Buscar

Checklist de Requisitos de Seguranca de Sistema

Gestão de Segurança da Informação

ICEC

2
Dislike0
2
Dislike0
Comment0
User badge image

alexsandro machado

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

SEGURANÇA
											S	S
				Requisitos de Segurança para Homologação de Software							N	N
											NA	NA
	
			Perguntas	Respostas (S / N / NA)	Justificativas/Comentá-rios/Necessidade de orçamento adicional para a implementação do item.	Anexos	Legendas
	CONTROLE DE ACESSO DE USUÁRIOS	CONTROLE DE ACESSO DE USUÁRIOS	a) É permitido cadastrar usuários conforme padrão (C999999)?				Os cadastramentos dos usuários no sistema devem preferencialmente seguir o padrão de identificação (user-id) que é c999999 onde 999999 é número seqüencial de 6 dígitos. DESEJÁVEL
			b) É possível customizar o tamanho mínimo de senha?				Para o ideal aproveitamento deste recurso, deseja-se que o tamanho mínimo da senha seja customizável e gerenciável através da própria aplicação. Caso não possa ser customizável, deverá possuir o tamanho mínimo de 6 dígitos. DESEJÁVEL
			c) É obrigatória a troca de senha após o primeiro logon?				A troca de senha deve ser obrigatória para o primeiro logon. É considerado primeiro logon aquele quando o usuário se loga pela primeira vez ou quando o administrador do sistema efetua uma troca de senha do usuário. ESSENCIAL
			d) Existe a expiração periódica de senhas dos usuários após “n” dias decorridos?				A expiração periódica da senha é fundamental para incrementar mais segurança ao logon do usuário. O sistema deve prover um período para ocorrência deste evento. ESSENCIAL
			e) Existe um dicionário de senhas customizável ou permite a integração c/ um dicionário?				O dicionário de senhas destina-se ao armazenamento de diversas senhas consideradas fracas e que não devam ser aceitas no instante da troca. Este dicionário deverá permitir modificação pelo CEPROMAT. DESEJÁVEL
			f) Permite senhas compostas por alguma parte do nome do usuário?				As senhas não podem ser frágeis, portanto devem ser compostas por regras. Uma dessas regras é a não permissão de utilização de qualquer parte do seu nome na composição da senha. ESSENCIAL
			g) Existe expiração da conta do usuário?				Todas as contas dos usuários devem poder ser desativadas. Em alguns casos, os usuários são criados por um período determinado, que coincide com a validade do contrato de prestação de serviços, ficando a conta do usuário expirada após ultrapassar a data de término. ESSENCIAL
			h) É permitida a cópia de usuário no processo de cadastramento de usuários?				A cópia de um determinado usuário para outro é importante para efeito de ganho de tempo e confiabilidade no resultado. DESEJÁVEL
			i) Existe ação de bloqueio do usuário após “n” tentativas de logon com senha incorreta?				É um padrão de segurança, onde o usuário deve ter sua conta imediatamente bloqueada caso sejam feitas mais de “n” tentativas consecutivas de logon sem sucesso decorrentes de senha errada. O bloqueio deve ocorrer mesmo que as tentativas consecutivas se dêem em momentos diferentes. Um logon correto zera a contagem. ESSENCIAL
			j) O número de tentativas “n” para bloqueio é customizável?				Este número “n” de tentativas pode ser ajustado pelo próprio conforme política de segurança vigente. DESEJÁVEL
			k) É permitido ao administrador do sistema bloquear usuários de forma individual ou por um filtro?				Em alguns casos existe a necessidade de bloqueio de um ou vários usuários. Isto pode ser em decorrência de uma auditoria, suspeita de fraude ou demissão. ESSENCIAL
			l) Permite um perfil com acesso exclusivo para desbloquear e trocar a senha do usuário? Isto deve ocorrer somente para usuários bloqueados por tentativas de logon errado.				Este permite que o Help Desk efetue a troca de senha e o desbloqueio das contas de usuários na condição exclusiva de bloqueio por tentativas de logon errado e não de contas de usuários bloqueados pelo administrador do sistema. ESSENCIAL
			m) Existe histórico das últimas senhas utilizadas e que impeça a sua reutilização por um dado ciclo de trocas?				Esta memória é o registro de utilização das últimas senhas utilizadas e que não deverão se repetir. DESEJÁVEL
			n) Não é permitida a existência de usuário e/ou senha inscrito no código do programa. Seu sistema atende a este ponto?				Não deve existir qualquer tipo de usuário inscrito no código do programa. Isto fragiliza a segurança pois sua senha é comum e pode ser identificada. ESSENCIAL
			o) Permite a administração em massa de usuários?				A administração em massa permite que determinada modificação comum a muitos usuários seja feita a partir de uma única tela. DESEJÁVEL
			p) É permitida a troca de senha para todos os usuários?				A troca de senha é uma das principais garantias contra violação de acesso. Todos os usuários devem poder ter suas senhas trocadas, mesmo os usuários nativos/especiais do sistema. ESSENCIAL
			q) Usuário Master - É permitido que apenas um usuário tenha tal privilégio. Seu sistema atende este requisito?				Não devem ser permitidos vários usuários com acessos irrestritos. Deve existir apenas um usuário, que deverá ter sua senha trocada pelo CEPROMAT. ESSENCIAL
			r) Permite a segregação de funções para os usuários administradores?				Os usuários administradores possuem acessos mais restritos que o master. O administrador é personalizado a uma função, por exemplo DBA, backup, Segurança de Informações, etc. Por isso deve existir segregação de acesso. ESSENCIAL	Os usuários administradores possuem acesso mais restritos que o master. O administrador é personalizado a uma função, por exemplo DBA, backup, Segurança de Informações, etc. Por isso deve existir segregação de acesso. (ESSENCIAL)	Os usuários administradores possuem acesso mais restritos que o master. O administrador é personalizado a uma função, por exemplo DBA, backup, Segurança de Informações, etc. Por isso deve existir segregação de acesso. (ESSENCIAL)	Os usuários administradores possuem acesso mais restritos que o master. O administrador é personalizado a uma função, por exemplo DBA, backup, Segurança de Informações, etc. Por isso deve existir segregação de acesso. (ESSENCIAL)	Os usuários administradores possuem acesso mais restritos que o master. O administrador é personalizado a uma função, por exemplo DBA, backup, Segurança de Informações, etc. Por isso deve existir segregação de acesso. (ESSENCIAL)	Os usuários administradores possuem acesso mais restritos que o master. O administrador é personalizado a uma função, por exemplo DBA, backup, Segurança de Informações, etc. Por isso deve existir segregação de acesso. (ESSENCIAL)
			s) Os usuários Administradores e Gestores do Sistema possuem controle de acesso baseado no Modelo Proprietário?				Tipo de Controle de Acesso popular em sistemas operacionais como o UNIX(ROOT); O acesso amplo é definido aos donos da informação (EX:GESTOR); Uma distribuição formalizada de responsabilidades de funcionalidades é obtida. ESSENCIAL
			t) Demais usuários possuem controle de acesso do tipo discriminado?				Cada usuário ou grupo tem um acesso específico a uma determinada informação. ESSENCIAL.
