treinamento em levantamento de requisitos de segurança
TRANSCRIPT
Implantação SAMM v1.0
Treinamento em Levantamento de Requisitos de Segurança
Por: Leivan de Carvalho
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Levantamento de Requisitos de Segurança
• Geração e transmissão de conhecimento• Criação de Documentação
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Requisitos de Segurança
• Requisitos de Confidencialidade• Requisitos de Integridade• Requisitos de Autenticação• Requisitos de Autorização• Requisitos de Imunidade• Requisitos de Detecção de Invasão• Requisitos de Não Repudiação• Requisitos de Auditoria• Requisitos de Sobrevivência ou Tolerância à Falhas• Requisitos de Protecção Física
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Como obter?
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Brainstorming
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Decomposição de Políticas
• SOX• PCI DSS• Authentication policy• HIPAA
Documentos de políticasInternos e externos
• Confidencialidade• Transmissão segura• Privacidade
Objectivos de alto nível
Regras de políticas
• Classificação e tratamento da informação
• Gestão de identidade
Requisitos de segurança
• Validação de input• Tratamento de excepção• Codificação de output
Requisitos de segurança do Software
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Análise de Dados
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Questionários
• Quais serão os utilizadores que estarão autorizados a fazerem alterações, e precisarão de ser auditados e monitorados?
• O quão rápido será necessário que o software recupere após algum mal funcionamento?
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Estórias de Utilizadores Maliciosas (Misuse Cases)
• "Como um hacker, eu posso enviar dados prejudiciais em URLs, para que eu possa aceder os dados e funções para as quais eu não estou autorizado.“
• "Como um hacker, eu posso ler e até modificar todos os dados que são de entrada e saída por sua aplicação."
MTTI - CNTI - Desenvolvimento de Software - Implantação SAMM v1.0
Estudo de Caso
Site de Inclusão Digital