Você está na página 1de 28

Análise de Riscos em Requisitos de Segurança para Homologação de

Software

PONTOS DE
Perguntas Legendas PROBABILIDADE IMPÁCTO
PROBABILIDADE

Os cadastramentos dos usuários no


sistema devem preferencialmente seguir
a) É permitido cadastrar usuários conforme
o padrão de identificação (user-id) que é
padrão (EX: C999999)?
c999999 onde 999999 é número
seqüencial de 6 dígitos. DESEJÁVEL

Para o ideal aproveitamento deste


recurso, deseja-se que o tamanho
mínimo da senha seja customizável e
b) É possível customizar o tamanho mínimo de
gerenciável através da própria
senha?
aplicação. Caso não possa ser
customizável, deverá possuir o tamanho
mínimo de 6 dígitos. DESEJÁVEL

A troca de senha deve ser obrigatória


para o primeiro logon. É considerado
c) É obrigatória a troca de senha após o primeiro primeiro logon aquele quando o usuário
logon? se loga pela primeira vez ou quando o
administrador do sistema efetua uma
troca de senha do usuário. ESSENCIAL

A expiração periódica da senha é


fundamental para incrementar mais
d) Existe a expiração periódica de senhas dos
segurança ao logon do usuário. O
usuários após “n” dias decorridos?
sistema deve prover um período para
ocorrência deste evento. ESSENCIAL

O dicionário de senhas destina-se ao


armazenamento de diversas senhas
e) Existe um dicionário de senhas customizável ou consideradas fracas e que não devam
permite a integração c/ um dicionário? ser aceitas no instante da troca. Este
dicionário deverá permitir modificação
pela empresa. DESEJÁVEL

As senhas não podem ser frágeis,


portanto devem ser compostas por
f) Permite senhas compostas por alguma parte do regras. Uma dessas regras é a não
nome do usuário? permissão de utilização de qualquer
parte do seu nome na composição da
senha. ESSENCIAL

Todas as contas dos usuários devem


poder ser desativadas. Em alguns
casos, os usuários são criados por um
período determinado, que coincide com
g) Existe expiração da conta do usuário?
a validade do contrato de prestação de
serviços, ficando a conta do usuário
expirada após ultrapassar a data de
término. ESSENCIAL

A cópia de um determinado usuário para


h) É permitida a cópia de usuário no processo de outro é importante para efeito de ganho
cadastramento de usuários? de tempo e confiabilidade no resultado.
DESEJÁVEL

É um padrão de segurança, onde o


usuário deve ter sua conta
imediatamente bloqueada caso sejam
feitas mais de “n” tentativas
i) Existe ação de bloqueio do usuário após “n” consecutivas de logon sem sucesso
tentativas de logon com senha incorreta? decorrentes de senha errada. O
bloqueio deve ocorrer mesmo que as
tentativas consecutivas se dêem em
momentos diferentes. Um logon correto
zera a contagem. ESSENCIAL
CONTROLE DE ACESSO DE USUÁRIOS

Este número “n” de tentativas pode ser


j) O número de tentativas “n” para bloqueio é ajustado pelo próprio CEPROMAT
customizável? conforme política de segurança vigente.
DESEJÁVEL

GSI Página 1 09/14/2010


CONTROLE DE ACESSO DE USUÁRIOS

Em alguns casos existe a necessidade


k) É permitido ao administrador do sistema de bloqueio de um ou vários usuários.
bloquear usuários de forma individual ou por um Isto pode ser em decorrência de uma
filtro? auditoria, suspeita de fraude ou
demissão. ESSENCIAL

Este permite que o Help Desk efetue a


troca de senha e o desbloqueio das
l) Permite um perfil com acesso exclusivo para
contas de usuários na condição
desbloquear e trocar a senha do usuário? Isto
exclusiva de bloqueio por tentativas de
deve ocorrer somente para usuários bloqueados
logon errado e não de contas de
por tentativas de logon errado.
usuários bloqueados pelo administrador
do sistema. ESSENCIAL

m) Existe histórico das últimas senhas utilizadas e Esta memória é o registro de utilização
que impeça a sua reutilização por um dado ciclo das últimas senhas utilizadas e que não
de trocas? deverão se repetir. DESEJÁVEL

Não deve existir qualquer tipo de usuário


n) Não é permitida a existência de usuário e/ou inscrito no código do programa. Isto
senha inscrito no código do programa. Seu fragiliza a segurança pois sua senha é
sistema atende a este ponto? comum e pode ser identificada.
ESSENCIAL
A administração em massa permite que
o) Permite a administração em massa de determinada modificação comum a
usuários? muitos usuários seja feita a partir de
uma única tela. DESEJÁVEL

A troca de senha é uma das principais


garantias contra violação de acesso.
p) É permitida a troca de senha para todos os Todos os usuários devem poder ter suas
usuários? senhas trocadas, mesmo os usuários
nativos/especiais do sistema.
ESSENCIAL

Não devem ser permitidos vários


q) Usuário Master - É permitido que apenas um usuários com acessos irrestritos. Deve
usuário tenha tal privilégio. Seu sistema atende existir apenas um usuário, que deverá
este requisito? ter sua senha trocada pelo CEPROMAT.
ESSENCIAL

Os usuários administradores possuem


acessos mais restritos que o master. O
administrador é personalizado a uma
r) Permite a segregação de funções para os
função, por exemplo DBA, backup,
usuários administradores?
Segurança de Informações, etc. Por isso
deve existir segregação de acesso.
ESSENCIAL
Tipo de Controle de Acesso popular em
sistemas operacionais como o
UNIX(ROOT); O acesso amplo é
definido aos donos da informação
s) Os usuários Administradores e Gestores do
(EX:GESTOR); Uma distribuição
Sistema possuem controle de acesso baseado no
formalizada de responsabilidades de
Modelo Proprietário?
funcionalidades é obtida. ESSENCIAL

