SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE

SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE
RICARDO ALBUQUERQUE / BRUNO RIBEIRO

SINOPSE:

O objetivo deste livro é auxiliar o desenvolvedor de software, a incluir, melhorar ou simplesmente avaliar os aspectos de segurança da aplicação em desenvolvimento ou a ser desenvolvida, bem como do ambiente de desenvolvimento em si. Pode ser usado também pelo responsável pela implantação de sistemas para especificar a segurança de um sistema a ser encomendado ou avaliar a segurança de um sistema a ser adquirido.

DADOS TECNICOS:

Editora: Campus
ISBN-10: 8535210954
Número de páginas: 336
Lançamento: 1/8/2002


INDICE:

Introdução - XIX

CAPÍTULO 1: Segurança em desenvolvimento de software - 1


1.1. Segurança da informação - 1
1.2. Segurança em desenvolvimento de software - 5
1.2.1. Segurança do ambiente de desenvolvimento - 5
1.2.2. Segurança da aplicação desenvolvida - 6
1.2.3. Garantia de segurança - 7
1.3. Common Criteria for Information Technology Security Evaluation - 7
1.4. Nossa receita de bolo - 9
1.4.1. Especificação da segurança da aplicação - 10
1.4.2. Ambiente de desenvolvimento seguro - 12
1.4.3. Implementação conforme os requisitos de segurança - 17
1.4.4. Avaliação de segurança - 18
1.4.5. Testes de garantia de segurança - 19
CAPÍTULO 2: Avaliação do ambiente e estratégias de segurança - 21


2.1. Levantamento da política de segurança - 23
2.2. Levantamento de ameaças - 25
2.2.1. Os agentes - 26
2.2.2. Os mecanismos - 29
2.2.3. Os ativos - 30
2.2.4. Montando a tabela de ameaças - 32
2.3. Objetivos de segurança - 33
2.4. Premissas de segurança - 34
2.5. Avaliação de ambiente - um exemplo - 36
Sistema de Análise Preliminar de Perigo - APP - 36
E.1. Descrição do sistema - 36
E.2. Levantamento do ambiente - 37
2.6. Estratégias para o atendimento dos objetivos de segurança - 44
E.3. Especificação de segurança do sistema - 45
2.7. Estratégias genéricas de segurança - 57
2.7.1. Aplicação possui dados confidenciais - 57
2.7.2. Administrador não-confiável ou malicioso - 58
2.7.3. Desenvolvimento não-confiável - 58
2.7.4. Usuários precisam ser responsáveis por seus atos - 59
CAPÍTULO 3: Proteção de dados do usuário - 61


3.1. Política de controle de acesso - 63
3.1.1. Tipos de controle de acesso - 63
3.1.2. Definição do controle de acesso - 65
3.1.3. Quando usar controle de acesso - 69
3.1.4. Conformidade com a ISO/IEC 15.408 - 70
3.2. Política de controle de fluxo de informação - 74
3.2.1. Quando usar controle de fluxo de informação? - 77
3.2.2. Conformidade com a ISO/IEC 15.408 - 77
3.3. Importação e exportação de dados - 84
3.3.1. Quando precisamos nos preocupar com dados do sistema fora de seu controle? - 87
3.3.2. Conformidade com a ISO/IEC 15.408 - 88
3.4. Proteção de dados em transferência interna - 96
3.4.1. Quando usar proteção de dados em transferência interna? - 97
3.4.2. Conformidade com a ISO/IEC 15.408 - 97
3.5. Informação residual - 99
3.5.1. Quando usar proteção contra informação residual? - 100
3.5.2. Conformidade com a ISO/IEC 15.408 - 101
3.6. Manutenção de integridade de dados internos - 101
3.6.1. Quando se preocupar com manutenção da integridade? - 103
3.6.2. Conformidade com a ISO/IEC 15.408 - 104
CAPÍTULO 4: Auditoria - 109


4.1. Geração de dados da auditoria - 111
4.1.1. Quando gerar dados para auditoria? - 114
4.1.2. Conformidade com a ISO/IEC 15.408 - 114
4.2. Análise automática da trilha de auditoria - 119
4.2.1. Quando usar a análise automática de eventos? - 119
4.2.2 Conformidade com a ISO/IEC 15.408 - 120
4.3. Armazenamento da trilha de auditoria - 124
4.3.1. Quando usar o armazenamento de trilha de auditoria? - 126
4.3.2. Compliance com a ISO/IEC 15.408 - 126
CAPÍTULO 5: Autenticação - 129


5.1. Identificação × autenticação - 130
5.2. Autenticação e hash - 131
5.3. Múltiplos logins - 131
5.4. Mecanismo de autenticação - 132
5.4.1. Quando usar autenticação? - 133
5.4.2. Conformidade com a ISO/IEC 15.408 - 133
5.5. De