Please enable JavaScript.
Coggle requires JavaScript to display documents.
14 - Aquisição, desenvolvimento e manutenção de sistemas segundo a ISO…
14 - Aquisição, desenvolvimento e manutenção de sistemas segundo a ISO 27002
14.1.1 - Análise e especificação dos requisitos de segurança da informação
Controle: Sugere-se que os requisitos selecionados com a SegInfo sejam incluídos nas aquisições ou melhorias de sistemas existentes
Diretrizes para implementação: Identificar os requisitos de SegInfo usando vários métodos, como: requisitos de conformidade oriundo de políticas e regulamentações, modelos de ameaças, análise críticas de incidetes ou o uso de limiares de vulnerabilidades
Controles e requisitos de SegInfo devem refletir o valor da informação envolvida para o negócio e o seu potencial impacto negativo, que possam em resultar de uma falha da SegInfo
Identificação e a gestão de requisitos de SegInfo e os processos associados sejam integrados nos estágios iniciais dos projetos de sistemas de informação
14.1 - Requisitos de segurança de sistemas de informação
Objetivo: garantir que a segurança da informação faça parte de todo o ciclo de vida dos sistemas de informação, incluindo os requisitos para sistemas de informações que oferecem serviçoes sobre as redes públicas
14.1.2 - Serviços de aplicação seguros em redes públicas
Controle: Informações envolvidas nos serviços de aplicação que trafegam sobre redes públicas sejam protegidas de eventuais atividades fraudulentas, disputas contratuais e divulgação e modificação não autorizadas
Diretrizes para implementação: Considerar os seguintes itens: nível de confiança que cada parte requer na identidade alegada, como por exemplo, através de autenticação;
processos de autorização associados de quem pode aprovar conteúdos, publicar ou assinar documentos transacionais chaves;
requisitos de proteção de quaisquer informações confidenciais;
entre outros
Acordos de serviços de aplicação entre parceiros sejam apoiados por acordo formal que comprometa ambas as partes com os termos de serviços acordados
14.1.3 - Protegendo as transações nos aplicativos de serviços
Controle: informações envolvidas em transações nos aplicativos de serviços sejam protegidas para prevenir transmissões incompletas, erros de roteamento, alteração não autorizada da mensagem, divulgação não autorizada, duplicação ou reapresentação da mensagem não autorizada
Diretrizes para implementação: Uso de assinaturas eletrônicas para cada uma das partes envolvidas;
caminho de comunicação entre todas as partes envolvidas seja criptogradas;
entre outros
14.2 - Política de desenvolvimento seguro
Objetivo: Garantir que a SegInfo está projetada e implementada no desenvolvimento do clico de vida dos sistemas de informação
14.2.1 - Política de desenvolvimento seguro
Controle: regras para desenvolvimento de sistemas e software sejam estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organização
Diretrizes para implementação: Requisito para construir um serviço, uma arquitetura, um software e um sistema seguro. Alguns itens: segurança do ambiente de desenvolvimento;
requisitos de segurança na fase do projeto;
repositórios seguros;
entre outros.
14.2.2 - Procedimentos para controle de mudanças de sistemas
Controle: as mudanças no ciclo de vida no desenvolvimento deve ser controladas utilizando procedimentos formais de controle de mudanças
Diretrizes para implementação: Documentadas e reforçados para assegurar a integridade do sistema, das aplicações e dos produtos;
introdução de novos sistemas e mudanças maiores em sistemas existentes siga um processo formal que documente a documentação, especificação, teste, controle de qualidade e gestão de implementação
14.2.3 - Análise crítica das aplicações pós mudanças nas plataformas operacionais
Controle: Quando as plataformas operacionais forem modificadas, as aplicações críticas para o negócio sejam rigorosamente e criticamente analisadas para assegurar que não houve nenhum impacto nas operações da organização ou da segurança
Diretrizes para implementação: Convém que quando possível e praticável, os pacotes de softwares providos pelos fornecedores sejam
utilizados sem modificações
14.2.4 - Restrições sobre mudanças em pacotes de Softwares
Controle: Convém que modificações em pacotes de software sejam desencorajadas e estejam limitadas às
mudanças necessárias, e todas as mudanças sejam estritamente controladas.
Diretrizes para implementação:
14.2.5 - Principios para projetar sistemas seguros
Controle: Convém que princípios para projetar sistemas seguros sejam estabelecidos, documentados, mantidos e
aplicados para qualquer implementação de sistemas de informação.
Diretrizes para implementação: Procedimentos para projetar sistemas de informação seguros, baseados nos princípios da engenharia de segurança sejam estabelecidos, documentados e aplicados nas atividades internas de
engenharia de sistemas de informação da organização; entre outros
14.2.6 - Ambiente seguro para desenvolvimento
Controle: Convém que as organizações estabeleçam e protejam adequadamente ambientes de desenvolvimento
seguros para os esforços de desenvolvimento e integração de sistemas, que cubram todo o ciclo de
vida de desenvolvimento de sistema.
Diretrizes para implementação: Um ambiente de desenvolvimento seguro inclui pessoas, processos e tecnologia, associados com a
integração e o desenvolvimento de sistemas.
14.2.7 - Desenvolvimento terceirizado
Controle: Convém que a organização supervisione e monitore as atividades de desenvolvimento de sistemas
terceirizado.
Considerar os seguintes pontos: acordos de licença, propriedade do código e direitos de propriedade intelectual relacionado com o
conteúdo terceirizado; requisitos contratuais para um projeto seguro, práticas de código e teste; teste de aceitação relativos à qualidade e exatidão dos itens entregues; entre outros
14.2.8 - Testes de segurança do sistema
Controle: Convém que os testes de funcionalidades de segurança sejam realizados durante o desenvolvimento de
sistemas.
Diretrizes para implementação: Convém que testes de aceitação independente, também sejam realizados (tanto para desenvolvimento
interno como para desenvolvimento terceirizado); Sistemas novos e atualizados requerem verificação e testes completos, durante o processo de
desenvolvimento, incluindo a preparação de uma programação de atividades detalhada, com testes de
entrada e saída esperadas sob determinadas condições.
14.2.9 - Teste de aceitação de sistemas
Controle: Convém que programas de testes de aceitação e critérios relacionados sejam estabelecidos para novos
sistemas de informação, atualizações e novas versões.
Diretrizes para implementação: Convém que testes de aceitação de sistemas incluam testes de requisitos de segurança da informação e aderência às práticas de desenvolvimento seguro de sistemas; Convém que os testes sejam realizados em um ambiente de teste realístico para assegurar que o
sistema não introduzirá vulnerabilidades ao ambiente da organização e que os testes são confiáveis.
14.3 - Dados para teste
Objetivo: Assegurar a proteção dos dados usados para teste
14.3.1 - Proteção dos dados para teste
Controle: Convém que os dados de teste sejam selecionados com cuidado, protegidos e controlados.
Diretrizes para implementação: Convém que seja evitado, para propósitos de teste, o uso de bancos de dados operacionais que
contenham informação de identificação pessoal ou qualquer outra informação confidencial; Se a informação de identificação pessoal ou outras informações sensíveis forem utilizadas com o
propósito de teste, convém que todos os detalhes e conteúdos sejam protegidos contra remoção ou
modificação