Cada usuário ou grupo tem um acesso


t) Demais usuários possuem controle de acesso específico a uma determinada
do tipo discriminado? informação. ESSENCIAL.
u) O sistema possui recurso de desconexão de A desconexão de usuários após um
terminal por tempo de inatividade por parte do determinado tempo de inatividade no
usuário; (EX: 5 minutos)? sistema é necessária. ESSENCIAL.
Forma de checar se após X horas de
v) O sistema possui recurso que solicita a
operação no sistema, o usuário é
reautenticação de tantas em tantas horas, sem
realmente o usuário que se autentificou
derrubar a sessão?
no sistema. ESSENCIAL
A operação do sistema para
w) O sistema possui recurso de limitação do
determinados tipos de usuários, pode
tempo de conexão a partir de um determinado
ser customizada, por dias da semana e
horário;(EX: A partir das 6:00 até às 20:00 horas)?
faixas de horários. ESSENCIAL

a) O sistema permite reconhecer a autenticidade


Os usuários administradores e gestores
básica do usuário através de senha e palavra-
ao acessarem informações
chave adicional? Senhas baseadas em um
confidenciais, o farão através de
segredo que apenas o usuário conhece poderão
autenticação. ESSENCIAL
ser utilizadas?
As senhas e palavras-chave possuem
b) É possível definir tempo de alteração das
um determinado tempo de validade.
senhas e palavras chaves para autenticação?
DESEJÁVEL
c) A estrutura das senhas e das palavras-chaves A troca de senha e palavras-chave deve
é a mesma apontada nos itens de controle de ser solicitada ao usuário após um
acesso? determinado tempo pré-estabelecido.
ESSENCIAL

GSI Página 2 09/14/2010


Recurso que permite que o usuário seja
alertado XX dias antes do período pré-
d) O sistema permite prever prazo a partir do qual
estabelecido, que a sua senha e/ou
se deve alertar o usuário sobre a necessidade de
palavra-chave de autenticação vai se
renovação de seus dados de autenticação?
expirar e que ele pode mudar esses
dados se quiser. ESSENCIAL
No dia-a-dia de um sistema, usuários
cujo perfil venham a requerer
autenticação para acesso a
determinados tipos de informacões,
e) O sistema possui indicador de conta bloqueada possuem recursos de indicação de conta
(flag) com histórico: por expiração dos dados de bloqueada (flag) com histórico, seja por
autenticação e por número de tentativas erradas motivo de expiração dos dados de
de autenticação, por outros motivos: afastamento autenticação, seja por número de
por determinação superiores, licença prêmio, tentativas erradas de autenticação, seja
doença, etc.... por outros motivos: afastamento por
determinação superior, licença-prêmio,
doença, etc.... ESSENCIAL

Pode ocorrer de uma determinada


tentativa de autenticação no sistema
corresponder aos dados de um usuário
f) O sistema é capaz de detectar tentativas de
que já se encontra operando no sistema.
autenticação de usuários que já se encontram
Neste caso quem garante quem é o
ativos no sistema e prever após um determinado
verdadeiro usuário? Aquele que está
tempo mínimo, o bloqueio da conta em questão?
AUTENTICAÇÃO

tentando entrar no sistema agora, ou o


usuário que já se encontra no sistema?
O bloqueio da conta em questão,
nestas circunstâncias se fazem
necessárias. DESEJÁVEL

Todas as contas dos usuários devem


poder ser desativadas. Em alguns
casos, os usuários são criados por um
período determinado, que coincide com
g) Existe expiração da conta do usuário?
a validade do contrato de prestação de
serviços, ficando a conta do usuário
expirada após ultrapassar a data de
término. ESSENCIAL

A cópia de um determinado usuário para


h) É permitida a cópia de usuário no processo de outro é importante para efeito de ganho
cadastramento de usuários? de tempo e confiabilidade no resultado.
DESEJÁVEL.
Não devem ser permitidos vários
i) Usuário Master - É permitido que apenas um usuários com acessos irrestritos. Deve
usuário tenha tal privilégio. Seu sistema atende existir apenas um usuário, que deverá
este requisito? ter sua senha trocada pelo CEPROMAT.
ESSENCIAL

Os usuários administradores possuem


acesso mais restritos que o master. O
administrador é personalizado a uma
j) Permite a segregação de funções para os
função, por exemplo DBA, backup,
usuários administradores?
Segurança de Informações, etc. Por isso
deve existir segregação de acesso.
ESSENCIAL

Tipo de Controle de Acesso popular em


sistemas operacionais como o
k) Os usuários Administradores e Gestores do UNIX(ROOT); O acesso amplo é
Sistema possuem controle de acesso baseado no definido aos donos da informação (EX:
Modelo Proprietário? GESTOR); Uma distribuição formalizada
de responsabilidades de funcionalidades
é obtida. ESSENCIAL

Cada usuário ou grupo tem um acesso


l) Demais usuários possuem controle de acesso
específico a uma determinada
do tipo discriminado?
informação. ESSENCIAL.

GSI Página 3 09/14/2010


A partir de um determinado perfil
existente, pode-se associar um ou mais
a) A partir de um perfil, podemos associar um ou
usuários ao mesmo. Isto facilita a
mais usuários?
administração de associação de perfis a
usuários. (DESEJÁVEL).
Deve ser permitida a customização das
funcionalidades do perfil, para
b) Os perfis são customizáveis quanto a
adequação aos processos e às
concessão de acessos?
CONTROLE DE PERFIS

necessidades de negócio do
CEPROMAT. DESEJÁVEL
A segregação de funções é vital para
inibir fraudes, criando dependência entre
c) Os perfis permitem segregação de funções? diferentes responsáveis para conclusão
de uma dada atividade. Exemplo é o
feito e conferido. ESSENCIAL
A delegação de responsabilidade é uma
atividade comum, e pode ser temporária
d) Permite que os perfis associados aos usuários,
ou não. Quando um funcionário entrar
tenham data de expiração, possibilitando
em seu período de férias, há
delegações temporárias de
necessidade de delegar,
atividades/responsabilidades?
temporariamente, algumas de suas
atividades a seu confiado. DESEJÁVEL

Informações de qual tipo de criptografia


a) O tipo de criptografia utilizado é a assimétrica,
e qual o tamanho das chaves utilizadas
com chaves de no mínimo 128 bits?
são necessárias. ESSENCIAL.

