Anlise e Desenvolvimento de Sistemas

4 semestre
Aula n 12
Prof. Paulo Rangel
paulo.rangel@tyaro.com.br
Segurana e Auditoria de Sistemas
Segurana e Auditoria de Sistemas

Contedo Previsto
AUDITORIA EM SISTEMAS DE INFORMAO:
ISO/IEC 27034:2011
VIDEO da VII SEGINFO (agosto/2012) sobre o uso da ISO 27034:2011 versus a
ISO/IEC 15408:2009 (Implementando segurana em desenvolvimento com a
verdadeira ISO)

ISO/IEC 27034:2011

Novo Padro Internacional para desenvolvimento seguro de
aplicaes;
Lanado em Novembro de 2011 a primeira parte da norma com o
escopo limitado em aplicaes;
Desenvolvida para ser utilizada de forma integrada aos outros
padres da srie 27000, incluindo os requisitos da ISO/IEC
27001.
O seu objetivo implementar o processo de: Secure Software
Development Life Cycle (S-SDLC), e assim ajudar as organizaes a
construrem a segurana em suas aplicaes durante o ciclo de
vida de seu desenvolvimento.


ISO/IEC 27034:2011

Adota uma abordagem sistemtica para a gesto da segurana,
ciclo PDCA na abordagem do processo, e a implementao da
segurana da informao com base na gesto de riscos.

ISO/IEC 27034:2011

O seu maior benefcio abranger no apenas o
desenvolvimento prprio de aplicaes, mas tambm
aplicativos adquiridos de terceiros e aplicaes em que o
desenvolvimento terceirizado.
Desta forma, oferece uma abordagem abrangente para a
segurana de aplicativos que fortalece as questes da
segurana de informaes.

ISO/IEC 27034:2011

Dividida em 6 partes: a primeira trata dos conceitos,
princpios e viso geral da segurana de aplicativos.
Parte 2: Implementao do Processo de Gerenciamento de
Segurana em Aplicaes (ASMP);
Parte 3: Processo de Gerenciamento de Segurana em
Aplicaes;
Parte 4: Validao de Segurana em Aplicaes (Framework para
Avaliao e Certificao);
Parte 5: Padro estruturado para os Controle de Segurana em
Aplicaes (ASC) ;
Parte 6: Controles de Segurana para Requisitos especficos

ISO/IEC 27034:2011

Cronograma com as previses de publicao:
Parte 2: Novembro de 2015;
Parte 3: Novembro de 2017
Parte 4: Novembro de 2017
Parte 5: Novembro de 2016
Parte 6: Novembro de 2016

ISO/IEC 27034:2011

ISO/IEC 27034:2011 versus ISO/IEC 15408:2009
Qual a Melhor?
Diferenas principais?
Outros Frameworks ISO sobre o tema:
ISO / IEC 12207: 2008 Sistemas e engenharia de software - processos de ciclo
de vida de software
ISO / IEC 15288: 2008 Sistemas e engenharia de software - processos de ciclo
de vida do sistema
ISO 90003: 2004 Engenharia de software - Diretrizes para a aplicao da ISO
9001:2000 para o software de computador
ISO / IEC 17021 Avaliao da conformidade - Requisitos para organismos
que prestem servios de auditoria e certificao de sistemas de gesto
........


A Famlia de Normas ISO 27000

Alm das normas ISO 27001 e ISO 27002, outras normas da famlia ISO 27000 foram publicadas,
aumentando, assim, o processo de cobertura de segurana da informao das normas da famlia ISO
27000.
A ISO 27005, publicada em 2008, constituda da gesto de risco de segurana da informao.
A ISO 27006, publicada em 2007, contm os requisitos de auditoria e certificao dos sistemas de
gesto de segurana da informao.
Outras normas esto em processo de desenvolvimento para completar a famlia:
ISO 27000 abranger o vocabulrio de gesto da segurana da informao;
ISO 27003 abordar um guia de implementao de um sistema de gesto de segurana da
informao;
ISO 27004 incidir sobre os mecanismos de mediao e de relatrio de um sistema de gesto de
segurana da informao;
ISO 27007 ser o guia de auditoria do sistema de gesto de segurana da informao;
ISO 27011 ser o guia de gesto de segurana da informao para organizaes de
telecomunicaes baseadas na ISO/IEC 27002;
ISO 27012 ser o guia de gesto de segurana da informao para servios de governo eletrnico;
ISO 27032 ser um guia para cybersegurana;
ISO 27033 ir tratar de segurana de redes (atual ISO/IEC 18028:2006);
ISO 27034 ser o guia para segurana de aplicaes; e
ISO 27037 mostrar as tcnicas de segurana na gesto de segurana da informao, setor a setor.
A Famlia de Normas ISO 27000

A ISO 27001 a nica passvel de certificao. A empresa que desejar se certificar dever definir um escopo
de certificao, seguir as instrues da ISO 27001 e achar uma empresa credenciada para realizar o processo
de certificao. Em dezembro de 2008, havia 4987 empresas certificadas. A Norma ISO 27001:2005 possui
um sistema de gesto de segurana da informao (ISMS Information Security Management System) que a
parte do sistema de gesto global, baseado na abordagem de riscos de negcio, para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao e est
dividido nos 11 domnios a seguir:
Poltica de segurana;
Organizao da segurana da informao;
Gesto de ativos;
Segurana em recursos humanos;
Segurana fsica e do ambiente;
Gerenciamento das operaes e comunicaes;
Controle de acessos;
Aquisio, desenvolvimento e manuteno de sistemas de informao;
Gesto de incidentes de segurana da informao;
Gesto da continuidade do negcio; e
Conformidade.
A questo de definio de escopo para certificao pode ser definida como uma falha da norma, porque
possibilita que ocorra a situao da parte certificada da organizao estar em tima situao em relao
segurana da informao e o restante encontrar-se em um nvel inferior.
REFERENCIAS

ISO, ISO 27034:201, www.iso.org
COBRE BEM, ISO27034:2011 - Novo padro internacional para
desenvolvimento seguro de aplicaes,
http://www.cobrebem.com/artigosSeguranca.html
Other info Security Standards
http://www.iso27001security.com/html/others.html
NETO, Joo Souza, POLTICA E CULTURA DE SEGURANA, UNB
http://www.cic.unb.br/~jhcf/MyBooks/cegsic/2009_2011/04_D4TextoBase.pdf


Segurana e Auditoria de Sistemas

DVIDAS