Análise de Riscos em Requisitos de Segurança para Homologação de
Software
Perguntas
a) É permitido cadastrar usuários conforme
padrão (EX: C999999)?
b) É possível customizar o tamanho mínimo de
senha?
c) É obrigatória a troca de senha após o primeiro primeiro logon aquele quando o usuário
logon?
d) Existe a expiração periódica de senhas dos
usuários após “n” dias decorridos?
e) Existe um dicionário de senhas customizável ou consideradas fracas e que não devam
permite a integração c/ um dicionário?
f) Permite senhas compostas por alguma parte do regras. Uma dessas regras é a não
nome do usuário?
g) Existe expiração da conta do usuário?
h) É permitida a cópia de usuário no processo de outro é importante para efeito de ganho
cadastramento de usuários?
i) Existe ação de bloqueio do usuário após “n”
tentativas de logon com senha incorreta?
CONTROLE DE ACESSO DE USUÁRIOS
j) O número de tentativas “n” para bloqueio é
customizável?
GSI
PONTOS DE
Legendas PROBABILIDADE IMPÁCTO
PROBABILIDADE
Os cadastramentos dos usuários no
sistema devem preferencialmente seguir
o padrão de identificação (user-id) que é
c999999 onde 999999 é número
seqüencial de 6 dígitos. DESEJÁVEL
Para o ideal aproveitamento deste
recurso, deseja-se que o tamanho
mínimo da senha seja customizável e
gerenciável através da própria
aplicação. Caso não possa ser
customizável, deverá possuir o tamanho
mínimo de 6 dígitos. DESEJÁVEL
A troca de senha deve ser obrigatória
para o primeiro logon. É considerado
se loga pela primeira vez ou quando o
administrador do sistema efetua uma
troca de senha do usuário. ESSENCIAL
A expiração periódica da senha é
fundamental para incrementar mais
segurança ao logon do usuário. O
sistema deve prover um período para
ocorrência deste evento. ESSENCIAL
O dicionário de senhas destina-se ao
armazenamento de diversas senhas
ser aceitas no instante da troca. Este
dicionário deverá permitir modificação
pela empresa. DESEJÁVEL
As senhas não podem ser frágeis,
portanto devem ser compostas por
permissão de utilização de qualquer
parte do seu nome na composição da
senha. ESSENCIAL
Todas as contas dos usuários devem
poder ser desativadas. Em alguns
casos, os usuários são criados por um
período determinado, que coincide com
a validade do contrato de prestação de
serviços, ficando a conta do usuário
expirada após ultrapassar a data de
término. ESSENCIAL
A cópia de um determinado usuário para
de tempo e confiabilidade no resultado.
DESEJÁVEL
É um padrão de segurança, onde o
usuário deve ter sua conta
imediatamente bloqueada caso sejam
feitas mais de “n” tentativas
consecutivas de logon sem sucesso
decorrentes de senha errada. O
bloqueio deve ocorrer mesmo que as
tentativas consecutivas se dêem em
momentos diferentes. Um logon correto
zera a contagem. ESSENCIAL
Este número “n” de tentativas pode ser
ajustado pelo próprio CEPROMAT
conforme política de segurança vigente.
DESEJÁVEL
Página 1 09/14/2010
 CONTROLE DE ACESSO DE USUÁRIOS

Em alguns casos existe a necessidade

k) É permitido ao administrador do sistema de bloqueio de um ou vários usuários.
bloquear usuários de forma individual ou por um Isto pode ser em decorrência de uma
filtro? auditoria, suspeita de fraude ou
demissão. ESSENCIAL

Este permite que o Help Desk efetue a

troca de senha e o desbloqueio das
l) Permite um perfil com acesso exclusivo para
contas de usuários na condição
desbloquear e trocar a senha do usuário? Isto
exclusiva de bloqueio por tentativas de
deve ocorrer somente para usuários bloqueados
logon errado e não de contas de
por tentativas de logon errado.
usuários bloqueados pelo administrador
do sistema. ESSENCIAL

m) Existe histórico das últimas senhas utilizadas e Esta memória é o registro de utilização
que impeça a sua reutilização por um dado ciclo das últimas senhas utilizadas e que não
de trocas? deverão se repetir. DESEJÁVEL

Não deve existir qualquer tipo de usuário

n) Não é permitida a existência de usuário e/ou
senha inscrito no código do programa. Seu
sistema atende a este ponto?
o) Permite a administração em massa de
usuários?
inscrito no código do programa. Isto
fragiliza a segurança pois sua senha é
comum e pode ser identificada.
ESSENCIAL
A administração em massa permite que
determinada modificação comum a
muitos usuários seja feita a partir de
uma única tela. DESEJÁVEL

A troca de senha é uma das principais

p) É permitida a troca de senha para todos os
usuários?
garantias contra violação de acesso.
Todos os usuários devem poder ter suas
senhas trocadas, mesmo os usuários
nativos/especiais do sistema.
ESSENCIAL

Não devem ser permitidos vários

q) Usuário Master - É permitido que apenas um usuários com acessos irrestritos. Deve
usuário tenha tal privilégio. Seu sistema atende existir apenas um usuário, que deverá
este requisito? ter sua senha trocada pelo CEPROMAT.
ESSENCIAL

Os usuários administradores possuem

acessos mais restritos que o master. O
administrador é personalizado a uma
r) Permite a segregação de funções para os
função, por exemplo DBA, backup,
usuários administradores?
Segurança de Informações, etc. Por isso
deve existir segregação de acesso.
ESSENCIAL
Tipo de Controle de Acesso popular em
sistemas operacionais como o
UNIX(ROOT); O acesso amplo é
definido aos donos da informação
s) Os usuários Administradores e Gestores do
(EX:GESTOR); Uma distribuição
Sistema possuem controle de acesso baseado no
formalizada de responsabilidades de
Modelo Proprietário?
funcionalidades é obtida. ESSENCIAL

