Usando Padrões para o Desenvolvimento da Gestão da Segurança de Sistemas de Informação baseado na Norma ISO/IEC 21827:2008
Resumo
A falta de segurança em Sistemas de Informação tem provocado inúmeros prejuízos financeiros e morais para as organizações. A maioria das organizações não dispõe de um programa de gestão da segurança bem estruturado e eficiente. Usando padrões de segurança, as organizações poderão fortalecer seus programas de gestão de segurança além de aumentar suas garantias de proteção. Se as organizações utilizarem os padrões alinhados a uma norma de segurança, o número de falhas de segurança em Sistemas de Informação irá diminuir consideravelmente. Este artigo apresenta padrões ligados à norma ISO/IEC 21827:2008 e discute as ssociações entre estes padrões.
Referências
Appleton, B. (1997) “Patterns for conducting process improvement”, In: PLoP 97 conference. Disponível em http://www.bradapp.net/docs/patterns-intro.html acesso em janeiro de 2010.
Batista, C. F. A. (2007) “Métricas de Segurança de Software”, Dissertação do Programa de Pós-Graduação em Informática do Departamento de Informática da PUC-Rio. Universidade Pontifícia Católica, Rio de Janeiro.
Fernandez, E. B. and Larrondo-Petrie, M. M. (2006) “A methodology to build secure systems using patterns”, In: 22nd Annual Computer Security Applications Conference (ACSAC), Works in Progress, Miami Beach, FL.
Fernandez, E. B., Yoshioka, N., Washizaki, H. and Jurjens, J. (2007) “Using security patterns to build secure systems”, In: Workshop on Software Patterns and Quality (SPAQu'07), Nagoya, Japan, with the 14th Asia-Pacific software Engineering Conference (APSEC).
Kienzle, D. M. and Elder, M. C. (2002) “Security Patterns for Web Application Development”, Final Technical Report, Univ. of Virginia.
Muñoz-Arteaga, González, M. R. and Vanderdonckt, J. (2008) “A classification of security feedback design patterns for interactive web applications”, In: Proc. Int.Conf. on Internet Monitoring and Protection, pp. 166-171.
Scarfone, K., Souppaya, M., Cody, A. and Orebaugh, A. (2008) “Technical Guide to Information Security Testing and Assessment: Recommendations of the National Institute of Standards and Technology”, National Institute of Standards and Technology (NIST) Special Publication 800-115. Disponível em http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf acesso em janeiro de 2010.
Romanosky, S. (2002) “Security design patterns”, In: SecurityFocus. Disponível em http://www.securityfocus.com/guest/9793 acesso em janeiro de 2010.
Romanosky, S. (2003) “Operational security patterns”, In: EuroPLoP. Disponível em http://hillside.net/europlop/europlop2003/papers/WritingGroup/WG4_RomanoskyS.doc acesso em janeiro de 2010.
Schumacher, M., Fernandez, E. B., Hybertson, D., Buschmann, F. and Sommerlad, P.(2006) “Security Patterns”, J.Wiley & Sons.
SG-SBP (2008) “Recommendation for Creating a Comprehensive Framework for Risk Management and Compliance in the Financial Services and Insurance Industries”, Information Technology Industry Council (ITI). Disponível em www.incits.org/tc_home/sbp.htm acesso em janeiro de 2010.
SSE-CMM Project (2003) “Systems Security Engineering Capability Maturity Model SSE-CMM Model Description Document”, Version 3.0. Disponível em www.sse-cmm.org acesso em dezembro de 2009.
Weiss, M. and Mouratidis, H. (2008) “Selecting Security Patterns that Fulfill Security Requirements”, In: 16th IEEE International Requirements Engineering Conference pages 169–172. IEEE Computer Society.
Wiander, T. (2007) “ISO/IEC 17799 Standard’s Intended Usage and Actual Use by the Practitioners”, In: 18th Australasian Conference on Information Systems. Toowoomba, 5-7.
Yoder, J. and Barcalow J. (1997) “Architectural Patterns for Enabling Application Security”, In: 4th Conference on Pattern Languages of Programs.
Yoshioka, N., Honiden, S. and Finkelstein, A. (2004) “Security Patterns: A Method for Constructing Secure and Efficient Inter-Company Coordination Systems”, In: 8th IEEE Intl Enterprise Distributed Object Computing Conf (EDOC 2004).