ISO 27034

Técnicas de segurança – Segurança de aplicativos, uma breve introdução

 

O S-SDLCSecure Software Development Life Cycle ou Ciclo de Vida do Desenvolvimento de Software Seguro, assim como o SDLCSoftware Development Life Cycle (Ciclo de Vida do Desenvolvimento de Software), é um framework de boas práticas para o desenvolvimento de software, que neste contexto conta com a adição da segurança.

Algumas companias seguem implementando a norma ISO/IEC 27001, entretanto, ainda faz-se necessario protejer informações armazenadas, coletadas e disponibilizadas por seus aplicativos. Falhas de segurança em aplicativos podem resultar em grandes perdas financeiras para as coporações.

Até a data de publicação deste artigo, o padrão ISO/IEC 27034 ainda está em desenvolvimento, por isso, em futuras consultas poderão haver mudanças em alguns itens. No entanto, ainda podemos realizar um estudo dos pontos deste padrão, pois certamente agregará uma boa compreensão prévia do assunto e ajudará a abrir a mente.

Os conceitos são explicados com base na publicação oficial da norma, disponível em: http://www.iso27001security.com/html/27034.html, acesso em 10/08/2018.

O padrão ISO/IEC 27034 é independente do método SDLC, ou seja, ele não exige um ou mais métodos, abordagens ou etapas de desenvolvimento específicos, mas é escrito de maneira geral para ser aplicável a todos eles. Desta forma, complementa os padrões e métodos de desenvolvimento de outros sistemas sem entrar em conflito com eles.

A norma ISO/IEC 27034, aborda todos os aspectos, desde a determinação dos requisitos de segurança das informações, até a proteção das informações acessadas por um aplicativo, bem como a prevenção do uso não autorizado e/ou ações de um aplicativo.

Esse padrão de várias partes fornece orientação sobre como especificar, projetar/selecionar e implementar controles de segurança da informação por meio de um conjunto de processos integrados ao ciclo de vida de desenvolvimento de sistemas (SDLC) de uma organização. É orientado para o processo.

Abrange aplicações de software desenvolvidas internamente, por aquisição externa, terceirização ou por meio de abordagens híbridas.

A segurança do aplicativo não é apenas para o desenvolvimento, mas para organizações que precisam usar e operar aplicações para fazer um negócio bem-sucedido.

Visão geral e conceitos: afirma explicitamente que este não é um padrão de desenvolvimento de aplicativos de software, um padrão de gerenciamento de projetos de aplicativos nem um padrão de ciclo de desenvolvimento de software. Sua finalidade é fornecer orientação geral que será apoiada, por sua vez, por métodos e padrões mais detalhados nessas áreas;

Explicitamente, adota uma abordagem de processo para especificar, projetar, desenvolver, testar, implementar e manter funções e controles de segurança em sistemas aplicativos.

Estrutura Normativa da Organização: destina-se a orientar as organizações na concepção, implementação, operação e auditoria do ONF.

Explica também a estrutura, os relacionamentos e as interdependências entre processos no ONF (Framework Normativo da Organização) – um conjunto de políticas, procedimentos, funções e ferramentas relacionadas à segurança de aplicativos.

Processo de gerenciamento de segurança de aplicativos: descreverá o Processo de Gerenciamento de Segurança de Aplicativos, ou seja, “o processo geral de gerenciamento de segurança em cada aplicativo específico usado por uma organização”.

Validação de segurança do aplicativo (rascunho): descreverá um processo de validação e certificação de segurança do aplicativo para avaliar e comparar o ‘nível de confiança’ de um sistema de aplicativos em relação aos requisitos de segurança da informação.

Estrutura de dados de controle de segurança de protocolos e aplicativos: define o A PLICAÇÃO S egurança C controle de estrutura de dados (ASC), fornecendo requisitos, descrições, representações gráficas e esquema XML para o modelo de dados.

Permite o estabelecimento de bibliotecas de funções de segurança de aplicativos reutilizáveis ​​que podem ser compartilhadas dentro e entre organizações .

Explica um conjunto mínimo de atributos essenciais de ASCs e o Modelo de Referência do Ciclo de Vida da Segurança da Aplicação.

Estrutura de dados de controle de segurança de protocolos e aplicativos, esquemas XML:  esquemas XML implementam o conjunto mínimo de requisitos de informações e atributos essenciais de ASCs e as atividades e funções do Modelo de Referência de Ciclo de Vida de Segurança do Aplicativo.

Estudos de caso: fornece exemplos de como os Application Security Controls (ASCs) podem ser desenvolvidos e documentados, definindo como a segurança das informações deve ser tratada no decorrer do desenvolvimento de software.

Estrutura de previsão de garantia:  refere-se a uma estrutura para fornecer a garantia necessária para confiar nas disposições de segurança de um programa de computador.

A norma encoraja os usuários a considerar, determinar/especificar e documentar a confiança ou criticidade (chamada “previsibilidade de segurança” nas formalidades do padrão) como base para decisões racionais por eles e por fornecedores de software sobre a maneira como o software é projetado, desenvolvido, testado, entregue, gerenciado, operado e mantido;

O padrão especifica os requisitos mínimos quando as atividades necessárias especificadas por um Application Security Control (ASC) são substituídas por um PASR (Prediction Application Security Rationale). O ASC mapeado para um PASR define o nível de confiança esperado para um aplicativo subsequente.

O uso de PASRs é aplicável a equipes de projeto que têm um ANF (Application Normative Framework) definido e um aplicativo original com um Nível Real de Confiança.

 

Conclusão: Embora ainda esteja em desenvolvimento, podemos observar que trata-se de uma norma bem completa e ampla sobre os assuntos referentes ao desenvolvimento seguro de software, bem como possui uma abrangência para outras áreas que gerenciem ou façam uso de aplicativos.