Cada usuário ou grupo tem um acesso

t) Demais usuários possuem controle de acesso
do tipo discriminado?
u) O sistema possui recurso de desconexão de
terminal por tempo de inatividade por parte do
usuário; (EX: 5 minutos)?
v) O sistema possui recurso que solicita a
reautenticação de tantas em tantas horas, sem
derrubar a sessão?
w) O sistema possui recurso de limitação do
tempo de conexão a partir de um determinado
horário;(EX: A partir das 6:00 até às 20:00 horas)?
específico a uma determinada
informação. ESSENCIAL.
A desconexão de usuários após um
determinado tempo de inatividade no
sistema é necessária. ESSENCIAL.
Forma de checar se após X horas de
operação no sistema, o usuário é
realmente o usuário que se autentificou
no sistema. ESSENCIAL
A operação do sistema para
determinados tipos de usuários, pode
ser customizada, por dias da semana e
faixas de horários. ESSENCIAL

a) O sistema permite reconhecer a autenticidade

Os usuários administradores e gestores
básica do usuário através de senha e palavra-
ao acessarem informações
chave adicional? Senhas baseadas em um
confidenciais, o farão através de
segredo que apenas o usuário conhece poderão
autenticação. ESSENCIAL
ser utilizadas?
As senhas e palavras-chave possuem
b) É possível definir tempo de alteração das
um determinado tempo de validade.
senhas e palavras chaves para autenticação?
DESEJÁVEL
c) A estrutura das senhas e das palavras-chaves A troca de senha e palavras-chave deve
é a mesma apontada nos itens de controle de ser solicitada ao usuário após um
acesso? determinado tempo pré-estabelecido.
ESSENCIAL

GSI Página 2 09/14/2010

 Recurso que permite que o usuário seja
alertado XX dias antes do período pré-
d) O sistema permite prever prazo a partir do qual
estabelecido, que a sua senha e/ou
se deve alertar o usuário sobre a necessidade de
palavra-chave de autenticação vai se
renovação de seus dados de autenticação?
expirar e que ele pode mudar esses
dados se quiser. ESSENCIAL
No dia-a-dia de um sistema, usuários
cujo perfil venham a requerer
autenticação para acesso a
determinados tipos de informacões,
e) O sistema possui indicador de conta bloqueada possuem recursos de indicação de conta
(flag) com histórico: por expiração dos dados de bloqueada (flag) com histórico, seja por
autenticação e por número de tentativas erradas motivo de expiração dos dados de
de autenticação, por outros motivos: afastamento autenticação, seja por número de
por determinação superiores, licença prêmio, tentativas erradas de autenticação, seja
doença, etc.... por outros motivos: afastamento por
determinação superior, licença-prêmio,
doença, etc.... ESSENCIAL

Pode ocorrer de uma determinada

tentativa de autenticação no sistema
corresponder aos dados de um usuário
f) O sistema é capaz de detectar tentativas de
que já se encontra operando no sistema.
autenticação de usuários que já se encontram
Neste caso quem garante quem é o
ativos no sistema e prever após um determinado
verdadeiro usuário? Aquele que está
tempo mínimo, o bloqueio da conta em questão?
AUTENTICAÇÃO

tentando entrar no sistema agora, ou o

usuário que já se encontra no sistema?
O bloqueio da conta em questão,
nestas circunstâncias se fazem
necessárias. DESEJÁVEL

Todas as contas dos usuários devem

poder ser desativadas. Em alguns
casos, os usuários são criados por um
período determinado, que coincide com
g) Existe expiração da conta do usuário?
a validade do contrato de prestação de
serviços, ficando a conta do usuário
expirada após ultrapassar a data de
término. ESSENCIAL

A cópia de um determinado usuário para

h) É permitida a cópia de usuário no processo de outro é importante para efeito de ganho
cadastramento de usuários? de tempo e confiabilidade no resultado.
DESEJÁVEL.
Não devem ser permitidos vários
i) Usuário Master - É permitido que apenas um usuários com acessos irrestritos. Deve
usuário tenha tal privilégio. Seu sistema atende existir apenas um usuário, que deverá
este requisito? ter sua senha trocada pelo CEPROMAT.
ESSENCIAL

Os usuários administradores possuem

acesso mais restritos que o master. O
administrador é personalizado a uma
j) Permite a segregação de funções para os
função, por exemplo DBA, backup,
usuários administradores?
Segurança de Informações, etc. Por isso
deve existir segregação de acesso.
ESSENCIAL

Tipo de Controle de Acesso popular em

sistemas operacionais como o
k) Os usuários Administradores e Gestores do UNIX(ROOT); O acesso amplo é
Sistema possuem controle de acesso baseado no definido aos donos da informação (EX:
Modelo Proprietário? GESTOR); Uma distribuição formalizada
de responsabilidades de funcionalidades
é obtida. ESSENCIAL

Cada usuário ou grupo tem um acesso

l) Demais usuários possuem controle de acesso
específico a uma determinada
do tipo discriminado?
informação. ESSENCIAL.

