Escolar Documentos
Profissional Documentos
Cultura Documentos
Software
PONTOS DE
Perguntas Legendas PROBABILIDADE IMPÁCTO
PROBABILIDADE
m) Existe histórico das últimas senhas utilizadas e Esta memória é o registro de utilização
que impeça a sua reutilização por um dado ciclo das últimas senhas utilizadas e que não
de trocas? deverão se repetir. DESEJÁVEL
necessidades de negócio do
CEPROMAT. DESEJÁVEL
A segregação de funções é vital para
inibir fraudes, criando dependência entre
c) Os perfis permitem segregação de funções? diferentes responsáveis para conclusão
de uma dada atividade. Exemplo é o
feito e conferido. ESSENCIAL
A delegação de responsabilidade é uma
atividade comum, e pode ser temporária
d) Permite que os perfis associados aos usuários,
ou não. Quando um funcionário entrar
tenham data de expiração, possibilitando
em seu período de férias, há
delegações temporárias de
necessidade de delegar,
atividades/responsabilidades?
temporariamente, algumas de suas
atividades a seu confiado. DESEJÁVEL
m) O envio de trilhas mais antigas para uma mídia Mídias de armazenamento maiores e
de armazenamento maior e menos cara foi menos caras devem ser previstas para o
previsto? sistema. ESSENCIAL.
n) Um período mínimo de manutenção da trilha de O período mínimo de XX dias deve ser
auditoria foi previsto? previsto para a manutenção da trilha de
o) Prever eventos de auditoria das importações e auditoria. ESSENCIAL
As importações e exportações de dados
exportações de dados; com o Banco do Brasil devem ser
registradas. ESSENCIAL. As
comunicações confidenciais entre o
sistema e outros sistemas também
devem ser registradas . DESEJÁVEL.
Há necessidade de manter a
e) Acessos externos(remotos) a nossas
confidencialidade e integridade das
informações, por parceiros ou clientes externos,
informações acessadas por parceiros e
implica que as informações devam ser
prestadores de serviço. Uma das
armazenadas de forma segura, sendo
maneiras de manter a confidencialidade
criptografada. Seu sistema atende a este ponto?
é a criptografia. ESSENCIAL
As versões de linguagens de
a) Qual a versão de JAVA e de JVK que será desenvolvimento podem requerer
utilizada? atualizações que corrigem/minimizam
brechas de segurança. DESEJÁVEL
O uso de privilégios para classes e/ou
b) Serão utilizados privilégios para classes/applets
applets aumenta a segurança do
específicos baseados na fonte e/ou assinatura?
sistema. ESSENCIAL
c) Serão utilizados mecanismos de Protection O uso desses tipos de mecanismos
Domain, CodeSource, Permission, GuardedObject aumenta a segurança do sistema.
e Access Controller? ESSENCIAL
O uso desse tipo de mecanismo
d) Será utilizado o recurso de PolicyClass? aumenta a segurança do sistema.
ESSENCIAL
e) A manipulação dos Objetos mais criticos irá O uso desse recurso aumenta a
requerer a passagem de uma referência? segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
f) Cada Classe terá um ProtectionDomain?
segurança do sistema. ESSENCIAL
g) Está prevista alguma mistura de Protection O uso desse recurso não é
Variables e PermissionChecks? recomendado. ESSENCIAL
h) Na alocação de diretórios/ arquivos locais será O uso desse recurso aumenta a
utilizado o recurso FilePermission Class? segurança do sistema. ESSENCIAL
i) Serão implementados acessos a uma
determinada máquina (via endereço IP ou via O uso desse recurso aumenta a
hostnames), utilizando-se o recurso segurança do sistema. ESSENCIAL
SocketPermission do Permission Subclass?
j) Serão implementados acessos a uma
determinada porta de aplicação ou faixas de O uso desse recurso aumenta a
LINGUAGEM JAVA
t) Esta previsto teste dos recursos de segurança O uso desse recurso aumenta a
implementados no desenvolvimento? segurança do sistema. ESSENCIAL
u ) Está previsto a utilização de Runtime Security O uso desse recurso aumenta a
Check Algorithm? segurança do sistema. ESSENCIAL
ra Homologação de
RISCO
m
a
i
s
r
e
s
t
r
i
t
o
s
q
u
e
m
a
s
t
e
r
.
a
d
m
i
n
i
s
t
r
a
d
o
r
p
e
r
s
o
n
a
l
i
z
a
d
o
u
m
a
f
u
n
ç
ã
o
,
p
o
r
e
x
e
m
p
l
o
D
B
A
,
b
a
c
k
u
p
,
S
e
g
u
r
a
n
ç
a
d
e
I
n
f
o
r
m
a
ç
õ
e
s
,
e
t
c
.
