| |
| Acadêmico(a): Dayana Fernanda Trapp |
| Título: Software para Verificação de Conformidade de Sistemas à Norma ISO/IEC 15408 |
| |
| Introdução: |
Para Albuquerque e Ribeiro (2002, p. 1), o desenvolvimento de sistemas é uma das áreas mais afetadas pelos aspectos da segurança. Muitos dos problemas de segurança existentes hoje, não são, nem físicos e nem de procedimento, mas sim, devidos a erros de programação ou de arquitetura.
Segundo Guerra (2008, p. 26), para não perder muito tempo e entregar a solução o quanto antes para o cliente, os requisitos de segurança são deixados de lado. Os clientes por sua vez não possuem noção sobre segurança de um sistema e só saberão mais tarde quando é encontrada uma vulnerabilidade. Isso acontece porque poucos analistas preocupam-se em especificar bem os requisitos de segurança.
De acordo com Albuquerque e Ribeiro (2002, p. 1), a segurança em sistemas sempre foi importante e com a internet a segurança torna-se o foco, uma vez que os sistemas tendem a ficar mais interconectados, facilitando o acesso do cracker . Assim, a segurança será cada vez mais uma preocupação no desenvolvimento de sistemas.
Tem-se como premissa que nenhum software é seguro (OLIVEIRA, 2001, p. 11). A segurança de um software é afetada porque ele pode executar outros procedimentos os quais não foram propostos. Se ele fizesse exatamente o que foi destinado a fazer, a segurança não seria uma preocupação (CONALLEN, 2003, p. 76). Portanto, existe uma facilidade para invasores investigarem vulnerabilidades desconhecidas e dificuldade dos desenvolvedores em garantir que todos os pontos de entrada do sistema estejam protegidos (HOWARD; LEBLANC, 2005, p. 48).
A segurança deve ser uma preocupação corporativa. Os usuários exigem que os softwares que eles utilizam sejam seguros, isso é um direito deles, e não um privilégio. Porém, a não preocupação em desenvolver segurança nos sistemas leva, no final das contas, a um maior volume de trabalho e a uma reputação ruim, já que pode chegar a perda de vendas, à medida que os clientes troquem o produto pelo do concorrente que é mais seguro (HOWARD; LEBLANC, 2005, p. 36-37).
Para saber se o sistema é seguro, na década de 80 surgiu o primeiro padrão para avaliação de segurança em softwares, que ficou conhecido como Orange Book. Mais tarde este padrão foi homologado pela International Standartization Organization (ISO) como ISO/IEC 15408, que muitas vezes é chamada apenas de Common Criteria (CC) (AZEVEDO, 2008). De acordo com Albuquerque e Ribeiro (2002, p. 7), a norma ISO/IEC 15408 é o melhor ponto de partida para o desenvolvimento de software seguro, pois ela descreve conceitos necessários para a segurança em sistemas.
O CC determina que um sistema deva ter seu Security Target (ST) (objetivo ou alvo de segurança) definido, para ser considerado seguro. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'O ST é a especificação de segurança, ou seja, indica quais aspectos de segurança foram considerados importantes e porque o foram para aquele sistema em particular\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\' (LYRA, 2008, p. 71).
Desta forma, para auxiliar um auditor na avaliação de um sistema, propõe-se o desenvolvimento de um software que fará a análise do sistema, e identificará automaticamente quais requisitos da norma são atendidos. Porém, nem todos os requisitos estarão disponíveis para a análise automática. Então, para estes requisitos o software fornecerá uma lista com os requisitos e campos de observações para que o auditor faça a avaliação de modo manual, entrando com os dados da avaliação realizada, para que no final seja gerado um relatório com o resultado da auditoria. Para não gerar ambigüidade utiliza-se a palavra software para identificar o software desenvolvido neste trabalho e sistema para o sistema que sofrerá a auditoria.
|
| |
|