GSI Página 3 09/14/2010


a) A partir de um perfil, podemos associar um ou
mais usuários?
b) Os perfis são customizáveis quanto a
concessão de acessos?
CONTROLE DE PERFIS
c) Os perfis permitem segregação de funções?
d) Permite que os perfis associados aos usuários,
tenham data de expiração, possibilitando
delegações temporárias de
atividades/responsabilidades?
a) O tipo de criptografia utilizado é a assimétrica,
com chaves de no mínimo 128 bits?
Informações de como são construídas
b) Como as chaves são armazenadas? Como as
as chaves e como eleas são
chaves são acessadas e construídas?
armazenadas são necessárias.
ESSENCIAL.
CRIPTOGRAFIA
c) O sistema permite prever criptografia para
determinados tipos de informações e ações: Ex:
usuário, senha, palavra-chave, identificador de
credor (Nome, CNPJ ou CPF), identificadores de
contas bancárias (Banco, agência e número de
conta corrente) e valores numerários?
d) O sistema posui mecanismo de não repúdio na
origem. (Assinatura eletrônica) e mecanismo de
não repúdio no recebimento.
(Uso de Unidade Certificadora com respaldo
jurídico)?
a) O aplicativo possibilita geração de log?
b) Todas as tentativas de acesso com e sem
sucesso dos usuários administradores e gestores autor(usuário), data e hora do evento,
são auditadas?
Incluir data (dia, hora, ano), usuário, identificação alteração e exclusão), valor do campo
do terminal do usuário;
c) Permitir a identificação da máquina originadora
do evento por IP ADDRESS e MAC ADDRESS?
d) Os logs de auditoria são incrementais?
Exportáveis?
e) Os logs não devem ser modificados por
qualquer tipo de usuário (nem pelos
administradores). É atendido por seu sistema?
f) O log deve ser armazenado remotamente e não armazenado e mantido íntegro. O
estar acessível, apenas com autorização da
Segurança de Informações e Auditoria. Isto é
possível?
g) O sistema permite registrar qualquer alteração As alterações de tabelas financeiras e
nas tabelas financeiras e de orçamento ?
h) Todas as conexões diretas de usuários
administradores e gestores ao banco de dados
são auditáveis?
AUDITORIA
GSI
A partir de um determinado perfil
existente, pode-se associar um ou mais
usuários ao mesmo. Isto facilita a
administração de associação de perfis a
usuários. (DESEJÁVEL).
Deve ser permitida a customização das
funcionalidades do perfil, para
adequação aos processos e às
necessidades de negócio do
CEPROMAT. DESEJÁVEL
A segregação de funções é vital para
inibir fraudes, criando dependência entre
diferentes responsáveis para conclusão
de uma dada atividade. Exemplo é o
feito e conferido. ESSENCIAL
A delegação de responsabilidade é uma
atividade comum, e pode ser temporária
ou não. Quando um funcionário entrar
em seu período de férias, há
necessidade de delegar,
temporariamente, algumas de suas
atividades a seu confiado. DESEJÁVEL
Informações de qual tipo de criptografia
e qual o tamanho das chaves utilizadas
são necessárias. ESSENCIAL.
Informações consideradas essenciais e
confidenciais para o negócio do cliente
requerem criptografia. ESSENCIAL.
De forma a se evitar que usuários
solicitantes de algum dado confidencial,
neguem a solicitação, e de que usuários
neguem o recebimento de informações
confidenciais. O não repúdio na origem
e no recebimento faz-se necessário.
ESSENCIAL.
O log é essencial para o registro dos
eventos do sistema, seja por usuário ou
por falha do mesmo. ESSENCIAL
A trilha de auditoria permite rastrear os
eventos ocorridos com sucesso, com os
usuários administradores e gestores.
Deve conter em seus registros a data e
hora de logon/logoff, a identificação do
identificação do evento (inclusão,
antes e depois da modificação, os
eventos de manutenção do
sistema/banco de dados, falhas do
sistema, acessos ao banco de dados,
etc. ESSENCIAL
Esta informação permitirá rastrear
fisicamente o autor do evento.
ESSENCIAL
Desta forma não perdemos qualquer
histórico de eventos, pois os mesmos
não são sobrepostos pelos eventos mais
novos. DESEJÁVEL
Os logs são registros importantíssimos e
devem se manter íntegros e inalterados.
Qualquer tentativa de modificação de
seus registros, seja pelo sistema ou fora
dele
O logdeve
deveser
serinibida. ESSENCIAL
devidamente
acesso ao mesmo deve ser controlado e
autorizado pelos responsáveis, Auditoria
e Segurança da Informação.
ESSENCIAL
de orçamento são fundamentais.
ESSENCIAL
Todas as ações dos usuários
administradores e gestores são
auditáveis. ESSENCIAL
Página 4 09/14/2010
 i) É possível detectar/registrar anormalidades no As transações financeiras possuem
volume de transações financeiras (custeio, grupo volumes pre-estabelecidos que devem
de despesas, empenhos, receita disponível)? É ser monitorados e em caso de se
AUDITORIA

possível incluir no sistema a necessidade de um ultrapassar um determinado valor a ser

segundo liberador autorizado, caso o valor a ser estabelecido, um segundo liberador
liberado, ultrapasse um valor X pré-estabelecido?. autorizado será necessário, para se
concretizar a liberação. ESSENCIAL.

j) O sistema de auditoria permite: seleção: buscas,

ordenações, classificações, filtros dos dados Por facilidade de operação o módulo
auditados (por data, usuário, por objeto do de auditoria deve ser de fácil utilização,
sistema, etc…)? permitindo filtragem de informações
auditáveis buscada. ESSENCIAL

k) Um tamanho XX (espaço) das trilhas de O tamanho para armazenamento dos

auditoria foi previsto?
l) O módulo de auditoria possui recurso de aviso
ao administrador pelo sistema quando da
proximidade da exaustão da trilha de auditoria?
Em caso de estouro, da trilha de auditoria o
sistema não pára?
dados de auditoria deve ser previsto.
ESSENCIAL.
O tamanho previsto para a trilha de
auditoria não deve ser alcançado, e
caso isso venha a ocorrer o sistema não
deve parar de operar. ESSENCIAL.

m) O envio de trilhas mais antigas para uma mídia Mídias de armazenamento maiores e
de armazenamento maior e menos cara foi menos caras devem ser previstas para o
previsto? sistema. ESSENCIAL.
n) Um período mínimo de manutenção da trilha de O período mínimo de XX dias deve ser
auditoria foi previsto? previsto para a manutenção da trilha de
o) Prever eventos de auditoria das importações e auditoria. ESSENCIAL
As importações e exportações de dados
exportações de dados; com o Banco do Brasil devem ser
registradas. ESSENCIAL. As
comunicações confidenciais entre o
sistema e outros sistemas também
devem ser registradas . DESEJÁVEL.

p) O módulo de auditoria é capaz de registrar : As tentativas de autenticação sem

data, hora e usuário que esteja tentando realizar sucesso devem ser registradas,
autenticação sem sucesso? apontando a data, hora e usuário.
DESEJÁVEL
q) O módulo de auditoria registra as tentativas de O recurso de detecção de tentativa de
autenticação com contas que já se encontram autenticação, com dados de um usuário
operando no sistema? que já se encontra utilizando o sistema
objetiva alertar que uma atividade
suspeita já ocorreu, ou está prestes a
ocorrer. ESSENCIAL.

