| |
| Acadêmico(a): Eduardo Persuhn |
| Título: Modelo de avaliação automatizada de requisitos de segurança em sistemas conforme a norma ISO/IEC 15.408 |
| |
| Conclusão: |
O crescimento na utilização e criação de programas é inevitável, devido à grande demanda nesta área. Como existem programas para diversas finalidades, é natural que existam áreas onde a segurança é crucial. É importante que, um sistema que deve ser considerado seguro, seja seguro de fato. Para garantir a segurança é aplicada a auditoria de TI, juntamente de critérios para a avaliação da segurança.
O processo de auditoria de TI é complexo. Existem tarefas que devem ser realizadas através da interação com o sistema alvo e desta forma é avaliado pelo auditor. Outro ponto que aumenta a complexidade da avaliação é a heterogeneidade dos sistemas, que, atualmente são criados para as mais diversas áreas. Para contornar estes problemas é que são usadas normas, como o CC.
Com a especificação do modelo de avaliação automatizada de requisitos de segurança em sistemas conforme a norma ISO/IEC 15.408, foi possível criar uma interface entre sistema alvo e o software que realiza a avaliação automatizada de segurança. Esta interface torna o SPAARS independente do sistema alvo e foi implementada através da chamada de métodos web service em momentos específicos da execução do sistema alvo. Foi desenvolvido um software que faz a avaliação automatizada de segurança em sistemas. Foi realizada a analise do modelo especificado automatizando alguns requisitos da norma e implementando um sistema alvo simples.
No requisito FIA_UAU.1.1 foi desenvolvida uma forma de verificar se um usuário acessa as funções do sistema após estar autenticado. No requisito FIA_UAU.6.1 foi analisado o tempo limite em que a reautenticação é exigida. No requisito FDP_ACF.1.2 foi implementada uma verificação, com base nas permissões de cada perfil de usuário para o acesso ao sistema alvo. No requisito FTA_TAH.1.1 foi realizada a verificação dos dados que são armazenados no histórico da seção estabelecida para os usuários, que deve conter a data e a hora. No requisito FTA_TAH.1.2 foi realizada a verificação do histórico de falhas no estabelecimento da seção para os usuários, no qual deve conter além dos campos data e hora, um campo que conta a quantidade de falhas.
Com este trabalho foi concluído que é possível automatizar requisitos usando o modelo especificado e que os requisitos implementados podem ser reaproveitados para diversos sistemas alvo. É possível automatizar requisitos que exigem que testes sejam feitos em tempo de execução. Concluiu-se ainda que pode-se implementar novos requisitos além dos desenvolvidos neste trabalho. |
| |
|
