Open Security Architecture (OSA)

OSA fornece padrões de segurança e um catálogo de controles (baseado em NIST). Esse maravilhoso projeto nos auxilia no desenho de propostas de arquitetura de segurança para referencia técnica de controles a serem usados. Eu particularmente uso sempre que preciso exemplificar um tipo de controle e suas ligações.
Como no exemplo abaixo o diagrama de modulo de servidor:

Server module : 08.02.10_Pattern_002_Server_Module

O catálogo de controle no OSA é atualmente baseado no NIST 800-53. Há um mapeamento disponível em relação ao ISO17799 e outros padrões proeminentes.

Esboço inicial dos princípios de design que fundamentam a Arquitetura de Segurança Aberta.

Princípios da ArquiteturaPrincípios de implementaçãoPrincípios de operação e configuração
Simplicidade sobre flexibilidade
Usabilidade sobre restrição
Defesa em profundidade
Design aberto
Práticas de codificação seguras
Teste de caixa preta e caixa branca
Mediação completa
Least privilege
Trilhas de auditoria

OSA está licenciado sob Creative Commons sharealike. Veja www.opensecurityarchitecture.org

Catalogo de controles

Os controles são baseados no NIST 800-53, e há um mapeamento para ISO17799 e COBIT 4.1.

🌐 https://www.opensecurityarchitecture.org/cms/library/0802control-catalogue

Os controles estão divididos em:

Technical

  • AC: Access Control
  • AU: Audit And Accountability
  • IA: Identification And Authentication
  • SC: System And Communications Protection

Operational

  • AT: Awareness And Training
  • CM: Configuration Management
  • CP: Contingency Planning
  • IR: Incident Response
  • MA: Maintenance
  • MP: Media Protection
  • PE: Physical And Environmental Protection
  • PL: Planning
  • PS: Personnel Security
  • SI: System And Information Integrity

Management

  • CA: Certification, Accreditation. And Security Assessments
  • RA. Risk Assessment
  • SA: System And Services Acquisition

Exemplo: https://www.opensecurityarchitecture.org/cms/library/0802control-catalogue/37-08-02-au-02

AU-02 Auditable Events

  • Baseline: LOW AU-2 MOD AU-2 (3) HIGH AU-2 (1) (2) (3)
  • Family: Audit And Accountability
  • Class: Technical
  • ISO 17799 mapping: 10.10.1
  • COBIT 4.1 mapping: AI2.3
  • PCI-DSS v2 mapping: 10.2

Diagramas com padrões

Os diagramas ajudam na visualização panorâmica do cenário proposto com cada um dos controles apresentados.

🌐 https://www.opensecurityarchitecture.org/cms/library/patternlandscape

SP-013: Data Security Pattern

Biblioteca de ícones OSA 13.05


A biblioteca de ícones é representada como imagens PNG nesta página e como um pacote de imagens SVG e PNG em um arquivo zip para download. Esses ícones nas imagens é baseado no “Tango Free Desktop Project” (maravilhoso).

🌐 https://www.opensecurityarchitecture.org/cms/library/icon-library

Referência

https://www.opensecurityarchitecture.org/

Anúncio

Sobre Daniel Donda 550 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*