Notificações de tentativas de invasão

r) O módulo de auditoria é capaz de notificar
ajudam os adminstradores a
determinados administradores quando ocorrer
monitorarem atividades suspeitas.
uma tentativa de invasão de forma online?
DESEJÁVEL.
Este mecanismo deve garantir a correta
identificação do usuário, se necessário
a) Possui um mecanismo forte (por exemplo
por mais de um nível de autenticação ou
AMBIENTE WEB

certificado) de autenticação do usuário?

outro mecanismo de segurança.
ESSENCIAL
b) A solução possui geração de alertas quando há
eventos de atualização de versão (devida ou Este tipo de recurso aumenta a
indevida) e ataques (Ex: tentativa de utilização de segurança da solução. DESEJÁVEL
uma senha)?

O(s) usuário(s) de conexão com o banco

a) É permitida a troca de senha do(s) usuário(s)
devem ter sua(s) senha(s) trocada(s) por
de conexão com o banco por uma senha que o
uma senha que o CEPROMAT julgue
CEPROMAT julgue segura?
segura. ESSENCIAL

As senhas necessariamente devem ser

armazenadas criptografadas, garantindo
sua confidencialidade. O algoritmo de
b) As senhas são armazenadas criptografadas?
criptografia deve ser reconhecidamente
seguro e documentalmente justificado.
ESSENCIAL

Os usuários nativos, utilizados para

manutenção do banco de dados,
c) Existem usuários nativos do banco de dados
deverão ser substituídos por usuários
com acesso privilegiado? Quais são? As senhas
equivalentes pessoais. Os usuários
devem ser trocadas por senhas que a
nativos devem ter suas senhas trocadas
CEPROMAT julgue segura.
por senhas seguras e armazenados em
local seguro. ESSENCIAL
BANCO DE DADOS

GSI Página 5 09/14/2010

 BANCO DE DADOS

O usuário de conexão com o banco de

dados, que é utilizado pela aplicação
d) O usuário de conexão com o banco de dados
para permitir acesso a todos os usuários
deve ter sua senha trocada por outra que o
do sistema, deve ter sua senha trocada
CEPROMAT julgue segura. Isto é possível?
por uma que o CEPROMAT julgue
segura. ESSENCIAL

Há necessidade de manter a
e) Acessos externos(remotos) a nossas
confidencialidade e integridade das
informações, por parceiros ou clientes externos,
informações acessadas por parceiros e
implica que as informações devam ser
prestadores de serviço. Uma das
armazenadas de forma segura, sendo
maneiras de manter a confidencialidade
criptografada. Seu sistema atende a este ponto?
é a criptografia. ESSENCIAL

Protocolos e portas de aplicação no

f) Todos os protocolos e portas de aplicações
utilizadas no servidor de banco de dados são
conhecidas?
servidor de banco de dados necessitam
ser conhecidas. As portas de aplicações
e protocolos que não são necessários,
devem ser desabilitados/removidos. As
portas de aplicações que serão
utilizadas devem ser verificadas se são
seguras, ou se uma outra porta de
aplicação permite a realizaçào da
comunicação necessária, de uma forma
mais segura. ESSENCIAL

O Relatório é essencial para a

administração de usuários e perfis. Deve
a) Possui relatório de Usuário x Perfil (por filtro)?
permitir extrair as informações de forma
filtrada ou não. ESSENCIAL.

O Relatório é essencial para a

administração de usuários e perfis. Deve
b) Possui relatório de Perfil x Usuário (por filtro)?
permitir extrair as informações de forma
filtrada ou não. ESSENCIAL.

O Relatório permite visualizar os

usuários que não estão utilizando o
RELATÓRIOS

sistema após determinado número de

c) Possui relatório de Perfis x Autorizações?
dias, desde que tenham sido criados em
datas anteriores à data desejada.
ESSENCIAL.

d) Possui relatório de usuários bloqueados (um O Relatório destina a verificar os

para bloqueio pelo administrador e o outro para o usuários bloqueados pelo administrador
bloqueio por tentativas de logon com senha do sistema ou por senha incorreta.
errada ou tentativas de autenticações erradas) ESSENCIAL
Este tipo de relatório destina-se a
e) Possui relatório de usuários com acessos
verificar os acessos realizados pelos
críticos?
usuários críticos. ESSENCIAL
f) Possui relatório informando quais usuários que
O Relatório permite visualizar os perfis e
não se logam por um dado período(customizável)
suas configurações com opção de ser
considerando que foram criados anteriormente ao
gerado com filtros. ESSENCIAL
período declarado?