Informações de como são construídas


b) Como as chaves são armazenadas? Como as
as chaves e como eleas são
chaves são acessadas e construídas?
armazenadas são necessárias.
ESSENCIAL.
CRIPTOGRAFIA

Informações consideradas essenciais e


c) O sistema permite prever criptografia para confidenciais para o negócio do cliente
determinados tipos de informações e ações: Ex: requerem criptografia. ESSENCIAL.
usuário, senha, palavra-chave, identificador de
credor (Nome, CNPJ ou CPF), identificadores de
contas bancárias (Banco, agência e número de
conta corrente) e valores numerários?
d) O sistema posui mecanismo de não repúdio na De forma a se evitar que usuários
origem. (Assinatura eletrônica) e mecanismo de solicitantes de algum dado confidencial,
não repúdio no recebimento. neguem a solicitação, e de que usuários
(Uso de Unidade Certificadora com respaldo neguem o recebimento de informações
jurídico)? confidenciais. O não repúdio na origem
e no recebimento faz-se necessário.
ESSENCIAL.
O log é essencial para o registro dos
a) O aplicativo possibilita geração de log? eventos do sistema, seja por usuário ou
por falha do mesmo. ESSENCIAL

A trilha de auditoria permite rastrear os


eventos ocorridos com sucesso, com os
usuários administradores e gestores.
Deve conter em seus registros a data e
b) Todas as tentativas de acesso com e sem hora de logon/logoff, a identificação do
sucesso dos usuários administradores e gestores autor(usuário), data e hora do evento,
são auditadas? identificação do evento (inclusão,
Incluir data (dia, hora, ano), usuário, identificação alteração e exclusão), valor do campo
do terminal do usuário; antes e depois da modificação, os
eventos de manutenção do
sistema/banco de dados, falhas do
sistema, acessos ao banco de dados,
etc. ESSENCIAL

Esta informação permitirá rastrear


c) Permitir a identificação da máquina originadora
fisicamente o autor do evento.
do evento por IP ADDRESS e MAC ADDRESS?
ESSENCIAL
Desta forma não perdemos qualquer
d) Os logs de auditoria são incrementais? histórico de eventos, pois os mesmos
Exportáveis? não são sobrepostos pelos eventos mais
novos. DESEJÁVEL
Os logs são registros importantíssimos e
e) Os logs não devem ser modificados por devem se manter íntegros e inalterados.
qualquer tipo de usuário (nem pelos Qualquer tentativa de modificação de
administradores). É atendido por seu sistema? seus registros, seja pelo sistema ou fora
dele
O logdeve
deveser
serinibida. ESSENCIAL
devidamente
f) O log deve ser armazenado remotamente e não armazenado e mantido íntegro. O
estar acessível, apenas com autorização da acesso ao mesmo deve ser controlado e
Segurança de Informações e Auditoria. Isto é autorizado pelos responsáveis, Auditoria
possível? e Segurança da Informação.
ESSENCIAL
g) O sistema permite registrar qualquer alteração As alterações de tabelas financeiras e
nas tabelas financeiras e de orçamento ? de orçamento são fundamentais.
ESSENCIAL
h) Todas as conexões diretas de usuários Todas as ações dos usuários
administradores e gestores ao banco de dados administradores e gestores são
são auditáveis? auditáveis. ESSENCIAL
AUDITORIA

GSI Página 4 09/14/2010


i) É possível detectar/registrar anormalidades no As transações financeiras possuem
volume de transações financeiras (custeio, grupo volumes pre-estabelecidos que devem
de despesas, empenhos, receita disponível)? É ser monitorados e em caso de se
AUDITORIA

possível incluir no sistema a necessidade de um ultrapassar um determinado valor a ser


segundo liberador autorizado, caso o valor a ser estabelecido, um segundo liberador
liberado, ultrapasse um valor X pré-estabelecido?. autorizado será necessário, para se
concretizar a liberação. ESSENCIAL.

j) O sistema de auditoria permite: seleção: buscas,


ordenações, classificações, filtros dos dados Por facilidade de operação o módulo
auditados (por data, usuário, por objeto do de auditoria deve ser de fácil utilização,
sistema, etc…)? permitindo filtragem de informações
auditáveis buscada. ESSENCIAL

k) Um tamanho XX (espaço) das trilhas de O tamanho para armazenamento dos


auditoria foi previsto? dados de auditoria deve ser previsto.
ESSENCIAL.
l) O módulo de auditoria possui recurso de aviso O tamanho previsto para a trilha de
ao administrador pelo sistema quando da auditoria não deve ser alcançado, e
proximidade da exaustão da trilha de auditoria? caso isso venha a ocorrer o sistema não
Em caso de estouro, da trilha de auditoria o deve parar de operar. ESSENCIAL.
sistema não pára?

m) O envio de trilhas mais antigas para uma mídia Mídias de armazenamento maiores e
de armazenamento maior e menos cara foi menos caras devem ser previstas para o
previsto? sistema. ESSENCIAL.
n) Um período mínimo de manutenção da trilha de O período mínimo de XX dias deve ser
auditoria foi previsto? previsto para a manutenção da trilha de
o) Prever eventos de auditoria das importações e auditoria. ESSENCIAL
As importações e exportações de dados
exportações de dados; com o Banco do Brasil devem ser
registradas. ESSENCIAL. As
comunicações confidenciais entre o
sistema e outros sistemas também
devem ser registradas . DESEJÁVEL.

p) O módulo de auditoria é capaz de registrar : As tentativas de autenticação sem


data, hora e usuário que esteja tentando realizar sucesso devem ser registradas,
autenticação sem sucesso? apontando a data, hora e usuário.
DESEJÁVEL
q) O módulo de auditoria registra as tentativas de O recurso de detecção de tentativa de
autenticação com contas que já se encontram autenticação, com dados de um usuário
operando no sistema? que já se encontra utilizando o sistema
objetiva alertar que uma atividade
suspeita já ocorreu, ou está prestes a
ocorrer. ESSENCIAL.