			u) O sistema possui recurso de desconexão de terminal por tempo de inatividade por parte do usuário; (EX: 5 minutos)?				A desconexão de usuários após um determinado tempo de inatividade no sistema é necessária. ESSENCIAL.
			v) O sistema possui recurso que solicita a reautenticação de tantas em tantas horas, sem derrubar a sessão?				Forma de checar se após X horas de operação no sistema, o usuário é realmente o usuário que se autentificou no sistema. ESSENCIAL
			w) O sistema possui recurso de limitação do tempo de conexão a partir de um determinado horário;(EX: A partir das 6:00 até às 20:00 horas)?				A operação do sistema para determinados tipos de usuários, pode ser customizada, por dias da semana e faixas de horários. ESSENCIAL
	CONTROLE DE ACESSO DE USUÁRIOS	AUTENTICAÇÃO	a) O sistema permite reconhecer a autenticidade básica do usuário através de senha e palavra-chave adicional? Senhas baseadas em um segredo que apenas o usuário conhece poderão ser utilizadas?				Os usuários administradores e gestores ao acessarem informações
confidenciais, o farão através de autenticação. ESSENCIAL
			b) É possível definir tempo de alteração das senhas e palavras chaves para autenticação?				As senhas e palavras-chave possuem um determinado tempo de validade. DESEJÁVEL
			c) A estrutura das senhas e das palavras-chaves é a mesma apontada nos itens de controle de acesso?				A troca de senha e palavras-chave deve ser solicitada ao usuário após um determinado tempo pré-estabelecido. ESSENCIAL
			d) O sistema permite prever prazo a partir do qual se deve alertar o usuário sobre a necessidade de renovação de seus dados de autenticação?				Recurso que permite que o usuário seja alertado XX dias antes do período pré-estabelecido, que a sua senha e/ou palavra-chave de autenticação vai se expirar e que ele pode mudar esses dados se quiser. ESSENCIAL
			e) O sistema possui indicador de conta bloqueada (flag) com histórico: por expiração dos dados de autenticação e por número de tentativas erradas de autenticação, por outros motivos: afastamento por determinação superiores, licença prêmio, doença, etc....				No dia-a-dia de um sistema, usuários cujo perfil venham a requerer autenticação para acesso a determinados tipos de informacões, possuem recursos de indicação de conta bloqueada (flag) com histórico, seja por motivo de expiração dos dados de autenticação, seja por número de tentativas erradas de autenticação, seja por outros motivos: afastamento por determinação superior, licença-prêmio, doença, etc.... ESSENCIAL
			f) O sistema é capaz de detectar tentativas de autenticação de usuários que já se encontram ativos no sistema e prever após um determinado tempo mínimo, o bloqueio da conta em questão?				Pode ocorrer de uma determinada tentativa de autenticação no sistema corresponder aos dados de um usuário que já se encontra operando no sistema. Neste caso quem garante quem é o verdadeiro usuário? Aquele que está tentando entrar no sistema agora, ou o usuário que já se encontra no sistema? O bloqueio da conta em questão, nestas circunstâncias se fazem necessárias. DESEJÁVEL
			g) Existe expiração da conta do usuário?				Todas as contas dos usuários devem poder ser desativadas. Em alguns casos, os usuários são criados por um período determinado, que coincide com a validade do contrato de prestação de serviços, ficando a conta do usuário expirada após ultrapassar a data de término. ESSENCIAL
			h) É permitida a cópia de usuário no processo de cadastramento de usuários?				A cópia de um determinado usuário para outro é importante para efeito de ganho de tempo e confiabilidade no resultado. DESEJÁVEL.
			i) Usuário Master - É permitido que apenas um usuário tenha tal privilégio. Seu sistema atende este requisito?				Não devem ser permitidos vários usuários com acessos irrestritos. Deve existir apenas um usuário, que deverá ter sua senha trocada pelo CEPROMAT. ESSENCIAL
			j) Permite a segregação de funções para os usuários administradores?				Os usuários administradores possuem acesso mais restritos que o master. O administrador é personalizado a uma função, por exemplo DBA, backup, Segurança de Informações, etc. Por isso deve existir segregação de acesso. ESSENCIAL
			k) Os usuários Administradores e Gestores do Sistema possuem controle de acesso baseado no Modelo Proprietário?				Tipo de Controle de Acesso popular em sistemas operacionais como o UNIX(ROOT); O acesso amplo é definido aos donos da informação (EX: GESTOR); Uma distribuição formalizada de responsabilidades de funcionalidades é obtida. ESSENCIAL
			l) Demais usuários possuem controle de acesso do tipo discriminado?				Cada usuário ou grupo tem um acesso específico a uma determinada informação. ESSENCIAL.
		CONTROLE DE PERFIS	a) A partir de um perfil, podemos associar um ou mais usuários?				A partir de um determinado perfil existente, pode-se associar um ou mais usuários ao mesmo. Isto facilita a administração de associação de perfis a usuários. (DESEJÁVEL).
			b) Os perfis são customizáveis quanto a concessão de acessos?				Deve ser permitida a customização das funcionalidades do perfil, para adequação aos processos e às necessidades de negócio do CEPROMAT. DESEJÁVEL
			c) Os perfis permitem segregação de funções?				A segregação de funções é vital para inibir fraudes, criando dependência entre diferentes responsáveis para conclusão de uma dada atividade. Exemplo é o feito e conferido. ESSENCIAL
			d) Permite que os perfis associados aos usuários, tenham data de expiração, possibilitando delegações temporárias de atividades/responsabilidades?				A delegação de responsabilidade é uma atividade comum, e pode ser temporária ou não. Quando um funcionário entrar em seu período de férias, há necessidade de delegar, temporariamente, algumas de suas atividades a seu confiado. DESEJÁVEL
		CRIPTOGRAFIA	a) O tipo de criptografia utilizado é a assimétrica, com chaves de no mínimo 128 bits?				Informações de qual tipo de criptografia e qual o tamanho das chaves utilizadas são necessárias. ESSENCIAL.
			b) Como as chaves são armazenadas? Como as chaves são acessadas e construídas?				Informações de como são construídas as chaves e como eleas são armazenadas são necessárias. ESSENCIAL.
			c) O sistema permite prever criptografia para determinados tipos de informações e ações: Ex: usuário, senha, palavra-chave, identificador de credor (Nome, CNPJ ou CPF), identificadores de contas bancárias (Banco, agência e número de conta corrente) e valores numerários?				Informações consideradas essenciais e confidenciais para o negócio do cliente requerem criptografia. ESSENCIAL.
			d) O sistema posui mecanismo de não repúdio na origem. (Assinatura eletrônica) e mecanismo de não repúdio no recebimento.