Seja qual for a plataforma fim do sistema

a ser adquirida, com ou sem tecnologia
web, deve ter formalmente garantido
a) O sistema operacional, em conjunto com o
que seja instalada num ambiente
aplicativo, permite a aplicação de todos os
seguro, onde o servidor receba a
patches e checklist, mais recentes disponíveis no
aplicação de todos os patches e
mercado por seus fabricantes?
checklist, mais recentes disponíveis no
mercado por seus fabricantes.
ESSENCIAL
AMBIENTE OPERACIONAL

Só serão liberados os recursos

b) Descrever tecnicamente os serviços, as portas
estritamente necessários à execução da
e protocolos utilizados pelo aplicativo
aplicação. ESSENCIAL
As senhas dos usuários masters devem
ser trocadas por senhas que o
c) O CEPROMAT fará a troca de todas as senhas
CEPROMAT julgue seguras. As senhas
dos usuários masters que serão envelopadas e
deverão ser envelopadas e
armazenadas em local seguro. Isto é possível?
armazenadas em local seguro.
DESEJÁVEL

d) Existe algum mecanismo de segurança Mecanismos de segurança de ambiente

específico para este ambiente? Qual? Descrevê- de rede ajudam a aumentar a segurança
lo. do sistema. DESEJÁVEL

Não deve existir qualquer tipo de

e) É possível que todos os usuários,
usuário, com qualquer perfil, que não
administrativos ou masters, do ambiente possam
tenha sido documentado neste
ser administrados pelo CEPROMAT?
formulário. ESSENCIAL

GSI Página 6 09/14/2010


a) A aplicação deve ser capaz de notificar o
administrador, de forma automática, quando
ocorrer uma tentativa de violação ou qualquer
falha que apareça. Isto é possível?
b) Detalhar e documentar tecnicamente como é
garantida a integridade dos dados.
c) Detalhar tecnicamente todas as interfaces de
envio e recebimento de dados pela aplicação,
comprovando que o processo é seguro.
APLICAÇÃO
d) A aplicação deve controlar o tempo de
ociosidade do usuário, cancelando a sessão após
um determinado tempo (customizável). É
possível?
e) Caso o aplicativo possua a funcionalidade de
envio de e-mail, declarar formalmente o tamanho
e o conteúdo dos mesmos.
f) Descrever tecnicamente os mecanismos
utilizados para proteção da aplicação no momento mecanismos de segurança utilizados
da realização de uma interface
CONTINGÊNCIA
a) Descrever tecnicamente o procedimento de
recuperação de desastre (DRP – Disaster
Recovery Process) que detalhe os serviços do
sistema essenciais para recuperação de dados
a) A importação de dados pelo sistema de dados
do Banco do Brasil e de outros sistemas
IMPORTAÇÃO DE DADOS
corporativos do Estado ( Exemplos: Sistema ARH,
DÍVIDA ATIVA, DÍVIDA PÚBLICA,
ARRECADAÇÃO, CONTRATOS, ETC...) tem a
sua integridade, confidencialidade e
disponibilidade garantida ?
b) Os pontos por onde a informação que vem do
Banco do Brasil ou de outros sistemas
( Exemplos: Sistema ARH, DÍVIDA ATIVA,
DÍVIDA PÚBLICA, ARRECADAÇÃO,
CONTRATOS, ETC...) são conhecidos?
a) A exportação de dados pelo sistema de dados
do Banco do Brasil e de outros sistemas
corporativos do Estado ( Exemplos: Aistema ARH,
EXPORTAÇÃO DE DADOS
DÍVIDA ATIVA, DÍVIDA PÚBLICA,
ARRECADAÇÃO, CONTRATOS, ETC...) tem a
sus integridade, confidencialidade e
disponibilidade garantida ?
b) Os pontos por onde a informação saem para o
Banco do Brasil ou para outros sistemas
( Exemplos: Aistema ARH, DÍVIDA ATIVA,
DÍVIDA PÚBLICA, ARRECADAÇÃO,
CONTRATOS, ETC...) são conhecidos?
AUTOPROTEÇÃO DOS DADOS DE
a) O sistema oferece proteção às próprias funções definições de controle de acesso, dados
de segurança do sistema?
SEGURANÇA
b) A solução prevê autoproteção do ambiente
sobre a qual o sistema roda (disponibilidade de
servidores, rede, ambiente, replicação, backup,
links de comunicação de dados, acessos
discados, etc...)?
c) O sistema possui recursos de testes da
autoproteção?
a) É possível a retomada do sistema, a fim de
permitir o retorno a um estado seguro e sem
RECUPERAÇÃO
derrubar as sessões em aberto?
SEGURA
b) Em caso de solução em cluster e replicações
de dados, a unidade replicada, assume?
automaticamente a disponibilidade dos serviços;
GSI
É importante que a aplicação
proporcione um elevado poder de
administração, que possibilite identificar
falhas ou tentativas de violação.
DESEJÁVEL
Descrever como é garantida a
integridade das informações.
ESSENCIAL
As interfaces devem garantir a
confidencialidade e integridade dos
dados durante todos os trechos
percorridos pela informação. Deve ser
detalhado e documentado como este
processo é feito e quais mecanismos de
segurança são utilizados. ESSENCIAL
Este tempo de time-out é essencial para
garantir que uma sessão não fique
ociosa e onerando os recursos de rede e
equipamento desnecessariamente.
ESSENCIAL
Descrever a funcionalidade do envio de
e-mail. DESEJÁVEL
Deve ser detalhado tecnicamente e
demonstrando formalmente quais são os
para manter a confidencialidade e
integridade da interface. ESSENCIAL
Descrever os procedimentos de
recuperação de desastre. ESSENCIAL
A integridade é a garantia de que a
informação saiu do ponto A e chegou no
ponto B na sua forma original. A
confidencialidade é a garantia de que
somente que tem acesso a uma
determinada informação, irá acessar
essa informação. A disponibilidade é a
garantia de que os dados estão
disponiveis a qualquer momento.
ESSENCIAL
Redes envolvidas entre os sistemas que
precisam se comunicar.
Protocolos/portas de aplicação
utilizadas; ESSENCIAL
A integridade é a garantia de que a
informação saiu do ponto A e chegou no
ponto B na sua forma original. A
confidencialidade é a garantia de que
somente que tem acesso a uma
determinada informação, irá acessar
essa informação. A disponibilidade é a
garantia de que os dados estão
disponiveis a qualquer momento.
ESSENCIAL
Redes envolvidas entre os sistemas que
precisam se comunicar.
Protocolos/portas de aplicação
utilizadas. ESSENCIAL
Exemplos de dados e atributos de
segurança do sistema a se proteger:
de autenticação, trilha de auditoria.
ESSENCIAL.
O sistema não tem como manter a
segurança sobre uma plataforama e/ou
rede comprometida. ESSENCIAL
Testar os recursos de autoproteção das
funções e atributos de segurança.
DESEJÁVEL
As sessões em aberto são mantidas em
caso de problemas no sistema principal.
DESEJÁVEL
O sistema continua operando via o
cluster. ESSENCIAL
Página 7 09/14/2010
 a) O sistema possui recursos que permite o
gerenciamento das funções de segurança?
b) O sistema possui recursos que permite o
GERENCIAMENTO DE SEGURANÇA
gerenciamento dos atributos de segurança?
c) O sistema possui recursos que permite o
gerenciamento dos dados de segurança?
d) Existe Gerência de Configuração dos Fontes?
Os códigos são documentados?
a) Qual a versão de JAVA e de JVK que será
utilizada?
b) Serão utilizados privilégios para classes/applets
específicos baseados na fonte e/ou assinatura?
c) Serão utilizados mecanismos de Protection O uso desses tipos de mecanismos
Domain, CodeSource, Permission, GuardedObject aumenta a segurança do sistema.
e Access Controller? ESSENCIAL
d) Será utilizado o recurso de PolicyClass?
e) A manipulação dos Objetos mais criticos irá
requerer a passagem de uma referência?
f) Cada Classe terá um ProtectionDomain?
g) Está prevista alguma mistura de Protection
Variables e PermissionChecks?
h) Na alocação de diretórios/ arquivos locais será O uso desse recurso aumenta a
utilizado o recurso FilePermission Class?
i) Serão implementados acessos a uma
determinada máquina (via endereço IP ou via
hostnames), utilizando-se o recurso
SocketPermission do Permission Subclass?
j) Serão implementados acessos a uma
determinada porta de aplicação ou faixas de
LINGUAGEM JAVA
portas, utilizando-se o recurso SocketPermission
do Permission Subclass?
k) De que forma os direitos a propriedades serão
O uso desse recurso aumenta a
dados via o recurso PropertyPermission do
segurança do sistema. ESSENCIAL
Permission SubClass?
l) Todas as criações de novas permissões
implicarão em mudanças no Security Manager?
m) O recurso de Security Manager será utilizado
para proteger um método e todas as instâncias?
n) O recurso GuardedObject será utilizado para
proteger uma referência numa instância
individual?
o) O recurso de Java Cryptografy Architeture será O uso desse recurso aumenta a
utilizado?
p) O recurso de Java Secure Socket Extension
será utilizado?
q) O recurso de Java Authentication and
Authorization Service será utilizado?
r) Será executado algum teste para a checagem
de eventuais erros em bytecode ou classloader?
GSI
As funções de segurança
implementadas são gerenciadas, de
modo a se verificar que somente os
administradores, ou os usuários que
possuem acesso a determinadas
funções ou informações de segurança
do sistema estão tendo os referidos
acessos. As funções, atributos e dados
de segurança só são modificadas por
usuário
As comde
funções perfil para essa função.
segurança
ESSENCIAL são gerenciadas, de
implementadas
modo a se verificar que sómente os
administradores, ou os usuários que
possuem acesso a determinadas
funções ou informações de segurança
do sistema estão tendo os referidos
acessos. As funções, atributos e dados
de segurança só são modificados por
usuário
As comde
funções perfil para essa função.
segurança
ESSENCIAL são gerenciadas, de
implementadas
modo a se verificar que somente os
administradores, ou os usuários que
possuem acesso a determinadas
funções ou informações de segurança
do sistema estão tendo os referidos
acessos. As funções, atributos e dados
de segurança só são modificadas por
usuário com perfil das
O gerenciamento paraconfigurações
essa função. e
ESSENCIAL dos códigos-fonte,
documentação
constitui uma prática normatizada
internacionalmente. ESSENCIAL.
As versões de linguagens de
desenvolvimento podem requerer
atualizações que corrigem/minimizam
brechas de segurança. DESEJÁVEL
O uso de privilégios para classes e/ou
applets aumenta a segurança do
sistema. ESSENCIAL
O uso desse tipo de mecanismo
aumenta a segurança do sistema.
ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
O uso desse recurso não é
recomendado. ESSENCIAL
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
O uso desse recurso aumenta a
segurança do sistema. ESSENCIAL
Página 8 09/14/2010
 s) Que recursos sobre os applets estão previstos
O uso desse recurso aumenta a
de serem utilizados sobre os applets de forma a
segurança do sistema. ESSENCIAL
se minimizar a evazão de medidas de segurança?