Notificações de tentativas de invasão


r) O módulo de auditoria é capaz de notificar
ajudam os adminstradores a
determinados administradores quando ocorrer
monitorarem atividades suspeitas.
uma tentativa de invasão de forma online?
DESEJÁVEL.
Este mecanismo deve garantir a correta
identificação do usuário, se necessário
a) Possui um mecanismo forte (por exemplo
por mais de um nível de autenticação ou
AMBIENTE WEB

certificado) de autenticação do usuário?


outro mecanismo de segurança.
ESSENCIAL
b) A solução possui geração de alertas quando há
eventos de atualização de versão (devida ou Este tipo de recurso aumenta a
indevida) e ataques (Ex: tentativa de utilização de segurança da solução. DESEJÁVEL
uma senha)?

O(s) usuário(s) de conexão com o banco


a) É permitida a troca de senha do(s) usuário(s)
devem ter sua(s) senha(s) trocada(s) por
de conexão com o banco por uma senha que o
uma senha que o CEPROMAT julgue
CEPROMAT julgue segura?
segura. ESSENCIAL

As senhas necessariamente devem ser


armazenadas criptografadas, garantindo
sua confidencialidade. O algoritmo de
b) As senhas são armazenadas criptografadas?
criptografia deve ser reconhecidamente
seguro e documentalmente justificado.
ESSENCIAL

Os usuários nativos, utilizados para


manutenção do banco de dados,
c) Existem usuários nativos do banco de dados
deverão ser substituídos por usuários
com acesso privilegiado? Quais são? As senhas
equivalentes pessoais. Os usuários
devem ser trocadas por senhas que a
nativos devem ter suas senhas trocadas
CEPROMAT julgue segura.
por senhas seguras e armazenados em
local seguro. ESSENCIAL
BANCO DE DADOS

GSI Página 5 09/14/2010


BANCO DE DADOS

O usuário de conexão com o banco de


dados, que é utilizado pela aplicação
d) O usuário de conexão com o banco de dados
para permitir acesso a todos os usuários
deve ter sua senha trocada por outra que o
do sistema, deve ter sua senha trocada
CEPROMAT julgue segura. Isto é possível?
por uma que o CEPROMAT julgue
segura. ESSENCIAL

Há necessidade de manter a
e) Acessos externos(remotos) a nossas
confidencialidade e integridade das
informações, por parceiros ou clientes externos,
informações acessadas por parceiros e
implica que as informações devam ser
prestadores de serviço. Uma das
armazenadas de forma segura, sendo
maneiras de manter a confidencialidade
criptografada. Seu sistema atende a este ponto?
é a criptografia. ESSENCIAL

Protocolos e portas de aplicação no


servidor de banco de dados necessitam
ser conhecidas. As portas de aplicações
e protocolos que não são necessários,
f) Todos os protocolos e portas de aplicações devem ser desabilitados/removidos. As
utilizadas no servidor de banco de dados são portas de aplicações que serão
conhecidas? utilizadas devem ser verificadas se são
seguras, ou se uma outra porta de
aplicação permite a realizaçào da
comunicação necessária, de uma forma
mais segura. ESSENCIAL

O Relatório é essencial para a


administração de usuários e perfis. Deve
a) Possui relatório de Usuário x Perfil (por filtro)?
permitir extrair as informações de forma
filtrada ou não. ESSENCIAL.

O Relatório é essencial para a


administração de usuários e perfis. Deve
b) Possui relatório de Perfil x Usuário (por filtro)?
permitir extrair as informações de forma
filtrada ou não. ESSENCIAL.

O Relatório permite visualizar os


usuários que não estão utilizando o
RELATÓRIOS

sistema após determinado número de


c) Possui relatório de Perfis x Autorizações?
dias, desde que tenham sido criados em
datas anteriores à data desejada.
ESSENCIAL.

d) Possui relatório de usuários bloqueados (um O Relatório destina a verificar os


para bloqueio pelo administrador e o outro para o usuários bloqueados pelo administrador
bloqueio por tentativas de logon com senha do sistema ou por senha incorreta.
errada ou tentativas de autenticações erradas) ESSENCIAL
Este tipo de relatório destina-se a
e) Possui relatório de usuários com acessos
verificar os acessos realizados pelos
críticos?
usuários críticos. ESSENCIAL
f) Possui relatório informando quais usuários que
O Relatório permite visualizar os perfis e
não se logam por um dado período(customizável)
suas configurações com opção de ser
considerando que foram criados anteriormente ao
gerado com filtros. ESSENCIAL
período declarado?

Seja qual for a plataforma fim do sistema


a ser adquirida, com ou sem tecnologia
web, deve ter formalmente garantido
a) O sistema operacional, em conjunto com o
que seja instalada num ambiente
aplicativo, permite a aplicação de todos os
seguro, onde o servidor receba a
patches e checklist, mais recentes disponíveis no
aplicação de todos os patches e
mercado por seus fabricantes?
checklist, mais recentes disponíveis no
mercado por seus fabricantes.
ESSENCIAL
AMBIENTE OPERACIONAL

Só serão liberados os recursos


b) Descrever tecnicamente os serviços, as portas
estritamente necessários à execução da
e protocolos utilizados pelo aplicativo
aplicação. ESSENCIAL
As senhas dos usuários masters devem
ser trocadas por senhas que o
c) O CEPROMAT fará a troca de todas as senhas
CEPROMAT julgue seguras. As senhas
dos usuários masters que serão envelopadas e
deverão ser envelopadas e
armazenadas em local seguro. Isto é possível?
armazenadas em local seguro.
DESEJÁVEL

d) Existe algum mecanismo de segurança Mecanismos de segurança de ambiente


específico para este ambiente? Qual? Descrevê- de rede ajudam a aumentar a segurança
lo. do sistema. DESEJÁVEL