(Uso de Unidade Certificadora com respaldo jurídico)?				De forma a se evitar que usuários solicitantes de algum dado confidencial, neguem a solicitação, e de que usuários neguem o recebimento de informações confidenciais. O não repúdio na origem e no recebimento faz-se necessário. ESSENCIAL.
		AUDITORIA	a) O aplicativo possibilita geração de log?				O log é essencial para o registro dos eventos do sistema, seja por usuário ou por falha do mesmo. ESSENCIAL
			b) Todas as tentativas de acesso com e sem sucesso dos usuários administradores e gestores são auditadas?
Incluir data (dia, hora, ano), usuário, identificação do terminal do usuário;				A trilha de auditoria permite rastrear os eventos ocorridos com sucesso, com os usuários administradores e gestores. Deve conter em seus registros a data e hora de logon/logoff, a identificação do autor(usuário), data e hora do evento, identificação do evento (inclusão, alteração e exclusão), valor do campo antes e depois da modificação, os eventos de manutenção do sistema/banco de dados, falhas do sistema, acessos ao banco de dados, etc. ESSENCIAL
			c) Permitir a identificação da máquina originadora do evento por IP ADDRESS e MAC ADDRESS?				Esta informação permitirá rastrear fisicamente o autor do evento. ESSENCIAL
			d) Os logs de auditoria são incrementais? Exportáveis?				Desta forma não perdemos qualquer histórico de eventos, pois os mesmos não são sobrepostos pelos eventos mais novos. DESEJÁVEL
			e) Os logs não devem ser modificados por qualquer tipo de usuário (nem pelos administradores). É atendido por seu sistema?				Os logs são registros importantíssimos e devem se manter íntegros e inalterados. Qualquer tentativa de modificação de seus registros, seja pelo sistema ou fora dele deve ser inibida. ESSENCIAL
			f) O log deve ser armazenado remotamente e não estar acessível, apenas com autorização da Segurança de Informações e Auditoria. Isto é possível?				O log deve ser devidamente armazenado e mantido íntegro. O acesso ao mesmo deve ser controlado e autorizado pelos responsáveis, Auditoria e Segurança da Informação. ESSENCIAL
			g) O sistema permite registrar qualquer alteração nas tabelas financeiras e de orçamento ?				As alterações de tabelas financeiras e de orçamento são fundamentais. ESSENCIAL
			h) Todas as conexões
diretas de usuários administradores e gestores ao banco de dados são auditáveis?				Todas as ações dos usuários administradores e gestores são auditáveis. ESSENCIAL
			i) É possível detectar/registrar anormalidades no volume de transações financeiras (custeio, grupo de despesas, empenhos, receita disponível)? É possível incluir no sistema a necessidade de um segundo liberador autorizado, caso o valor a ser liberado, ultrapasse um valor X pré-estabelecido?.				As transações financeiras possuem volumes pre-estabelecidos que devem ser monitorados e em caso de se ultrapassar um determinado valor a ser estabelecido, um segundo liberador autorizado será necessário, para se concretizar a liberação. ESSENCIAL.
			j) O sistema de auditoria permite: seleção: buscas, ordenações, classificações, filtros dos dados auditados (por data, usuário, por objeto do sistema, etc…)?				Por facilidade de operação o módulo de auditoria deve ser de fácil utilização, permitindo filtragem de informações auditáveis buscada. ESSENCIAL
			k) Um tamanho XX (espaço) das trilhas de auditoria foi previsto?				O tamanho para armazenamento dos dados de auditoria deve ser previsto. ESSENCIAL.
			l) O módulo de auditoria possui recurso de aviso ao administrador pelo sistema quando da proximidade da exaustão da trilha de auditoria? Em caso de estouro, da trilha de auditoria o sistema não pára?				O tamanho previsto para a trilha de auditoria não deve ser alcançado, e caso isso venha a ocorrer o sistema não deve parar de operar. ESSENCIAL.
			m) O envio de trilhas mais antigas para uma mídia de armazenamento maior e menos cara foi previsto?				Mídias de armazenamento maiores e menos caras devem ser previstas para o sistema. ESSENCIAL.
			n) Um período mínimo de manutenção da trilha de auditoria foi previsto?				O período mínimo de XX dias deve ser previsto para a manutenção da trilha de auditoria. ESSENCIAL
			o) Prever eventos de auditoria das importações e exportações de dados;				As importações e exportações de dados com o Banco do Brasil devem ser registradas. ESSENCIAL. As comunicações confidenciais entre o sistema e outros sistemas também devem ser registradas . DESEJÁVEL.
			p) O módulo de auditoria é capaz de registrar : data, hora e usuário que esteja tentando realizar autenticação sem sucesso?				As tentativas de autenticação sem sucesso devem ser registradas, apontando a data, hora e usuário. DESEJÁVEL
			q) O módulo de auditoria registra as tentativas de autenticação com contas que já se encontram operando no sistema?				O recurso de detecção de tentativa de autenticação, com dados de um usuário que já se encontra utilizando o sistema objetiva alertar que uma atividade suspeita já ocorreu, ou está prestes a ocorrer. ESSENCIAL.
			r) O módulo de auditoria é capaz de notificar determinados administradores quando ocorrer uma tentativa de invasão de forma online?				Notificações de tentativas de invasão ajudam os adminstradores a monitorarem atividades suspeitas. DESEJÁVEL.
