O Instituto OMNIS acaba de ser contratado por empresa de grande porte na área de Tecnologia da Informação para prestar os serviços de certificação de sistemas segundo a norma.
A demanda a ser atendida diz respeito à avaliação de aplicações visando à conformidade com as melhores práticas e testes de segurança para simular acessos indevidos.
A análise da segurança de aplicações tem o objetivo de verificar a conformidade dos requisitos de segurança de uma aplicação com os interesses e objetivos definidos previamente pela instituição.
A Análise baseada na ISO/IEC 15408 permite a construção de requisitos de segurança e funcionalidade.
Os procedimentos executados são os seguintes:
· Análise de Documentos - levantamento de informações sobre o nível de especificação da segurança e práticas de qualidade;
· Definição dos Requisitos de Segurança - definição dos requisitos funcionais de segurança agrupados em classes e famílias e definição dos requisitos de garantia, que estabelecem o nível de atendimento aos requisitos funcionais;
· Definição de Requisitos Funcionais de Segurança - reuniões conjuntas com o cliente, para concatenar os objetivos de segurança, funcionalidade e os requisitos de segurança.
· Análise de Código-fonte - Análise por amostragem no código-fonte para a verificação de conformidade; e
· Elaboração dos Gabaritos de Segurança - geração da documentação final dos gabaritos de segurança, contendo os requisitos de segurança para o ambiente e para a aplicação.
O teste de segurança utiliza técnicas de invasão e ferramentas específicas para obter acesso à aplicação. Os testes medem o nível de segurança da aplicação e confronta os resultados da análise de aplicação. Após esse levantamento são geradas recomendações de segurança.
Os procedimentos executados no teste de segurança são:
· Acordos prévios - definição das características dos testes, bem como toda a documentação de aceitação das tentativas de acesso;
· Teste de Segurança Externo - desenvolvimento de ações para a tentativa de acesso aos dados da aplicação.