Não deve existir qualquer tipo de


e) É possível que todos os usuários,
usuário, com qualquer perfil, que não
administrativos ou masters, do ambiente possam
tenha sido documentado neste
ser administrados pelo CEPROMAT?
formulário. ESSENCIAL

GSI Página 6 09/14/2010


É importante que a aplicação
a) A aplicação deve ser capaz de notificar o
proporcione um elevado poder de
administrador, de forma automática, quando
administração, que possibilite identificar
ocorrer uma tentativa de violação ou qualquer
falhas ou tentativas de violação.
falha que apareça. Isto é possível?
DESEJÁVEL
Descrever como é garantida a
b) Detalhar e documentar tecnicamente como é
integridade das informações.
garantida a integridade dos dados.
ESSENCIAL

As interfaces devem garantir a


confidencialidade e integridade dos
c) Detalhar tecnicamente todas as interfaces de dados durante todos os trechos
envio e recebimento de dados pela aplicação, percorridos pela informação. Deve ser
comprovando que o processo é seguro. detalhado e documentado como este
APLICAÇÃO

processo é feito e quais mecanismos de


segurança são utilizados. ESSENCIAL

Este tempo de time-out é essencial para


d) A aplicação deve controlar o tempo de
garantir que uma sessão não fique
ociosidade do usuário, cancelando a sessão após
ociosa e onerando os recursos de rede e
um determinado tempo (customizável). É
equipamento desnecessariamente.
possível?
ESSENCIAL
e) Caso o aplicativo possua a funcionalidade de
Descrever a funcionalidade do envio de
envio de e-mail, declarar formalmente o tamanho
e-mail. DESEJÁVEL
e o conteúdo dos mesmos.
Deve ser detalhado tecnicamente e
f) Descrever tecnicamente os mecanismos demonstrando formalmente quais são os
utilizados para proteção da aplicação no momento mecanismos de segurança utilizados
da realização de uma interface para manter a confidencialidade e
integridade da interface. ESSENCIAL
Descrever os procedimentos de
recuperação de desastre. ESSENCIAL
CONTINGÊNCIA

a) Descrever tecnicamente o procedimento de


recuperação de desastre (DRP – Disaster
Recovery Process) que detalhe os serviços do
sistema essenciais para recuperação de dados

A integridade é a garantia de que a


informação saiu do ponto A e chegou no
a) A importação de dados pelo sistema de dados
ponto B na sua forma original. A
do Banco do Brasil e de outros sistemas
confidencialidade é a garantia de que
IMPORTAÇÃO DE DADOS

corporativos do Estado ( Exemplos: Sistema ARH,


somente que tem acesso a uma
DÍVIDA ATIVA, DÍVIDA PÚBLICA,
determinada informação, irá acessar
ARRECADAÇÃO, CONTRATOS, ETC...) tem a
essa informação. A disponibilidade é a
sua integridade, confidencialidade e
garantia de que os dados estão
disponibilidade garantida ?
disponiveis a qualquer momento.
b) Os pontos por onde a informação que vem do ESSENCIAL
Redes envolvidas entre os sistemas que
Banco do Brasil ou de outros sistemas precisam se comunicar.
( Exemplos: Sistema ARH, DÍVIDA ATIVA, Protocolos/portas de aplicação
DÍVIDA PÚBLICA, ARRECADAÇÃO, utilizadas; ESSENCIAL
CONTRATOS, ETC...) são conhecidos?
A integridade é a garantia de que a
informação saiu do ponto A e chegou no
a) A exportação de dados pelo sistema de dados
ponto B na sua forma original. A
do Banco do Brasil e de outros sistemas
confidencialidade é a garantia de que
corporativos do Estado ( Exemplos: Aistema ARH,
EXPORTAÇÃO DE DADOS

somente que tem acesso a uma


DÍVIDA ATIVA, DÍVIDA PÚBLICA,
determinada informação, irá acessar
ARRECADAÇÃO, CONTRATOS, ETC...) tem a
essa informação. A disponibilidade é a
sus integridade, confidencialidade e
garantia de que os dados estão
disponibilidade garantida ?
disponiveis a qualquer momento.
ESSENCIAL
Redes envolvidas entre os sistemas que
b) Os pontos por onde a informação saem para o
Banco do Brasil ou para outros sistemas precisam se comunicar.
( Exemplos: Aistema ARH, DÍVIDA ATIVA, Protocolos/portas de aplicação
DÍVIDA PÚBLICA, ARRECADAÇÃO, utilizadas. ESSENCIAL
CONTRATOS, ETC...) são conhecidos?
Exemplos de dados e atributos de
segurança do sistema a se proteger:
AUTOPROTEÇÃO DOS DADOS DE

a) O sistema oferece proteção às próprias funções definições de controle de acesso, dados


de segurança do sistema? de autenticação, trilha de auditoria.
ESSENCIAL.
SEGURANÇA

b) A solução prevê autoproteção do ambiente O sistema não tem como manter a


sobre a qual o sistema roda (disponibilidade de segurança sobre uma plataforama e/ou
servidores, rede, ambiente, replicação, backup, rede comprometida. ESSENCIAL
links de comunicação de dados, acessos
discados, etc...)?
c) O sistema possui recursos de testes da Testar os recursos de autoproteção das
autoproteção? funções e atributos de segurança.
DESEJÁVEL
a) É possível a retomada do sistema, a fim de As sessões em aberto são mantidas em
permitir o retorno a um estado seguro e sem caso de problemas no sistema principal.
RECUPERAÇÃO

derrubar as sessões em aberto? DESEJÁVEL


SEGURA

O sistema continua operando via o


b) Em caso de solução em cluster e replicações cluster. ESSENCIAL
de dados, a unidade replicada, assume?
automaticamente a disponibilidade dos serviços;