		AMBIENTE WEB	a) Possui um mecanismo forte (por exemplo certificado) de autenticação do usuário?				Este mecanismo deve garantir a correta identificação do usuário, se necessário por mais de um nível de autenticação ou outro mecanismo de segurança. ESSENCIAL
			b) A solução possui geração de alertas quando há eventos de atualização de versão (devida ou indevida) e ataques (Ex: tentativa de utilização de uma senha)?				Este tipo de recurso aumenta a segurança da solução. DESEJÁVEL
		BANCO DE DADOS	a) É permitida a troca de senha do(s) usuário(s) de conexão com o banco por uma senha que o CEPROMAT julgue segura?				O(s) usuário(s) de conexão com o banco devem ter sua(s) senha(s) trocada(s) por uma senha que o CEPROMAT julgue segura. ESSENCIAL
			b) As senhas são armazenadas criptografadas?				As senhas necessariamente devem ser armazenadas criptografadas, garantindo sua confidencialidade. O algoritmo de criptografia deve ser reconhecidamente seguro e documentalmente justificado. ESSENCIAL
			c) Existem usuários nativos do banco de dados com acesso privilegiado? Quais são? As senhas devem ser trocadas por senhas que a CEPROMAT julgue segura.				Os usuários nativos, utilizados para manutenção do banco de dados, deverão ser substituídos por usuários equivalentes pessoais. Os usuários nativos devem ter suas senhas trocadas por senhas seguras e armazenados em local seguro. ESSENCIAL
			d) O usuário de conexão com o banco de dados deve ter sua senha trocada por outra que o CEPROMAT julgue segura. Isto é possível?				O usuário de conexão com o banco de dados, que é utilizado pela aplicação para permitir acesso a todos os usuários do sistema, deve ter sua senha trocada por uma que o CEPROMAT julgue segura. ESSENCIAL
			e) Acessos externos(remotos) a nossas informações, por parceiros ou clientes externos, implica que as informações devam ser armazenadas de forma segura, sendo criptografada. Seu sistema atende a este ponto?				Há necessidade de manter a confidencialidade e integridade das informações acessadas por parceiros e prestadores de serviço. Uma das maneiras de manter a confidencialidade é a criptografia. ESSENCIAL
			f) Todos os protocolos e portas de aplicações utilizadas no servidor de banco de dados são conhecidas?				Protocolos e portas de aplicação no servidor de banco de dados necessitam ser conhecidas. As portas de aplicações e protocolos que não são necessários, devem ser desabilitados/removidos. As portas de aplicações que serão utilizadas devem ser verificadas se são seguras, ou se uma outra porta de aplicação permite a realizaçào da comunicação necessária, de uma forma mais segura. ESSENCIAL
		RELATÓRIOS	a) Possui relatório de Usuário x Perfil (por filtro)?				O Relatório é essencial para a administração de usuários e perfis. Deve permitir extrair as informações de forma filtrada ou não. ESSENCIAL.
			b) Possui relatório de Perfil x Usuário (por filtro)?				O Relatório é essencial para a administração de usuários e perfis. Deve permitir extrair as informações de forma filtrada ou não. ESSENCIAL.
			c) Possui relatório de Perfis x Autorizações?				O Relatório permite visualizar os usuários que não estão utilizando o sistema após determinado número de dias, desde que tenham sido criados em datas anteriores à data desejada. ESSENCIAL.
			d) Possui relatório de usuários bloqueados (um para bloqueio pelo administrador e o outro para o bloqueio por tentativas de logon com senha errada ou tentativas de autenticações erradas)				O Relatório destina a verificar os usuários bloqueados pelo administrador do sistema ou por senha incorreta. ESSENCIAL
			e) Possui relatório de usuários com acessos críticos?				Este tipo de relatório destina-se a verificar os acessos realizados pelos usuários críticos. ESSENCIAL
			f) Possui relatório informando quais usuários que não se logam por um dado período(customizável) considerando que foram criados anteriormente ao período declarado?				O Relatório permite visualizar os perfis e suas configurações com opção de ser gerado com filtros. ESSENCIAL
		AMBIENTE OPERACIONAL	a) O sistema operacional, em conjunto com o aplicativo, permite a aplicação de todos os patches e checklist, mais recentes disponíveis no mercado por seus fabricantes?				Seja qual for a plataforma fim do sistema a ser adquirida, com ou sem tecnologia web, deve ter formalmente garantido que seja instalada num ambiente seguro, onde o servidor receba a aplicação de todos os patches e checklist, mais recentes disponíveis no mercado por seus fabricantes. ESSENCIAL
			b) Descrever tecnicamente os serviços, as portas e protocolos utilizados pelo aplicativo				Só serão liberados os recursos estritamente necessários à execução da aplicação. ESSENCIAL
			c) O CEPROMAT fará a troca de todas as senhas dos usuários masters que serão envelopadas e armazenadas em local seguro. Isto é possível?				As senhas dos usuários masters devem ser trocadas por senhas que o CEPROMAT julgue seguras. As senhas deverão ser envelopadas e armazenadas em
local seguro. DESEJÁVEL
			d) Existe algum mecanismo de segurança específico para este ambiente? Qual? Descrevê-lo.				Mecanismos de segurança de ambiente de rede ajudam a aumentar a segurança do sistema. DESEJÁVEL
			e) É possível que todos os usuários, administrativos ou masters, do ambiente possam ser administrados pelo CEPROMAT?				Não deve existir qualquer tipo de usuário, com qualquer perfil, que não tenha sido documentado neste formulário. ESSENCIAL
		APLICAÇÃO	a) A aplicação deve ser capaz de notificar o administrador, de forma automática, quando ocorrer uma tentativa de violação ou qualquer falha que apareça. Isto é possível?				É importante que a aplicação proporcione um elevado poder de administração, que possibilite identificar falhas ou tentativas de violação. DESEJÁVEL
			b) Detalhar e documentar tecnicamente como é garantida a integridade dos dados.				Descrever como é garantida a integridade das informações. ESSENCIAL
			c) Detalhar tecnicamente todas as interfaces de envio e recebimento de dados pela aplicação, comprovando que o processo é seguro.				As interfaces devem garantir a confidencialidade e integridade dos dados durante todos os trechos percorridos pela informação. Deve ser detalhado e documentado como este processo é feito e quais mecanismos de segurança são utilizados. ESSENCIAL
			d) A aplicação deve controlar o tempo de ociosidade do usuário, cancelando a sessão após um determinado tempo (customizável). É possível?				Este tempo de time-out é essencial para garantir que uma sessão não fique ociosa e onerando os recursos de rede e equipamento desnecessariamente. ESSENCIAL
