autores). Algumas
edições mais antigas estão disponíveis para
leitura online. (GTS)
- O livro Security Engineering: A Guide to Building Dependable Distributed Systems (Ross J. Anderson, 2001, Wiley, ISBN
0471389226) é outro texto abrangente,
moderno, técnico, com poucos capítulos tratando de
aspectos gerenciais e éticos. O autor
the extensa experiência na área de segurança, tendo
liderado projetos de construção e análise
prática de artefatos criptográficos. Tem também
contribuído com vários textos e análises
críticas sobre aspectos sociais da SI. (TGS)
A avaliação consistirá de uma monografia num dos
tópicos específicos listados acima.
Cada aluno deverá preparar também duas apresentações sobre o assunto de
sua monografia, que serão feitas aos demais participantes do curso em
momentos diferentes do desenvolvimento do trabalho: a primeira, em
meados de outubro, consistirá do levantamento bibliográfico crítico e
atualizado do assunto (
o estado da arte); a segunda apresentação será no final de novembro, e cobrirá toda a monografia.
As regras para confecção da monografia serão divulgadas em breve.
Entretanto, podemos adiantar que elas deverão ter um forte componente
de pesquisa, isto é, o aluno deverá fazer uma monografia que revele
dominio do assunto e também sugira caminhos ou soluções, ainda que não
completas, para algum aspecto do problema estudado.