GSI Página 7 09/14/2010


a) O sistema possui recursos que permite o As funções de segurança
gerenciamento das funções de segurança? implementadas são gerenciadas, de
modo a se verificar que somente os
administradores, ou os usuários que
possuem acesso a determinadas
funções ou informações de segurança
do sistema estão tendo os referidos
acessos. As funções, atributos e dados
de segurança só são modificadas por
b) O sistema possui recursos que permite o usuário
As comde
funções perfil para essa função.
segurança
GERENCIAMENTO DE SEGURANÇA

gerenciamento dos atributos de segurança? ESSENCIAL são gerenciadas, de


implementadas
modo a se verificar que sómente os
administradores, ou os usuários que
possuem acesso a determinadas
funções ou informações de segurança
do sistema estão tendo os referidos
acessos. As funções, atributos e dados
de segurança só são modificados por
c) O sistema possui recursos que permite o usuário
As comde
funções perfil para essa função.
segurança
gerenciamento dos dados de segurança? ESSENCIAL são gerenciadas, de
implementadas
modo a se verificar que somente os
administradores, ou os usuários que
possuem acesso a determinadas
funções ou informações de segurança
do sistema estão tendo os referidos
acessos. As funções, atributos e dados
de segurança só são modificadas por
d) Existe Gerência de Configuração dos Fontes? usuário com perfil das
O gerenciamento paraconfigurações
essa função. e
Os códigos são documentados? ESSENCIAL dos códigos-fonte,
documentação
constitui uma prática normatizada
internacionalmente. ESSENCIAL.

As versões de linguagens de
a) Qual a versão de JAVA e de JVK que será desenvolvimento podem requerer
utilizada? atualizações que corrigem/minimizam
brechas de segurança. DESEJÁVEL
O uso de privilégios para classes e/ou
b) Serão utilizados privilégios para classes/applets
applets aumenta a segurança do
específicos baseados na fonte e/ou assinatura?
sistema. ESSENCIAL
c) Serão utilizados mecanismos de Protection O uso desses tipos de mecanismos
Domain, CodeSource, Permission, GuardedObject aumenta a segurança do sistema.
e Access Controller? ESSENCIAL
O uso desse tipo de mecanismo
d) Será utilizado o recurso de PolicyClass? aumenta a segurança do sistema.
ESSENCIAL
e) A manipulação dos Objetos mais criticos irá O uso desse recurso aumenta a
requerer a passagem de uma referência? segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
f) Cada Classe terá um ProtectionDomain?
segurança do sistema. ESSENCIAL
g) Está prevista alguma mistura de Protection O uso desse recurso não é
Variables e PermissionChecks? recomendado. ESSENCIAL
h) Na alocação de diretórios/ arquivos locais será O uso desse recurso aumenta a
utilizado o recurso FilePermission Class? segurança do sistema. ESSENCIAL
i) Serão implementados acessos a uma
determinada máquina (via endereço IP ou via O uso desse recurso aumenta a
hostnames), utilizando-se o recurso segurança do sistema. ESSENCIAL
SocketPermission do Permission Subclass?
j) Serão implementados acessos a uma
determinada porta de aplicação ou faixas de O uso desse recurso aumenta a
LINGUAGEM JAVA

portas, utilizando-se o recurso SocketPermission segurança do sistema. ESSENCIAL


do Permission Subclass?
k) De que forma os direitos a propriedades serão
O uso desse recurso aumenta a
dados via o recurso PropertyPermission do
segurança do sistema. ESSENCIAL
Permission SubClass?

l) Todas as criações de novas permissões O uso desse recurso aumenta a


implicarão em mudanças no Security Manager? segurança do sistema. ESSENCIAL

m) O recurso de Security Manager será utilizado O uso desse recurso aumenta a


para proteger um método e todas as instâncias? segurança do sistema. ESSENCIAL

n) O recurso GuardedObject será utilizado para


O uso desse recurso aumenta a
proteger uma referência numa instância
segurança do sistema. ESSENCIAL
individual?
o) O recurso de Java Cryptografy Architeture será O uso desse recurso aumenta a
utilizado? segurança do sistema. ESSENCIAL
p) O recurso de Java Secure Socket Extension O uso desse recurso aumenta a
será utilizado? segurança do sistema. ESSENCIAL
q) O recurso de Java Authentication and O uso desse recurso aumenta a
Authorization Service será utilizado? segurança do sistema. ESSENCIAL
r) Será executado algum teste para a checagem O uso desse recurso aumenta a
de eventuais erros em bytecode ou classloader? segurança do sistema. ESSENCIAL

GSI Página 8 09/14/2010


s) Que recursos sobre os applets estão previstos
O uso desse recurso aumenta a
de serem utilizados sobre os applets de forma a
segurança do sistema. ESSENCIAL
se minimizar a evazão de medidas de segurança?

t) Esta previsto teste dos recursos de segurança O uso desse recurso aumenta a
implementados no desenvolvimento? segurança do sistema. ESSENCIAL
u ) Está previsto a utilização de Runtime Security O uso desse recurso aumenta a
Check Algorithm? segurança do sistema. ESSENCIAL

GSI Página 9 09/14/2010


S

ra Homologação de

RISCO

GSI Página 10 09/14/2010


s
s
o

m
a
i
s

r
e
s
t
r
i
t
o
s

q
u
e

m
a
s
t
e
r
.

a
d
m
i
n
i
s
t
r
a
d
o
r

p
e
r
s
o
n
a
l
i
z
a
d
o

u
m
a

f
u
n
ç
ã
o
,

p
o
r

e
x
e
m
p
l
o

D
B
A
,

b
a
c
k
u
p
,

S
e
g
u
r
a
n
ç
a

d
e

I
n
f
o
r
m
a
ç
õ
e
s
,

e
t
c
.
GSI P Página 11 09/14/2010
o
r

i
s
s
GSI Página 12 09/14/2010
GSI Página 13 09/14/2010
GSI Página 14 09/14/2010
GSI Página 15 09/14/2010
GSI Página 16 09/14/2010
GSI Página 17 09/14/2010
GSI Página 18 09/14/2010
Respostas (S / N /
Perguntas
NA)

Subcaracterísticas
NÚMERO DE CAMADAS O sistema possui arquitetura de
02 a 03 camadas (apresentação,
aplicação e banco de dados)?