			e) Caso o aplicativo possua a funcionalidade de envio de e-mail, declarar formalmente o tamanho e o conteúdo dos mesmos.				Descrever a funcionalidade do envio de e-mail. DESEJÁVEL
			f) Descrever tecnicamente os mecanismos utilizados para proteção da aplicação no momento da realização de uma interface				Deve ser detalhado tecnicamente e demonstrando formalmente quais são os mecanismos de segurança utilizados para manter a confidencialidade e integridade da interface. ESSENCIAL
		CONTINGÊNCIA	a) Descrever tecnicamente o procedimento de recuperação de desastre (DRP – Disaster Recovery Process) que detalhe os serviços do sistema essenciais para recuperação de dados				Descrever os procedimentos de recuperação de desastre. ESSENCIAL
		IMPORTAÇÃO DE DADOS	a) A importação de dados pelo sistema de dados do Banco do Brasil e de outros sistemas corporativos do Estado ( Exemplos: Sistema ARH, DÍVIDA ATIVA, DÍVIDA PÚBLICA, ARRECADAÇÃO, CONTRATOS, ETC...) tem a sua integridade, confidencialidade e disponibilidade garantida ?				A integridade é a garantia de que a informação saiu do ponto A e chegou no ponto B na sua forma original. A confidencialidade é a garantia de que somente que tem acesso a uma determinada informação, irá acessar essa informação. A disponibilidade é a garantia de que os dados estão disponiveis a qualquer momento. ESSENCIAL
			b) Os pontos por onde a informação que vem do Banco do Brasil ou de outros sistemas ( Exemplos: Sistema ARH, DÍVIDA ATIVA, DÍVIDA PÚBLICA, ARRECADAÇÃO, CONTRATOS, ETC...) são conhecidos?				Redes envolvidas entre os sistemas que precisam se comunicar. Protocolos/portas de aplicação utilizadas; ESSENCIAL
		EXPORTAÇÃO DE DADOS	a) A exportação de dados pelo sistema de dados do Banco do Brasil e de outros sistemas corporativos do Estado ( Exemplos: Aistema ARH, DÍVIDA ATIVA, DÍVIDA PÚBLICA, ARRECADAÇÃO, CONTRATOS, ETC...) tem a sus integridade, confidencialidade e disponibilidade garantida ?				A integridade é a garantia de que a informação saiu do ponto A e chegou no ponto B na sua forma original. A confidencialidade é a garantia de que somente que tem acesso a uma determinada informação, irá acessar essa informação. A disponibilidade é a garantia de que os dados estão disponiveis a qualquer momento. ESSENCIAL
			b) Os pontos por onde a informação saem para o Banco do Brasil ou para outros sistemas ( Exemplos: Aistema ARH, DÍVIDA ATIVA, DÍVIDA PÚBLICA, ARRECADAÇÃO, CONTRATOS, ETC...) são conhecidos?				Redes envolvidas entre os sistemas que precisam se comunicar. Protocolos/portas de aplicação utilizadas. ESSENCIAL
		AUTOPROTEÇÃO DOS DADOS DE SEGURANÇA	a) O sistema oferece proteção às próprias funções de segurança do sistema?				Exemplos de dados e atributos de segurança do sistema a se proteger: definições de controle de acesso, dados de autenticação, trilha de auditoria. ESSENCIAL.
			b) A solução prevê autoproteção do ambiente sobre a qual o sistema roda (disponibilidade de servidores, rede, ambiente, replicação, backup, links de comunicação de dados, acessos discados, etc...)?				O sistema não tem como manter a segurança sobre uma plataforama e/ou rede comprometida. ESSENCIAL
			c) O sistema possui recursos de testes da autoproteção?				Testar os recursos de autoproteção das funções e atributos de segurança. DESEJÁVEL
		RECUPERAÇÃO SEGURA	a) É possível a retomada do sistema, a fim de
permitir o retorno a um estado seguro e sem derrubar as sessões em aberto?				As sessões em aberto são mantidas em caso de problemas no sistema principal. DESEJÁVEL
			b) Em caso de solução em cluster e replicações de dados, a unidade replicada, assume?automaticamente a disponibilidade dos serviços;				O sistema continua operando via o cluster. ESSENCIAL
		GERENCIAMENTO DE SEGURANÇA	a) O sistema possui recursos que permite o gerenciamento das funções de segurança?				As funções de segurança implementadas são gerenciadas, de modo a se verificar que somente os administradores, ou os usuários que possuem acesso a determinadas funções ou informações de segurança do sistema estão tendo os referidos acessos. As funções, atributos e dados de segurança só são modificadas por usuário com perfil para essa função. ESSENCIAL
			b) O sistema possui recursos que permite o gerenciamento dos atributos de segurança?				As funções de segurança implementadas são gerenciadas, de modo a se verificar que sómente os administradores, ou os usuários que possuem acesso a determinadas funções ou informações de segurança do sistema estão tendo os referidos acessos. As funções, atributos e dados de segurança só são modificados por usuário com perfil para essa função. ESSENCIAL
			c) O sistema possui recursos que permite o gerenciamento dos dados de segurança?				As funções de segurança implementadas são gerenciadas, de modo a se verificar que somente os administradores, ou os usuários que possuem acesso a determinadas funções ou informações de segurança do sistema estão tendo os referidos acessos. As funções, atributos e dados de segurança só são modificadas por usuário com perfil para essa função. ESSENCIAL
			d) Existe Gerência de Configuração dos Fontes? Os códigos são documentados?				O gerenciamento das configurações e documentação dos códigos-fonte, constitui uma prática normatizada internacionalmente. ESSENCIAL.
	CONTROLE DE ACESSO DE USUÁRIOS	LINGUAGEM JAVA	a) Qual a versão de JAVA e de JVK que será utilizada?				As versões de linguagens de desenvolvimento podem requerer atualizações que corrigem/minimizam brechas de segurança. DESEJÁVEL
			b) Serão utilizados privilégios para classes/applets específicos baseados na fonte e/ou assinatura?				O uso de privilégios para classes e/ou applets aumenta a segurança do sistema. ESSENCIAL
			c) Serão utilizados mecanismos de Protection Domain, CodeSource, Permission, GuardedObject e Access Controller?				O uso desses tipos de mecanismos aumenta a segurança do sistema. ESSENCIAL
			d) Será utilizado o recurso de PolicyClass?				O uso desse tipo de mecanismo aumenta a segurança do sistema. ESSENCIAL
			e) A manipulação dos Objetos mais criticos irá requerer a passagem de uma referência?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			f) Cada Classe terá um ProtectionDomain?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			g) Está prevista alguma mistura de Protection Variables e PermissionChecks?