t) Esta previsto teste dos recursos de segurança O uso desse recurso aumenta a
implementados no desenvolvimento? segurança do sistema. ESSENCIAL
u ) Está previsto a utilização de Runtime Security O uso desse recurso aumenta a
Check Algorithm? segurança do sistema. ESSENCIAL

GSI Página 9 09/14/2010

 S

ra Homologação de

RISCO

GSI Página 10 09/14/2010

 s
s
o

m
a
i
s

r
e
s
t
r
i
t
o
s

q
u
e

m
a
s
t
e
r
.

a
d
m
i
n
i
s
t
r
a
d
o
r

p
e
r
s
o
n
a
l
i
z
a
d
o

u
m
a

f
u
n
ç
ã
o
,

p
o
r

e
x
e
m
p
l
o

D
B
A
,

b
a
c
k
u
p
,

S
e
g
u
r
a
n
ç
a

d
e

I
n
f
o
r
m
a
ç
õ
e
s
,

e
t
c
.
GSI P Página 11 09/14/2010
o
r

i
s
s
GSI Página 12 09/14/2010
GSI Página 13 09/14/2010
GSI Página 14 09/14/2010
GSI Página 15 09/14/2010
GSI Página 16 09/14/2010
GSI Página 17 09/14/2010
GSI Página 18 09/14/2010
 Respostas (S / N /
Perguntas
NA)

Subcaracterísticas
NÚMERO DE CAMADAS O sistema possui arquitetura de
02 a 03 camadas (apresentação,
aplicação e banco de dados)?

