| |
| Acadêmico(a): Dionei Herkenhoff |
| Título: Plugins para Testes Automatizados de Conformidade com a Norma ISO/IEC 15408 |
| |
| Introdução: |
A segurança em sistema é um requisito tão básico quanto velocidade: o cliente quer, mesmo que não diga isso explicitamente. O problema com relação à segurança em um sistema, muitas vezes, só se torna uma preocupação quando este ocorre e, mesmo que não tenha havido prejuízo por parte do cliente, a confiança dele com relação ao sistema já fica comprometida (ALBUQUERQUE; RIBEIRO, 2002, p. 1).
O assunto normalmente é abordado quando se trata de sistemas para a internet, que são mais suscetíveis a algum tipo de ataque, pois estão disponíveis para todos, facilitando o acesso de pessoas mal intencionadas (ALBUQUERQUE; RIBEIRO, 2002, p. 1). Mas esta preocupação não pode ser direcionada apenas a sistemas da internet, pois, ao contrário do que parece, a segurança não se trata apenas de garantir que informações sigilosas caiam em mãos erradas, mas também garantir que a informação passada seja a real, ou seja, que não foi alterada por pessoas sem autorização e garantir que o sistema realize as suas tarefas sem falhas, por exemplo.
Com a integração dos sistemas, onde as empresas têm centralizado a administração de suas filiais e utilizam-se da internet como forma de transmissão de dados entre matriz e filial, a segurança deve ter um papel fundamental no processo de planejamento e implementação do sistema. Segundo Albuquerque e Ribeiro (2002, p. 1-2), os principais desafios para uma equipe de desenvolvimento com relação à segurança, são como desenvolver uma aplicação segura e como garantir esta segurança.
Para atender a necessidade de criação de um padrão para o desenvolvimento seguro de um sistema e evitar que fossem criados diversos padrões divergentes, foi instituído o comitê internacional Common Criteria (CC) e em 1999 foi homologada a norma ISO/IEC 15408 que define classes com famílias de atributos de segurança que o sistema deve atender para caracterizar-se um sistema seguro (ALBUQUERQUE; RIBEIRO, 2002, p. 7-8).
Diante do exposto, torna-se evidente a crescente preocupação com segurança e a necessidade do desenvolvimento de ferramentas que possam realizar verificações de requisitos de segurança de forma automatizada, dando agilidade ao processo no desenvolvimento e manutenção do sistema.
Software para Verificação de Conformidades de Sistemas à Norma ISO/IEC 15408 (TRAPP, 2010, p. 1), que a partir deste momento será referenciado como SCAN-CC, é uma ferramenta que dá suporte a realização e criação de um plano de auditoria e realiza a verificação de conformidades de segurança através de testes que podem ser desenvolvidos e agregados a ferramenta.
Este trabalho visa então desenvolver plugins de testes semi-automatizados para duas famílias de atributos de segurança da norma de segurança ISO/IEC 15408, a família security AUdit (FAU), Identification and Authentication (FIA), adaptando-os ao SCAN-CC.
|
| |
|