O uso desse recurso não é recomendado. ESSENCIAL
			h) Na alocação de diretórios/ arquivos locais será utilizado o recurso FilePermission Class?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			i) Serão implementados acessos a uma determinada máquina (via endereço IP ou via hostnames), utilizando-se o recurso SocketPermission do Permission Subclass?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			j) Serão implementados acessos a uma determinada porta de aplicação ou faixas de portas, utilizando-se o recurso SocketPermission do Permission Subclass?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			k) De que forma os direitos a propriedades serão dados via o recurso PropertyPermission do Permission SubClass?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			l) Todas as criações de novas permissões implicarão em mudanças no Security Manager?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			m) O recurso de Security Manager será utilizado para proteger um método e todas as instâncias?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			n) O recurso GuardedObject será utilizado para proteger uma referência numa instância individual?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			o) O recurso de Java Cryptografy Architeture será utilizado?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			p) O recurso de Java Secure Socket Extension será utilizado?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			q) O recurso de Java Authentication and Authorization Service será utilizado?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			r) Será executado algum teste para a checagem de eventuais erros em bytecode ou classloader?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			s) Que recursos sobre os applets estão previstos de serem utilizados sobre os applets de forma a se minimizar a evazão de medidas de segurança?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			t) Esta previsto teste dos recursos de segurança implementados no desenvolvimento?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
			u ) Está previsto a utilização de Runtime Security Check Algorithm?				O uso desse recurso aumenta a segurança do sistema. ESSENCIAL
ARQUITETURA DE REDE
		Subcaracterísticas	Perguntas	Respostas (S / N / NA)	Justificativas/Comentários/Necessidade de orçamento adicional para a implementação do item.	Anexos	Legendas
	ARQUITETURA DE CAMADAS	NÚMERO DE CAMADAS	O sistema possui arquitetura de 02 a 03 camadas (apresentação, aplicação e banco de dados)?				As arquiteturas atuais, utilizam 03 camadas (apresentação, aplicação e banco de dados) e cada camada representada por um segmento de rede diferente. ESSENCIAL
		PROTOCOLOS E PORTAS DE APLICAÇÃO(MATRIZ DE FLUXO)	Todos os protocolos e portas de aplicação a serem utilizadas entre os componentes do sistema e com outros sistemas, com a Internet e outros, foram levantados?		l		Habilitar os protocolos e abrir portas de aplicação necessários para a interação do sistema com outras redes e sistemas. ESSENCIAL
		GERENCIAMENTO SNMP	As comunidades SNMP utilizam nomes default do tipo Public ou Private?				Recomenda-se a utilização de nomes de comunidade SNMP diferentes de Public e Private. ESSENCIAL
		PORTAS DE APLICAÇÃO DEDICADAS AO SISTEMA	O sistema permite atribuir às aplicações não padronizadas, portas de aplicação diferentes?				Portas de aplicações dedicadas a determinadas funções não-padrão do sistema podem existir, e um número de porta diferenciado pode ser atibuido durante o desenvolvimento. DESEJÁVEL
		INTERFACES DE REDE POR COMPUTADOR SERVIDOR	Para cada computador servidor utilizado, a solução está prevendo uma placa de rede para administração e backup, uma placa de rede para apresentação ou aplicação ou banco de dados, uma placa de rede para interligacão ao Firewall e uma placa de rede reserva?				Segmentos diferentes são adotados para: cada camada (apresentação, aplicação e banco de dados), para administração/backup e para interligação de cada servidor ao Firewall. Para cada servidor utilizado, uma placa de rede reserva é prevista. ESSENCIAL.
		SWITCHES DA REDE INTERNA	Os switches onde os hosts servidores encontram-se interligados, possuem processadores e fontes de alimentação redundantes?				Os dispositivos de conectividade switches devem oferecer alta disponibilidade de conectividade aos hosts servidores. ESSENCIAL
		ACESSOS REMOTOS PARA ADMINISTRAÇÃO	Os acessos aos hosts servidores e dispositivos de conectividade aos quais os hosts servidores do sistema estão interligados ocorrerão de forma segura?				Os acessos aos hosts servidores e dispositivos de conectividade aos quais os hosts servidores do sistema estão interligados devem ser feitos via SSH (versão mais atuailizada) ou HTTPS. ESSENCIAL
		PORTAS DE ACESSO FÍSICO DOS DISPOSITIVOS DE CONECTIVIDADE	Os dispositivos de conectividade aos quais os hosts servidores do sistema estão conectados, estão com as portas console e auxiliar bloqueadas ou com acesso controlado?				As portas console e auxiliar dos dispositivos de conectividade devem ser possível estarem bloqueadas ou com acesso controlado. DESEJÁVEL
	CAPACITY PLAN DOS COMPUTADORES SERVIDORES	SISTEMA OPERACIONAL	O sistema operacional de cada computador já foi levantado? Informar par aceitável				Para cada sistema operacional adotado, prever após a sua instalação as atualizações de patches e serviços.O Hardening de cada sistema operacional deve ser feito. ESSENCIAL
		PROCESSADORES	O tipo e a quantidade/especificações de cada processador por computador servidor foram levantados?				A quantidade necessária e o desempenho necessário para cada servidor deve ser providenciado, prevendo-se uma margem de folga. ESSENCIAL
		QUANTIDADE DE MEMÓRIA RAM	O tipo e a quantidade de memória Ram por computador servidor foram levantados?				A quantidade de memória Ram necessária varia de acordo com: a aplicação, o número de usuários e número de aplicações extras executadas pelo Servidor. ESSENCIAL
		CAPACIDADE DE DISCO RÍGIDO	O tipo e a quantidade de espaço em disco rígido por computador servidor foi levantado?				O tipo e a quantidade de espaço em disco rígido necessários varia de acordo com: a aplicação, com o número de usuários e número de aplicações extras executadas pelo Servidor. ESSENCIAL
	FIREWALL	FIREWALL COM A INTERNET	Os endereços IP válidos utilizados pelo servidor Web da aplicação são gerados via NAT?				O endereço IP do servidor de aplicações Web é resultado do processo de translação de endereço de rede (NAT). ESSENCIAL
		FIREWALL ENTRE OS SEGMENTOS DOS COMPONENTES DO SISTEMA	As camadas de aplicação, apresentação, banco de dados estão separadas entre si por firewalls?				A segregação entre as diferentes camadas da arquitetura do sistema otimizam o desempenho de tráfego, e aumentam a segurança. ESSENCIAL
		REDUNDÂNCIA DOS FIREWALL	Os firewalls são redundantes?				A segurança fornecida pelo firewall pode ser comprometida, caso não haja redundância e alta disponibilidade do sistema de firewall. ESSENCIAL
	IDS	SISTEMA DE DETECÇÃO DE INTRUSÃO DE REDE	A rede possui sistemas de detecção de intrusão na entrada da Internet?				A detecção de intrusão na borda da rede com a Internet constitui uma forma pró-ativa de detecção de intrusão e atividades suspeitas. ESSENCIAL
		SISTEMA DE DETECÇÃO DE INTRUSÃO DE HOST SERVIDOR	Os hosts servidores mais críticos possuem IDS internos?				Sistemas de detecção de intrusão internos são indicados para os hosts servidores mais criticos do sistema. ESSENCIAL
	SISTEMA DE ENERGIA	SISTEMA DE NO-BREAK	Os hosts servidores são alimentados por mais de um sistema de no-break?				Um sistema de no mínimo, dois no-breaks é recomendado. ESSENCIAL
		GRUPO MOTOR GERADOR	Os hosts servidores possuem mais de uma fonte de alimentação de grupo-motor gerador?				Um sistema de pelo menos dois grupos-motores
geradores é o recomendado. ESSENCIAL.