PROTOCOLOS E Todos os protocolos e portas de

PORTAS DE aplicação a serem utilizadas entre
APLICAÇÃO(MATRIZ DE os componentes do sistema e
FLUXO) com outros sistemas, com a
Internet e outros, foram
levantados?

GERENCIAMENTO As comunidades SNMP utilizam

SNMP nomes default do tipo Public ou
Private?

PORTAS DE O sistema permite atribuir às

APLICAÇÃO aplicações não padronizadas,
DEDICADAS AO portas de aplicação diferentes?
SISTEMA
ARQUITETURA DE CAMADAS

INTERFACES DE REDE Para cada computador servidor

POR COMPUTADOR utilizado, a solução está prevendo
SERVIDOR uma placa de rede para
administração e backup, uma
placa de rede para apresentação
ou aplicação ou banco de dados,
uma placa de rede para
interligacão ao Firewall e uma
placa de rede reserva?

SWITCHES DA REDE Os switches onde os hosts

INTERNA servidores encontram-se
interligados, possuem
processadores e fontes de
alimentação redundantes?
 ACESSOS REMOTOS Os acessos aos hosts servidores
PARA ADMINISTRAÇÃO e dispositivos de conectividade
aos quais os hosts servidores do
sistema estão interligados
ocorrerão de forma segura?

PORTAS DE ACESSO Os dispositivos de conectividade

FÍSICO DOS aos quais os hosts servidores do
DISPOSITIVOS DE sistema estão conectados, estão
CONECTIVIDADE com as portas console e auxiliar
bloqueadas ou com acesso
controlado?

SISTEMA O sistema operacional de cada

OPERACIONAL computador já foi levantado?
Informar par aceitável
CAPACITY PLAN DOS COMPUTADORES SERVIDORES

PROCESSADORES O tipo e a
quantidade/especificações de
cada processador por
computador servidor foram
levantados?

QUANTIDADE DE O tipo e a quantidade de memória

MEMÓRIA RAM Ram por computador servidor
foram levantados?

CAPACIDADE DE DISCO O tipo e a quantidade de espaço

RÍGIDO em disco rígido por computador
servidor foi levantado?

FIREWALL COM A Os endereços IP válidos

INTERNET utilizados pelo servidor Web da
aplicação são gerados via NAT?
FIREWALL
 FIREWALL ENTRE OS As camadas de aplicação,
SEGMENTOS DOS apresentação, banco de dados
FIREWALL

COMPONENTES DO estão separadas entre si por

SISTEMA firewalls?

REDUNDÂNCIA DOS Os firewalls são redundantes?

FIREWALL

SISTEMA DE DETECÇÃO A rede possui sistemas de

DE INTRUSÃO DE REDE detecção de intrusão na entrada
da Internet?
IDS

SISTEMA DE DETECÇÃO Os hosts servidores mais críticos

DE INTRUSÃO DE HOST possuem IDS internos?
SERVIDOR

SISTEMA DE NO-BREAK Os hosts servidores são

alimentados por mais de um
sistema de no-break?
SISTEMA DE ENERGIA

GRUPO MOTOR Os hosts servidores possuem

GERADOR mais de uma fonte de alimentação
de grupo-motor gerador?

FONTES DE Os computadores servidores

ALIMENTAÇÃO DOS possuem fontes de alimentação
COMPUTADORES redundantes?
SERVIDORES

SEGURANÇA FÍSICA O ambiente físico onde ficam os

servidores, possui controle de
acesso restrito aos usuários de
suporte e operação? Existe
sistema de câmeras monitorando
os hosts servidores? Existe
acesso controlado por biometria?

PROTEÇÃO CONTRA O ambiente físico onde ficam os

INCÊNDIOS servidores, possui proteção
contra incêndios?
FÍSICO
 CABEAMENTO O sistema de cabeamento
ESTRUTURADO E ÓPTICO estruturado e óptico que os hosts
servidores do sistema utilizam,
AMBIENTE FÍSICO

estão protegidos? São

redundantes?
REDUNDÂNCIA DOS Foi previsto redundância para
HOSTS SERVIDORES cada host servidor do sistema? É
utilizado Cluster? De que tipo é o
Cluster?

AMBIENTES DE Existem ambientes distintos e

DESENVOLVIMENTO, segregados para
HOMOLOGAÇÃO E desenvolvimento, homologação e
TESTES testes? O ambiente de
desenvolvimento permite o envio
dos fontes para fora ou
recebimento de fontes de
bibliotecas de fora?

CONTROLE DE O ambiente físico onde ficam os

TEMPERATURA E servidores, possui controle de
UMIDADE temperatura e umidade?

HARDENING Cada host servidor teve na

instalação do seu sistema
operacional, o processo de
SISTEMA OPERACIONAL DOS HOSTS

hardening realizado?

SUPORTE AOS O suporte de sistema operacional

SISTEMAS é controlado, gerando registro em
SERVIDORES

log, de todas as atividades

realizadas por um determinado
usuário com perfil de suporte
(administrador)?

ATUALIZAÇÕES DAS Existe processo/procedimentos

VERSÕES DE SISTEMA operacional de atualização de
OPERACIONAL patches, etc…. dos sistemas
operacionais?