PROTOCOLOS E Todos os protocolos e portas de


PORTAS DE aplicação a serem utilizadas entre
APLICAÇÃO(MATRIZ DE os componentes do sistema e
FLUXO) com outros sistemas, com a
Internet e outros, foram
levantados?

GERENCIAMENTO As comunidades SNMP utilizam


SNMP nomes default do tipo Public ou
Private?

PORTAS DE O sistema permite atribuir às


APLICAÇÃO aplicações não padronizadas,
DEDICADAS AO portas de aplicação diferentes?
SISTEMA
ARQUITETURA DE CAMADAS

INTERFACES DE REDE Para cada computador servidor


POR COMPUTADOR utilizado, a solução está prevendo
SERVIDOR uma placa de rede para
administração e backup, uma
placa de rede para apresentação
ou aplicação ou banco de dados,
uma placa de rede para
interligacão ao Firewall e uma
placa de rede reserva?

SWITCHES DA REDE Os switches onde os hosts


INTERNA servidores encontram-se
interligados, possuem
processadores e fontes de
alimentação redundantes?
ACESSOS REMOTOS Os acessos aos hosts servidores
PARA ADMINISTRAÇÃO e dispositivos de conectividade
aos quais os hosts servidores do
sistema estão interligados
ocorrerão de forma segura?

PORTAS DE ACESSO Os dispositivos de conectividade


FÍSICO DOS aos quais os hosts servidores do
DISPOSITIVOS DE sistema estão conectados, estão
CONECTIVIDADE com as portas console e auxiliar
bloqueadas ou com acesso
controlado?

SISTEMA O sistema operacional de cada


OPERACIONAL computador já foi levantado?
Informar par aceitável
CAPACITY PLAN DOS COMPUTADORES SERVIDORES

PROCESSADORES O tipo e a
quantidade/especificações de
cada processador por
computador servidor foram
levantados?

QUANTIDADE DE O tipo e a quantidade de memória


MEMÓRIA RAM Ram por computador servidor
foram levantados?

CAPACIDADE DE DISCO O tipo e a quantidade de espaço


RÍGIDO em disco rígido por computador
servidor foi levantado?

FIREWALL COM A Os endereços IP válidos


INTERNET utilizados pelo servidor Web da
aplicação são gerados via NAT?
FIREWALL
FIREWALL ENTRE OS As camadas de aplicação,
SEGMENTOS DOS apresentação, banco de dados
FIREWALL

COMPONENTES DO estão separadas entre si por


SISTEMA firewalls?

REDUNDÂNCIA DOS Os firewalls são redundantes?


FIREWALL

SISTEMA DE DETECÇÃO A rede possui sistemas de


DE INTRUSÃO DE REDE detecção de intrusão na entrada
da Internet?
IDS

SISTEMA DE DETECÇÃO Os hosts servidores mais críticos


DE INTRUSÃO DE HOST possuem IDS internos?
SERVIDOR

SISTEMA DE NO-BREAK Os hosts servidores são


alimentados por mais de um
sistema de no-break?
SISTEMA DE ENERGIA

GRUPO MOTOR Os hosts servidores possuem


GERADOR mais de uma fonte de alimentação
de grupo-motor gerador?

FONTES DE Os computadores servidores


ALIMENTAÇÃO DOS possuem fontes de alimentação
COMPUTADORES redundantes?
SERVIDORES

SEGURANÇA FÍSICA O ambiente físico onde ficam os


servidores, possui controle de
acesso restrito aos usuários de
suporte e operação? Existe
sistema de câmeras monitorando
os hosts servidores? Existe
acesso controlado por biometria?

PROTEÇÃO CONTRA O ambiente físico onde ficam os


INCÊNDIOS servidores, possui proteção
contra incêndios?
FÍSICO
CABEAMENTO O sistema de cabeamento
ESTRUTURADO E ÓPTICO estruturado e óptico que os hosts
servidores do sistema utilizam,
AMBIENTE FÍSICO

estão protegidos? São


redundantes?
REDUNDÂNCIA DOS Foi previsto redundância para
HOSTS SERVIDORES cada host servidor do sistema? É
utilizado Cluster? De que tipo é o
Cluster?

AMBIENTES DE Existem ambientes distintos e


DESENVOLVIMENTO, segregados para
HOMOLOGAÇÃO E desenvolvimento, homologação e
TESTES testes? O ambiente de
desenvolvimento permite o envio
dos fontes para fora ou
recebimento de fontes de
bibliotecas de fora?

CONTROLE DE O ambiente físico onde ficam os


TEMPERATURA E servidores, possui controle de
UMIDADE temperatura e umidade?

HARDENING Cada host servidor teve na


instalação do seu sistema
operacional, o processo de
SISTEMA OPERACIONAL DOS HOSTS

hardening realizado?

SUPORTE AOS O suporte de sistema operacional


SISTEMAS é controlado, gerando registro em
SERVIDORES

log, de todas as atividades


realizadas por um determinado
usuário com perfil de suporte
(administrador)?

ATUALIZAÇÕES DAS Existe processo/procedimentos


VERSÕES DE SISTEMA operacional de atualização de
OPERACIONAL patches, etc…. dos sistemas
operacionais?