		FONTES DE ALIMENTAÇÃO DOS COMPUTADORES SERVIDORES	Os computadores servidores possuem fontes de alimentação redundantes?				Os hosts computadores servidores devem possuir fonte de alimentação redundante, e cada fonte alimentada a partir de quadros de alimentação distintos. ESSENCIAL.
	AMBIENTE FÍSICO	SEGURANÇA FÍSICA	O ambiente físico onde ficam os servidores, possui controle de acesso restrito aos usuários de suporte e operação? Existe sistema de câmeras monitorando os hosts servidores? Existe acesso controlado por biometria?				A proteção de acesso físico é imprescindível para os ativos críticos da organização. ESSENCIAL.
		PROTEÇÃO CONTRA INCÊNDIOS	O ambiente físico onde ficam os servidores, possui proteção contra incêndios?				A proteção contra incêndio é fundamental para os ativos críticos da organização. ESSENCIAL.
		CABEAMENTO ESTRUTURADO E ÓPTICO	O sistema de cabeamento estruturado e óptico que os hosts servidores do sistema utilizam, estão protegidos? São redundantes?				A segurança do sistema de cabeamento é essencial para a manutenção da operação dos ativos. ESSENCIAL.
		REDUNDÂNCIA DOS HOSTS SERVIDORES	Foi previsto redundância para cada host servidor do sistema? É utilizado Cluster? De que tipo é o Cluster?				Os hosts servidores críticos devem possuir redundância. O uso de Cluster é recomendado. ESSENCIAL
		AMBIENTES DE DESENVOLVIMENTO, HOMOLOGAÇÃO E TESTES	Existem ambientes distintos e segregados para desenvolvimento, homologação e testes? O ambiente de desenvolvimento permite o envio dos fontes para fora ou recebimento de fontes de bibliotecas de fora?				A utilização de ambientes distintos e segregados para desenvolvimento, homologação e testes é uma recomendação internacional de desenvolvimento seguro. O fluxo controlado de entrada e saída dos fontes deve ser planejado e seguro. ESSENCIAL.
		CONTROLE DE TEMPERATURA E UMIDADE	O ambiente físico onde ficam os servidores, possui controle de temperatura e umidade?				O controle da temperetuta e da umidade do ambiente onde ficam os hosts servidores é necessário. ESSENCIAL
	SISTEMA OPERACIONAL DOS HOSTS SERVIDORES	HARDENING	Cada host servidor teve na instalação do seu sistema operacional, o processo de hardening realizado?				O processo de hardening do sistema operacional aumenta a segurança em profundidade do host servidor. ESSENCIAL
		SUPORTE AOS SISTEMAS	O suporte de sistema operacional é controlado, gerando registro em log, de todas as atividades realizadas por um determinado usuário com perfil de suporte (administrador)?				O controle das atividades realizadas pelo pessoal de suporte de sistema operacioanl é uma recomendação de segurança fundamental. ESSENCIAL.
		ATUALIZAÇÕES DAS VERSÕES DE SISTEMA OPERACIONAL	Existe processo/procedimentos operacional de atualização de patches, etc…. dos sistemas operacionais?				A atualização dos sistemas operacionais, é um processo contínuo, que a equipe de suporte deve realizar dentro do seu plano de trabalho. ESSENCIAL
	BANCO DE DADOS	HARDENING	Cada host servidor de banco de dados teve na instalação do seu banco de dados, o processo de hardening realizado?				O processo de hardening do banco de dados aumenta a segurança em profundidade do host servidor de BD. ESSENCIAL
		SUPORTE AO BANCO DE DADOS	O suporte de banco de dados é controlado, gerando registro em log, de todas as atividades realizadas por um determinado usuário com perfil de suporte (administrador de banco de dados)?				O controle das atividades realizadas pelo pessoal de suporte de banco de dados é uma recomendação de segurança imprescindível. ESSENCIAL.
		ATUALIZAÇÕES DAS VERSÕES DE SISTEMA OPERACIONAL	Existe processo/procedimentos operacionais de atualização de versões, etc…. do banco de dados?				A atualização do banco de dados, é um processo contínuo, que a equipe de suporte deve realizar dentro do seu plano de trabalho. ESSENCIAL
		BACKUP	Existe procedimento operacional de realização de backup do banco de dados e informações essenciais? Qual o tipo de backup utilizado? Existe segurança para as mídias de backup? Existe backup externo (cópia de segurança em local remoto)? Existe procedimento de teste regular dos backups realizados?				O backup é fundamental no dia-a-dia da vida de um sistema. A sua segurança, e a certeza de que cada backup realizado funciona, em casos de necessidades de restore, devem constituir atividades do dia-a-dia do suporte técnico. ESSENCIAL.
ARQUITETURA DE SOFTWARE
	ARQUITETURA DE SOFTWARE	Subcaracterísticas	Perguntas	Respostas (S / N / NA)	Justificativas/Comentarios/Necessidade de orçamento adicional para a implementação do ítem.	Anexos	Legendas
		Concepção	Foi feito o levantamento e análise das necessidades dos usuários e conceitos da aplicação, em nível de detalhe suficiente para justificar a especificação de um produto de software?				Levantamento e análise das necessidades dos usuários e conceitos da aplicação, em nível de detalhe suficiente para justificar a especificação de um produto de software. ESSENCIAL.
		Elaboração	Foi feito o levantamento dos requisitos de software/sistema?				Levantamento das funções, interfaces e requisitos funcionais desejados para o produto. ESSENCIAL.
			Foi levantada a análise dos requisitos do sistema?				Modelagem conceitual dos elementos relevantes do domínio do problema e uso desse modelo para validação dos requisitos e planejamento detalhado da fase de Construção. ESSENCIAL.
		Construção	Foi levantado o desenho implementável com os componentes internos e externos do sistema?				Definição interna e externa dos componentes de um produto de software, em nível suficiente para decidir as principais questões de arquitetura e tecnologia, e para permitir o planejamento detalhado das liberações. ESSENCIAL
			Foi levantado o subconjunto de funções do produto para avaliação pelos usuários?				Implementação de um subconjunto de funções do produto que será avaliado pelos usuários. ESSENCIAL
			Previsão/execução de Testes				Realização dos testes de aceitação, no ambiente dos desenvolvedores, juntamente com elaboração da documentação de usuário e possíveis planos de Transição. ESSENCIAL
							Realização dos testes de aceitação, no ambiente dos usuários. ESSENCIAL ??
