Deixe um comentrio
Como a cincia da informao pode contribuir para o aprimoramento
da gesto da segurana da informao no desenvolvimento de
software seguro baseada no nvel I de garantia (EAL-I) da norma
ISO/IEC 15.408.
Marcelo Alves dos Santos
Palavras-Chave
Cincia da Informao; Segurana da Informao; Engenharia de software;
ISO/IEC 15.408, Desenvolvimento de Software, ciclo documentrio, Tecnologia
da Informao, Commom Criteria, Cincia da Informao, Ciclo Documental
Resumo
Baseada na necessidade de segurana da informao (SI), o presente texto visa
mostrar como a cincia da informao (CI) pode contribuir de forma direta para
a segurana da informao, em especial para o aprimoramento da segurana
da informao no desenvolvimento de software seguro baseado na norma
ISO/IEC 15.408, e questionar a possibilidade da integrao de conhecimentos
da rea da cincia da informao, mais especificamente o ciclo documentrio
com o modelo de segurana ISO/IEC15.408. Sero abordados aspectos sobre a
obteno da informao, o tratamento, a distribuio, o uso, o armazenamento
e o descarte da informao nas fases modelo ISO proposto e um paralelo com o
levantamento e especificao no desenvolvimento de um software seguro e
como a CI pode ajudar a agregar segurana neste processo.
Abstract
Based on the need for information security (IS), this text aims to show how the
science of information (CI) can play a direct for information security, especially
for the improvement of information security in software development based
insurance in ISO / IEC 15408, and question the possibility of integrating
knowledge of the area of information science, specifically the documentary
cycle with security model ISO/IEC15.408. Aspects will be addressed on the
collection of information, treatment, distribution, use, storage and disposal of
information during ISO model and proposed a parallel with the survey
specification and development of secure software and how CI can help added
security in the process.
1. Introduo
Com o passar do tempo e o enorme avano apresentado pelo mundo
tecnolgico como um todo e a grande disseminao da utilizao do
3. Cincia da Informao
Para um melhor entendimento de o que cincia da informao, faz-se
necessrio primeiramente a compreenso de dois conceitos bsicos: Cincia e
Informao:
4. Segurana da Informao
Segurana da Informao a proteo contra um grande nmero de ameaas
s informaes, de forma a assegurar a continuidade do negcio, minimizando
danos comerciais e maximizando o retorno de investimentos e oportunidades
[2].
Ou ainda: Segurana da Informao pode ser entendida como o processo para
proteger informaes das ameaas para a sua integridade, disponibilidade e
confidencialidade [14].
Albuquerque([4]), introduz os trs conceitos centrais da segurana da
informao:
Confidencialidade capacidade de um sistema impedir que usurios no
autorizados vejam determinadas informaes, ao mesmo tempo em que
usurios autorizados podem acess-la [4].
Integridade Atributo de um a informao que indica que esta no foi alterada
ou, se foi, o foi de forma autorizada [4].
Disponibilidade indica quantas vezes o sistema cumpriu uma tarefa solicitada
sem falhas internas sobre o n de vezes que foi solicitado fazer uma tarefa [4].
5. Contribuies da CI para a SI
A atividade de proteger a informao em especial quando tratamos de sistemas
de informao, est diretamente ligados processos de um ambiente
organizacional, processos estes que, podem ser mapeados e por conseqncia
apoiados pela CI, que pode contribuir direta e indiretamente as complexas
etapas dos processos mapeados na utilizao do CC .
Temos na Figura 2 a apresentao dos conceitos de segurana e suas relaes,
sob a tica da ISO 15408-1. Nela identificamos a atuao de dois personagens
fundamentais no processo de segurana da informao: A Alta Direo e os
Agentes de Ameaa. Todas as aes de proteo so originadas a partir da Alta
Direo, que busca a garantia dos requisitos de segurana dos ativos nos nveis
desejados. Os Agentes de Ameaa so a fonte das iniciativas que pem em
risco as informaes sensveis da organizao.
A ISO 15408-1est dividido em trs partes. A Parte 1- ISO/EC 15408-1
Introduo e modelo geral definem conceitos e princpios de avaliao de
segurana em TI e objetivos de segurana, alm de construir especificaes
para produtos e sistemas, selecionando e definindo exigncias de segurana
em TI. A Parte 2ISO/IEC 15408-2 Exigncias de segurana funcionais
estabelecem um padro de exigncias funcionais e apresenta um conjunto de
componentes funcionais, famlias e classes. A Parte 3- ISO/IEC 15.408-3
Exigncias de garantias de segurana, expressas exigncias padro de garantia
de segurana para produtos ou sistemas pelo do fornecimento de um conjunto
de componentes que definiro o nvel segurana conforme estabelecido pelo
CC.
Os proprietrios das para combater as ameaas, antes que as informaes
sejam expostas s citadas ameaas. O resultado da avaliao e uma declarao
sobre o nvel da garantia da reduo dos riscos para os ativos protegidos. Esta
declarao servir de base para a tomada de deciso realizada pelo proprietrio
da informao sobre a aceitao ou no dos riscos residuais.
A Figura 3 apresenta estas relaes, onde a ISO ilustra que, a garantia que a
implementao de tcnicas de segurana se propem a dar, devem ser sempre
avaliadas, medidas e os resultados submetidos aos proprietrios das
informaes sensveis.
5. Concluso
A interao da CI como apoio aos processos da ES com objetivo de gerir
documentos que apiam o desenvolvimento de produtos de TI seguros
baseados na norma ISO/IEC 15.408 pode gerar uma importante contribuio
para a melhor gesto das informaes produzidas, que influenciaria
diretamente em um produto com mais garantia de segurana e menor nmeros
de erros nas fases iniciais do projeto, se comparados com o desenvolvimento
sem o apoio da CI. Com o apoio da CI torna-se possvel gerir o conhecimento
produzido de modo a permitir ao usurio da informao seja beneficiado ao
tentar obter, utilizar ou recuperar a informao na sua forma natural, que o
nico meio de expressar o conhecimento antes de ser convertido em modelos e
linguagens, e que, apesar dos esforos, ainda no permite total clareza em sua
interpretao. Os sistemas informacionais, cujo objetivo principal efetuar a
ligao entre o usurio e o conhecimento e efetuar a guarda (memria) das
informaes, tornam-se imprescindveis, j que possibilitam a conexo de dois
mundos at ento separados pela incompatibilidade representativa [17].
A evoluo de um trabalho srio e consistente permitiria ainda uma
customizao dos modelos de segurana como a ISO 15.408 para a adequao
realidade do desenvolvimento da segurana no Brasil, uma reduo dos
custos dentro de uma margem aceitvel e a maximizao da segurana dos
sistemas de informao apoiados se pela Cincia da Informao.
Referncia Bibliogrfica:
[1]Common Criteria for Information Technology Security Evaluation: User Guide.
Introduction and general model August 1999 Version 2.2
[2]NBR ISO/IEC 17799:2000 Tecnologia da Informao. Cdigo de Prtica para
Gesto da Segurana da Informao. Associao Brasileira de Normas Tcnicas.
Rio de Janeiro.
[3]Wikipdia, disponvel em: http://en.wikipedia.org/wiki/Information_science
Acessado 03.2009.
[4] ALBUQUERQUE, Ricardo; RIBEIRO, Bruno. Segurana no desenvolvimento de
software. Rio de Janeiro: Editora Campus.