| |
| Acadêmico(a): Eduardo Persuhn |
| Título: Modelo de avaliação automatizada de requisitos de segurança em sistemas conforme a norma ISO/IEC 15.408 |
| |
| Introdução: |
Na década de 60 surgiram os sistemas de computadores, com o objetivo de auxiliar ou até substituir processos manuais de gerência de informações e processamento de dados corporativos. Desde a época ocorreram avanços tecnológicos tanto em relação aos sistemas computadorizados quanto aos microcomputadores nos quais são executados. Diante desta evolução, as grandes organizações estão cada vez mais dependentes dos auxílios providos pelos sistemas computadorizados (DIAS, 2000, p.2). Segundo Howard e LeBlanc (2005, p.33), “à medida que cresce a importância da Internet, os aplicativos estão se tornando altamente interconectados.” A partir deste momento a internet pôde ser explorada de forma maliciosa, ou seja, uma pessoa mal intencionada poderia explorar a interconexão dos sistemas em seu beneficio. Este ato é chamado de ataque. (HOWARD; LEBLANC, 2005, p.33).
A partir desta ideia tem-se a premissa de que todo dispositivo interconectado está exposto ao risco de sofrer ataques e que além da preocupação com a segurança visando o usuário do sistema, devem-se levar em conta outros meios que podem explorar a vulnerabilidade.
Diante desta necessidade de segurança para sistemas computadorizados, a adoção de critérios para realizar a avaliação de segurança é imprescindível. Existe uma norma homologada pela ISO chamada ISO/IEC 15.408, conhecida também com Common Criteria (CC), que é uma referência para a avaliação da segurança de Tecnologia da Informação (TI). Segundo Albuquerque e Ribeiro (2002, p. 7), “o objetivo da norma é fornecer um conjunto de critérios fixos que permitem especificar a segurança de uma aplicação de forma não ambígua a partir de características do ambiente da aplicação, e definir formas de garantir a segurança da aplicação para o cliente final”.
No CC foram definidos sete níveis de garantia de segurança denominados Evaluation Assurance Level (EAL). Foi estabelecido que os níveis EAL-5 ao EAL-7 são inviáveis devido à rigidez de seus requisitos. Portanto os níveis reconhecidos pela ISO são os EAL-1 ao EAL-4 (ALBUQUERQUE; RIBEIRO, 2002). Mesmo com a adoção de critérios, a tarefa de auditar sistemas torna-se cada vez mais difícil devido aos avanços tecnológicos e ao ambiente heterogêneo e complexo criado pela área de informática (DIAS, 2000, p.2-3).
Diante do exposto, percebe-se a necessidade da criação de um modelo de avaliação automatizada de requisitos de segurança em sistemas, com base na norma ISO/IEC 15.408. Este modelo deve ser seguido durante a etapa de desenvolvimento do sistema alvo, ou seja, deve-se ter em mente que aquele sistema será construído de forma que se possa realizar a avaliação dele em conformidade com a norma. O modelo utiliza uma tecnologia que disponibiliza funções através da internet que são usadas como serviços, chamada de web services, onde o sistema alvo deve chamar os serviços que implementam os requisitos da norma relevantes para o tipo de segurança exigida. Este modelo é necessário para tornar a avaliação da segurança homogênea e independente do sistema alvo e da implementação dos requisitos. Desta forma não é necessário refazer a implementação da lógica de avaliação dos requisitos da norma para cada sistema. |
| |
|
