- Fazer o Levantamento dos Riscos de Segurança (Área de Negocio, pode ser levantado riscos em todas as áreas).
- A partir dos Riscos Levantados criar os Requisitos de Segurança (Área de Analise, Arquiteto).
- Criar as proteções (controles) em cima dos Requisitos de Segurança (componentes ou classes de forma reutilizável)(Área de Arquitetura e Desenvolvimento).
- Realizar o Levantamento dos agentes da ameaça e as possíveis ameaças (qualquer área).
- Conforme as ameaças levantada, verificar quais são as vulnerabilidades, como testar e como dever ser tratadas, testes de caixa branca e caixa preta (Teste + Desenvolvimento).
- Fazer o Levantamento dos Ativos a serem protegidos.
- Criar politicas de Segurança para proteger meus Ativos.
- Entender o Valor desses Ativos para meu Negocio (Área todos).
1. Fazer o Levantamento dos Riscos de Segurança (Área de Negocio).
Exemplo:
- Roubo de Dados confidenciais da Aplicação.
- Todos os dados podem ser roubados, modificados ou apagados. Podendo prejudicar a reputação do Negocio.
2. A partir dos Riscos Levantados criar os Requisitos de Segurança (Área de Analise).
Todos os dados de Entrada e Saída devem ser tratados, não permitindo a inserção de caracteres especiais. (ex. | .. \ ‘).
3. Criar as proteções (controles, contra-medidas).
A arquitetura vai implementar a classe “tratamento_caracteres”, a classe realizará o tratamento de caracteres especiais, não permitindo a sua entrada e saída do sistema, a implementação deve ser reutilizada em outras classes ou sistemas caso necessário.
4. Realizar o Levantamento dos agentes da ameaça e as possíveis ameaças (qualquer área).
Agente da Ameaça
Ameaça ex-funcionário (desenvolvedor, administrador).
Ameaça
Acesso não autorizado ao banco de dados pela camada de Aplicação.
5. Vulnerabilidades, como testar e como dever ser tratadas (Teste + Desenvolvimento).
Vulnerabilidades:
SQL-Injection, LDAP Injection, XPath Injection etc.
Como Testar:
O Testes Realizará através da Ferramenta AppScan, realizará o teste Fuzzing de Segurança, inserindo várias scripts de testes pra encontrar possíveis problemas, tipo de teste caixa preta.
Tratamento:
O Desenvolvimento corrigirá possíveis problemas encontrados com a equipe de testes, corrigindo o código fonte da aplicação.
6. Fazer o Levantamento dos Ativos a serem protegidos.
Ativos
Banco de Dados, Código Fonte da Aplicação.
7. Criar politicas de Segurança para proteger meus Ativos.
PO-XYZ – Todo Funcionário desligado da empresa, deve-se remover todas as permissões do Banco de Dados.
CS-XYZ – Deve fazer uma Auditoria Interna para garantir que o processo de segurança esta sendo realizado.
8. Entender o Valor desses Ativos para meu Negocio (Área todos).
Entender a necessidade de proteger meu banco de dados, impedindo injeções pela camada de aplicação.
Security Target
Vai conter tudo que foi feito no processo de Segurança, todo levantamento realizado, ferramentas utilizadas, descrição dos controles ou componentes criados, ameaças e agentes da ameaça existentes, requisitos de segurança, riscos, politicas internas, levantamento das vulnerabilidades testadas e como testadas, quais ferramentas usadas, politicas de segurança interna, especificar as minhas fronteiras, normais técnicas.
Exemplo Security Target:
Nenhum comentário:
Postar um comentário