HARDENING Cada host servidor de banco de

dados teve na instalação do seu
banco de dados, o processo de
hardening realizado?
DOS
 SUPORTE AO BANCO O suporte de banco de dados é
DE DADOS controlado, gerando registro em
log, de todas as atividades
realizadas por um determinado
usuário com perfil de suporte
(administrador de banco de
dados)?
BANCO DE DADOS

ATUALIZAÇÕES DAS Existe processo/procedimentos

VERSÕES DE SISTEMA operacionais de atualização de
OPERACIONAL versões, etc…. do banco de
dados?

BACKUP Existe procedimento operacional

de realização de backup do banco
de dados e informações
essenciais? Qual o tipo de backup
utilizado? Existe segurança para
as mídias de backup? Existe
backup externo (cópia de
segurança em local remoto)?
Existe procedimento de teste
regular dos backups realizados?
Justificativas/Coment
ários/Necessidade de
orçamento adicional Anexos Legendas
para a implementação
do item.

As arquiteturas atuais,
utilizam 03 camadas
(apresentação, aplicação e
banco de dados) e cada
camada representada por um
segmento de rede diferente.
ESSENCIAL

l Habilitar os protocolos e abrir

portas de aplicação
necessários para a interação
do sistema com outras redes e
sistemas. ESSENCIAL

Recomenda-se a utilização de
nomes de comunidade SNMP
diferentes de Public e Private.
ESSENCIAL

Portas de aplicações
dedicadas a determinadas
funções não-padrão do
sistema podem existir, e um
número de porta diferenciado
pode ser atibuido durante o
desenvolvimento. DESEJÁVEL

Segmentos diferentes são

adotados para: cada camada
(apresentação, aplicação e
banco de dados), para
administração/backup e para
interligação de cada servidor
ao Firewall. Para cada servidor
utilizado, uma placa de rede
reserva é prevista.
ESSENCIAL.

Os dispositivos de
conectividade switches devem
oferecer alta disponibilidade
de conectividade aos hosts
servidores. ESSENCIAL
Os acessos aos hosts
servidores e dispositivos de
conectividade aos quais os
hosts servidores do sistema
estão interligados devem ser
feitos via SSH (versão mais
atuailizada) ou HTTPS.
ESSENCIAL

As portas console e auxiliar

dos dispositivos de
conectividade devem ser
possível estarem bloqueadas
ou com acesso controlado.
DESEJÁVEL

Para cada sistema operacional

adotado, prever após a sua
instalação as atualizações de
patches e serviços.O
Hardening de cada sistema
operacional deve ser feito.
ESSENCIAL

A quantidade necessária e o
desempenho necessário para
cada servidor deve ser
providenciado, prevendo-se
uma margem de folga.
ESSENCIAL
A quantidade de memória Ram
necessária varia de acordo
com: a aplicação, o número de
usuários e número de
aplicações extras executadas
pelo Servidor. ESSENCIAL

O tipo e a quantidade de
espaço em disco rígido
necessários varia de acordo
com: a aplicação, com o
número de usuários e número
de aplicações extras
executadas pelo Servidor.
ESSENCIAL

O endereço IP do servidor de
aplicações Web é resultado do
processo de translação de
endereço de rede (NAT).
ESSENCIAL
A segregação entre as
diferentes camadas da
arquitetura do sistema
otimizam o desempenho de
tráfego, e aumentam a
segurança. ESSENCIAL

A segurança fornecida pelo

firewall pode ser
comprometida, caso não haja
redundância e alta
disponibilidade do sistema de
firewall. ESSENCIAL

A detecção de intrusão na
borda da rede com a Internet
constitui uma forma pró-ativa
de detecção de intrusão e
atividades suspeitas.
ESSENCIAL

Sistemas de detecção de
intrusão internos são
indicados para os hosts
servidores mais criticos do
sistema. ESSENCIAL
Um sistema de no mínimo,
dois no-breaks é
recomendado. ESSENCIAL

Um sistema de pelo menos

dois grupos-motores
geradores é o recomendado.
ESSENCIAL.
Os hosts computadores
servidores devem possuir
fonte de alimentação
redundante, e cada fonte
alimentada a partir de quadros
de alimentação distintos.
ESSENCIAL.

A proteção de acesso físico é

imprescindível para os ativos
críticos da organização.
ESSENCIAL.

A proteção contra incêndio é

fundamental para os ativos
críticos da organização.
ESSENCIAL.
A segurança do sistema de
cabeamento é essencial para a
manutenção da operação dos
ativos. ESSENCIAL.

Os hosts servidores críticos

devem possuir redundância. O
uso de Cluster é recomendado.
ESSENCIAL

A utilização de ambientes
distintos e segregados para
desenvolvimento,
homologação e testes é uma
recomendação internacional
de desenvolvimento seguro. O
fluxo controlado de entrada e
saída dos fontes deve ser
planejado e seguro.
ESSENCIAL.

O controle da temperetuta e da
umidade do ambiente onde
ficam os hosts servidores é
necessário. ESSENCIAL

O processo de hardening do
sistema operacional aumenta a
segurança em profundidade do
host servidor. ESSENCIAL

O controle das atividades

realizadas pelo pessoal de
suporte de sistema
operacioanl é uma
recomendação de segurança
fundamental. ESSENCIAL.

A atualização dos sistemas

operacionais, é um processo
contínuo, que a equipe de
suporte deve realizar dentro do
seu plano de trabalho.
ESSENCIAL

O processo de hardening do
banco de dados aumenta a
segurança em profundidade do
host servidor de BD.
ESSENCIAL
O controle das atividades
realizadas pelo pessoal de
suporte de banco de dados é
uma recomendação de
segurança imprescindível.
ESSENCIAL.

A atualização do banco de
dados, é um processo
contínuo, que a equipe de
suporte deve realizar dentro do
seu plano de trabalho.
ESSENCIAL

O backup é fundamental no
dia-a-dia da vida de um
sistema. A sua segurança, e a
certeza de que cada backup
realizado funciona, em casos
de necessidades de restore,
devem constituir atividades
do dia-a-dia do suporte
técnico. ESSENCIAL.