ISO/IEC SYSTEMS AND SOFTWARE QUALITY REQUIREMENTS AND EVALUATION (SQUARE)- SECURITY

Transcrição

1 ISO/IEC SYSTEMS AND SOFTWARE QUALITY REQUIREMENTS AND EVALUATION (SQUARE)- SECURITY Trabalho Realizado por: Guilherme Rodrigues André Baptista nº M9260

2 Introdução O que é Qualidade de Software? O que é a ISO? ISO ISO Segurança

3 O que é a Qualidade de software? É uma área responsável por garantir a qualidade dos produtos de software através de processos definidos; A qualidade do software não aparece apenas "do nada", é o resultado de uma boa gestão do projeto e uma parte prática consistente de engenharia de software (Pressman 2010). De acordo com Pressman a qualidade do software pode ser definida como conformidade com os requisitos funcionais e de desempenho explicitamente declarados, padrões de desenvolvimento claramente documentados e características implícitas esperadas de todos os softwares desenvolvidos profissionalmente. A qualidade do software também pode ser entendida como um conjunto de características a serem atendidas num determinado grau, de modo que o produto de software atenda às necessidades implícitas e explícitas dos seu utilizadores.

4 ISO/IEC A série de normas ISO / IEC 25000, também conhecida como SQuaRE (Requisitos e Avaliação de Qualidade de Sistemas e Software), tem o objetivo de criar uma estrutura para a avaliação da qualidade de produtos de software. A ISO / IEC for disponibilizada em 2011 é o resultado da evolução de vários outros padrões, especificamente da ISO / IEC 9126, que define um modelo de qualidade para avaliação de produtos de software e da ISO / IEC 14598, que define o processo para avaliação de produtos de software. A série de padrões ISO / IEC consiste em cinco divisões

5 ISO/IEC ISO / IEC 2501n (Divisão Modelo de Qualidade) inclui atributos do software resultantes de seu processo de implementação, revisão e teste (qualidade interna) e atributos de software associados à sua execução (qualidade externa). Cada dimensão do modelo de qualidade ISO / IEC é especializada em conjunto de características de qualidade e subcaracterísticas. Esta ISO tem 8 características de qualidade que são: Adequação Funcional Eficiência de Desempenho Compatibilidade Usabilidade Confiabilidade Manutenção Portabilidade Segurança. É importante observar que a ISO / IEC é usada estritamente para avaliar software em produção e após seu desenvolvimento.

6 ISO/IEC SEGURANÇA A característica de segurança é definida como o nível que um produto ou um sistema protege informações e os dados para que pessoas ou sistemas tenham o nível de acesso aos dados adequado aos seus tipos e níveis de autorização. A característica de segurança é composta por cinco sub-características: Confidencialidade: garante que os dados são acessíveis apenas aos utilizadores autorizados. Integridade: impede o acesso não autorizado ou modificações. Não repúdio: pode ser provado que ações ou eventos ocorreram. Responsabilização: as ações de uma entidade podem ser investigadas exclusivamente para a entidade. Autenticidade: a identidade de um assunto ou recurso pode ser provada como sendo aquela reivindicada.

7 Modelo Prático para Avaliação de Segurança de Software Uma mudança importante na ISO foi a segurança aparecer como uma das principais características de qualidade do produto de software. Embora esta ISO defina as características de qualidade do software, ainda não forneceu modelos concretos e medições para avaliar a sua segurança. Foi proposto um novo modelo de qualidade de produtos de segurança que faz ISO operacional. O modelo deve ser aplicável a todos os tipos de produtos de software; O modelo será aplicável a partir da fase inicial de desenvolvimento; O modelo deve ser leve, concreto e repetível; O modelo deve levar a classificações que permitem a comparação entre produtos de software Para avaliar a segurança do produto de software, definiram onze propriedades do sistema, que refletem como um software aborda as sub-características de segurança desejadas.

8 Confidencialidade e Integridade Para garantir que os dados só são acedidos por utilizadores autorizados, a maioria dos sistemas fornece uma forma de proteção para os dados que entram ou saem do sistema. Se os dados são armazenados pelo sistema, o armazenamento de dados deve ser protegido. Para cada tentativa de aceder aos dados dentro do sistema, deve-se verificar se o utilizador está autorizado. O mecanismo de autenticação deve ser robusto e impossível de contornar. Para evitar que os dados que entram ou saem do sistema possam prejudicar o sistema ou os utilizadores do mesmo, somente o conteúdo desejado deve ser permitido. Esta abordagem é refletida nas cinco propriedades do sistema: Transporte seguro de dados, Armazenamento seguro de dados Acesso autorizado a dados Autorização Verificação de entrada e saída

9 Não-repúdio e responsabilidade Para tornar impossível repudiar as ações, a maioria dos sistemas emprega uma maneira de obter "provas" dessa ação. Como parte dessa prova, as informações devem ser registadas para poder conectar a evidência à ação. Além disso, deve ser possível rastrear a prova de forma exclusiva para um utilizador específico. Esta abordagem é refletida nas seguintes propriedades no sistema: Força da prova Integridade do registo Identificação exclusiva.

10 Autenticidade A maioria dos sistemas fornece uma gestão dos acessos, ou seja, um utilizador precisa de se autenticar antes de entrar no sistema. Normalmente não é necessário autenticar-se novamente para cada ação subsequente. Para saber quais os utilizadores que podem entrar e quais são suas credenciais a gestão dos acessos é necessário. Esta abordagem é refletida nas seguintes propriedades no sistema: Gestão segura dos utilizadores Força na gestão do acesso Força na gestão da sessão

11 APLICAÇÕES SOA BASEADAS NA ISO Arquiteturas Orientadas a Serviços (SOA) emergem como uma tentativa de integrar sistemas legados utilizando os Serviços da Web. No SOA, os developers podem combinar e integrar ativos de software legados com outros componentes, com o objetivo de criar novas aplicações. Fatores que afetam a qualidade e podem ser medidos diretamente são chamados de atributos internos de qualidade (por exemplo, linhas de código). Fatores que só podem ser medidos indiretamente são chamados de atributos externos de qualidade, como manutenção. As características de qualidade ISO precisam de ser estudadas e adaptadas para serem aplicadas às aplicações SOA.