GSI P Página 11 09/14/2010
o
r
i
s
s
GSI Página 12 09/14/2010
GSI Página 13 09/14/2010
GSI Página 14 09/14/2010
GSI Página 15 09/14/2010
GSI Página 16 09/14/2010
GSI Página 17 09/14/2010
GSI Página 18 09/14/2010
Respostas (S / N /
Perguntas
NA)
Subcaracterísticas
NÚMERO DE CAMADAS O sistema possui arquitetura de
02 a 03 camadas (apresentação,
aplicação e banco de dados)?
PROCESSADORES O tipo e a
quantidade/especificações de
cada processador por
computador servidor foram
levantados?
hardening realizado?
As arquiteturas atuais,
utilizam 03 camadas
(apresentação, aplicação e
banco de dados) e cada
camada representada por um
segmento de rede diferente.
ESSENCIAL
Recomenda-se a utilização de
nomes de comunidade SNMP
diferentes de Public e Private.
ESSENCIAL
Portas de aplicações
dedicadas a determinadas
funções não-padrão do
sistema podem existir, e um
número de porta diferenciado
pode ser atibuido durante o
desenvolvimento. DESEJÁVEL
Os dispositivos de
conectividade switches devem
oferecer alta disponibilidade
de conectividade aos hosts
servidores. ESSENCIAL
Os acessos aos hosts
servidores e dispositivos de
conectividade aos quais os
hosts servidores do sistema
estão interligados devem ser
feitos via SSH (versão mais
atuailizada) ou HTTPS.
ESSENCIAL
A quantidade necessária e o
desempenho necessário para
cada servidor deve ser
providenciado, prevendo-se
uma margem de folga.
ESSENCIAL
A quantidade de memória Ram
necessária varia de acordo
com: a aplicação, o número de
usuários e número de
aplicações extras executadas
pelo Servidor. ESSENCIAL
O tipo e a quantidade de
espaço em disco rígido
necessários varia de acordo
com: a aplicação, com o
número de usuários e número
de aplicações extras
executadas pelo Servidor.
ESSENCIAL
O endereço IP do servidor de
aplicações Web é resultado do
processo de translação de
endereço de rede (NAT).
ESSENCIAL
A segregação entre as
diferentes camadas da
arquitetura do sistema
otimizam o desempenho de
tráfego, e aumentam a
segurança. ESSENCIAL
A detecção de intrusão na
borda da rede com a Internet
constitui uma forma pró-ativa
de detecção de intrusão e
atividades suspeitas.
ESSENCIAL
Sistemas de detecção de
intrusão internos são
indicados para os hosts
servidores mais criticos do
sistema. ESSENCIAL
Um sistema de no mínimo,
dois no-breaks é
recomendado. ESSENCIAL
A utilização de ambientes
distintos e segregados para
desenvolvimento,
homologação e testes é uma
recomendação internacional
de desenvolvimento seguro. O
fluxo controlado de entrada e
saída dos fontes deve ser
planejado e seguro.
ESSENCIAL.
O controle da temperetuta e da
umidade do ambiente onde
ficam os hosts servidores é
necessário. ESSENCIAL
O processo de hardening do
sistema operacional aumenta a
segurança em profundidade do
host servidor. ESSENCIAL
O processo de hardening do
banco de dados aumenta a
segurança em profundidade do
host servidor de BD.
ESSENCIAL
O controle das atividades
realizadas pelo pessoal de
suporte de banco de dados é
uma recomendação de
segurança imprescindível.
ESSENCIAL.
A atualização do banco de
dados, é um processo
contínuo, que a equipe de
suporte deve realizar dentro do
seu plano de trabalho.
ESSENCIAL
O backup é fundamental no
dia-a-dia da vida de um
sistema. A sua segurança, e a
certeza de que cada backup
realizado funciona, em casos
de necessidades de restore,
devem constituir atividades
do dia-a-dia do suporte
técnico. ESSENCIAL.