HARDENING Cada host servidor de banco de


dados teve na instalação do seu
banco de dados, o processo de
hardening realizado?
DOS
SUPORTE AO BANCO O suporte de banco de dados é
DE DADOS controlado, gerando registro em
log, de todas as atividades
realizadas por um determinado
usuário com perfil de suporte
(administrador de banco de
dados)?
BANCO DE DADOS

ATUALIZAÇÕES DAS Existe processo/procedimentos


VERSÕES DE SISTEMA operacionais de atualização de
OPERACIONAL versões, etc…. do banco de
dados?

BACKUP Existe procedimento operacional


de realização de backup do banco
de dados e informações
essenciais? Qual o tipo de backup
utilizado? Existe segurança para
as mídias de backup? Existe
backup externo (cópia de
segurança em local remoto)?
Existe procedimento de teste
regular dos backups realizados?
Justificativas/Coment
ários/Necessidade de
orçamento adicional Anexos Legendas
para a implementação
do item.

As arquiteturas atuais,
utilizam 03 camadas
(apresentação, aplicação e
banco de dados) e cada
camada representada por um
segmento de rede diferente.
ESSENCIAL

l Habilitar os protocolos e abrir


portas de aplicação
necessários para a interação
do sistema com outras redes e
sistemas. ESSENCIAL

Recomenda-se a utilização de
nomes de comunidade SNMP
diferentes de Public e Private.
ESSENCIAL

Portas de aplicações
dedicadas a determinadas
funções não-padrão do
sistema podem existir, e um
número de porta diferenciado
pode ser atibuido durante o
desenvolvimento. DESEJÁVEL

Segmentos diferentes são


adotados para: cada camada
(apresentação, aplicação e
banco de dados), para
administração/backup e para
interligação de cada servidor
ao Firewall. Para cada servidor
utilizado, uma placa de rede
reserva é prevista.
ESSENCIAL.

Os dispositivos de
conectividade switches devem
oferecer alta disponibilidade
de conectividade aos hosts
servidores. ESSENCIAL
Os acessos aos hosts
servidores e dispositivos de
conectividade aos quais os
hosts servidores do sistema
estão interligados devem ser
feitos via SSH (versão mais
atuailizada) ou HTTPS.
ESSENCIAL

As portas console e auxiliar


dos dispositivos de
conectividade devem ser
possível estarem bloqueadas
ou com acesso controlado.
DESEJÁVEL

Para cada sistema operacional


adotado, prever após a sua
instalação as atualizações de
patches e serviços.O
Hardening de cada sistema
operacional deve ser feito.
ESSENCIAL

A quantidade necessária e o
desempenho necessário para
cada servidor deve ser
providenciado, prevendo-se
uma margem de folga.
ESSENCIAL
A quantidade de memória Ram
necessária varia de acordo
com: a aplicação, o número de
usuários e número de
aplicações extras executadas
pelo Servidor. ESSENCIAL

O tipo e a quantidade de
espaço em disco rígido
necessários varia de acordo
com: a aplicação, com o
número de usuários e número
de aplicações extras
executadas pelo Servidor.
ESSENCIAL

O endereço IP do servidor de
aplicações Web é resultado do
processo de translação de
endereço de rede (NAT).
ESSENCIAL
A segregação entre as
diferentes camadas da
arquitetura do sistema
otimizam o desempenho de
tráfego, e aumentam a
segurança. ESSENCIAL

A segurança fornecida pelo


firewall pode ser
comprometida, caso não haja
redundância e alta
disponibilidade do sistema de
firewall. ESSENCIAL

A detecção de intrusão na
borda da rede com a Internet
constitui uma forma pró-ativa
de detecção de intrusão e
atividades suspeitas.
ESSENCIAL

Sistemas de detecção de
intrusão internos são
indicados para os hosts
servidores mais criticos do
sistema. ESSENCIAL
Um sistema de no mínimo,
dois no-breaks é
recomendado. ESSENCIAL

Um sistema de pelo menos


dois grupos-motores
geradores é o recomendado.
ESSENCIAL.
Os hosts computadores
servidores devem possuir
fonte de alimentação
redundante, e cada fonte
alimentada a partir de quadros
de alimentação distintos.
ESSENCIAL.

A proteção de acesso físico é


imprescindível para os ativos
críticos da organização.
ESSENCIAL.

A proteção contra incêndio é


fundamental para os ativos
críticos da organização.
ESSENCIAL.
A segurança do sistema de
cabeamento é essencial para a
manutenção da operação dos
ativos. ESSENCIAL.

Os hosts servidores críticos


devem possuir redundância. O
uso de Cluster é recomendado.
ESSENCIAL

A utilização de ambientes
distintos e segregados para
desenvolvimento,
homologação e testes é uma
recomendação internacional
de desenvolvimento seguro. O
fluxo controlado de entrada e
saída dos fontes deve ser
planejado e seguro.
ESSENCIAL.

O controle da temperetuta e da
umidade do ambiente onde
ficam os hosts servidores é
necessário. ESSENCIAL

O processo de hardening do
sistema operacional aumenta a
segurança em profundidade do
host servidor. ESSENCIAL

O controle das atividades


realizadas pelo pessoal de
suporte de sistema
operacioanl é uma
recomendação de segurança
fundamental. ESSENCIAL.

A atualização dos sistemas


operacionais, é um processo
contínuo, que a equipe de
suporte deve realizar dentro do
seu plano de trabalho.
ESSENCIAL

O processo de hardening do
banco de dados aumenta a
segurança em profundidade do
host servidor de BD.
ESSENCIAL
O controle das atividades
realizadas pelo pessoal de
suporte de banco de dados é
uma recomendação de
segurança imprescindível.
ESSENCIAL.

A atualização do banco de
dados, é um processo
contínuo, que a equipe de
suporte deve realizar dentro do
seu plano de trabalho.
ESSENCIAL

O backup é fundamental no
dia-a-dia da vida de um
sistema. A sua segurança, e a
certeza de que cada backup
realizado funciona, em casos
de necessidades de restore,
devem constituir atividades
do dia-a-dia do suporte
técnico. ESSENCIAL.