							Operação experimental do produto em instalação piloto do cliente, com a resolução de eventuais problemas através de processo de manutenção. ESSENCIAL
		TRANSIÇÃO	Foi prevista a realização de uma operação piloto?				Operação experimental do produto em instalação piloto do cliente, com a resolução de eventuais problemas através de processo de manutenção. ESSENCIAL
FLUXOS TÉCNICOS
		Subcaracterísticas	Perguntas	Respostas (S / N / NA)	Justificativas/Comentarios/Necessidade de orçamento adicional para a implementação do ítem.	Anexos	Legendas
	FLUXOS TÉCNICOS	REQUISITOS	O fluxo que visa obter um conjunto de requisitos de um produto, acordado entre cliente e fornecedor foi levantado?				Fluxo que visa a obter um conjunto de requisitos de um produto, acordado entre cliente e fornecedor. ESSENCIAL
		ANÁLISE	O detalhamento, estruturação a avaliação dos requisitos, em termos de um modelo conceitual do problema, de forma que estes possam ser usados como base para o planejamento e acompanhamento detalhados da construção do produto foi levantado?.				Fluxo que visa a detalhar, estruturar e validar os requisitos, em termos de um modelo conceitual do problema, de forma que estes possam ser usados como base para o planejamento e acompanhamento detalhados da construção do produto. ESSENCIAL
		DESENHO	Foi formulado um modelo estrutural do produto que sirva de base para a implementação, definindo os componentes a desenvolver e a reutilizar, assim como as interfaces entre si e com o contexto do produto?				Fluxo que visa a formular um modelo estrutural do produto que sirva de base para a implementação, definindo os componentes a desenvolver e a reutilizar, assim como as interfaces entre si e com o contexto do produto. ESSENCIAL
		IMPLEMENTAÇÃO
Foi detalhado e implementado o desenho através de componentes de código e de documentação associada?				Fluxo que visa a detalhar e implementar o desenho através de componentes de código e de documentação associada.ESSENCIAL
		TESTES	Foram verificados os resultados da implementação, através do planejamento, desenho e realização de baterias de testes?				Fluxo que visa a verificar os resultados da implementação, através do planejamento, desenho e realização de baterias de testes. ESSENCIAL
		ENGENHARIA DE SISTEMAS	Foram levantadas as atividades relativas ao desenvolvimento do sistema no qual o produto de software está contido; por exemplo, modelagem de processos de negócio, implantação, usabilidade e criação de conteúdo?				Fluxo que abrange atividades relativas ao desenvolvimento do sistema no qual o produto de software está contido; por exemplo, modelagem de processos de negócio, implantação, usabilidade e criação de conteúdo. ESSENCIAL.
		OTIMIZAÇÃO	Foram levantadas os dados a serem verificados e documentados para as atualizações de software/sistema?				Fluxo que visa amostrar a atualização do software/sistema. ESSENCIAL.
MODELAGEM
		Subcaracterísticas	Perguntas	Respostas (S / N / NA)	Justificativas/Comentários/Necessidade de orçamento adicional para a implementação do ítem.	Anexos	Legendas
	MODELOS	Cadastro dos requisitos do Software	O modelo que contém os requisitos levantados, e as referências aos itens correspondentes dos modelos seguintes foi levantado?				Modelo que contém os requisitos levantados, assim como referências aos itens correspondentes dos modelos seguintes. ESSENCIAL.
		Modelo de Análise do Sofware	Os conceitos do domínio do problema a resolver que sejam relevantes para validação dos requisitos foram detalhados ?				Modelo que detalha os conceitos do domínio do problema a resolver que sejam relevantes para validação dos requisitos. ESSENCIAL
		Memória do Planejamento do Projeto do Software	Foram levantadas as informações necessárias para o planejamento e acompanhamento de tamanhos, esforços, custos, prazos e riscos do projeto?				Modelo que contém a informação necessária para o planejamento e acompanhamento de tamanhos, esforços, custos, prazos e riscos do projeto.ESSENCIAL
		Modelo do Desenho do Software	Foi detalhada a estrutura lógica e fisíca do produto, em termos de seus componentes?				Modelo que detalha a estrutura lógica e fisíca do produto, em termos de seus compenentes.ESSENCIAL
		Bateria de Testes de Regressão do Software	Foi levantado o conjunto dos scripts dos testes de regressão?				Conjunto dos scripts dos testes de regressão. ESSENCIAL.
		Códigos-Fontes do Software	Foi levantado o conjunto dos códigos- fontes produzidos?				Conjunto dos códigos fontes produzidos.ESSENCIAL
		Códigos-Executáveis do Software	Foi levantado o conjunto dos códigos-executáveis produzidos?				Conjunto dos códigos executáveis produzidos. ESSENCIAL.
DOCUMENTOS DO SISTEMA
		Subcaracterísticas	Perguntas	Respostas (S / N / NA)	Justificativas/Comentários/Necessidade de orçamento adicional para a implementação do item.	Anexos	Legendas
	DOCUMENTOS DO SISTEMA
		Especificação dos requisitos do Software	Foram documentadas as especificações dos requisitos de software/sistema?				Documento que descreve, de forma detalhada, o conjunto de requisitos especificados para um produto de Software. ESSENCIAL
		Plano de Desenvolvimento do Software	Foi documentado o desenvolvimento do software/sistema?				Documento que descreve, de forma detalhada, os compromissos que o fornecedor assume em relação ao projeto, quanto a recursos, custos, prazos, riscos e outros aspectos gerenciais. ESSENCIAL
		Plano de Qualidade do Software	Foi documentado o plano de qualidade do software/sistema?				Documento que descreve, de forma detalhada, os procedimentos de garantia da qualidade que serão adotados no projeto. ESSENCIAL
		Descrição do Desenho do Software	Foi documentado a descrição do desenho do software/sistema?				Documento que descreve de forma detalhada, os aspectos nais importantes do desenho de Software. ESSENCIAL
		Descrição dos testes do software	Foram documentados os testes com o software/sistema?				Documento que descreve de forma detalhada, os planos e especificações dos testes que serão executados. ESSENCIAL
		Manual do Usuário do Software	Foi documentado o Manual do Usuário do software/sistema?				Documento que serve de referência para o uso do produto. ESSENCIAL
RELATÓRIOS DE TESTES
		Subcaracterísticas	Perguntas	Respostas (S / N / NA)	Justificativas/Comentarios/Necessidade de orçamento adicional para a implementação do ítem.	Anexos	Legendas
	RELATÓRIOS	Relatórios dos Testes de Funcionalidade do Software	Foi elaborado Relatório dos Testes das Funcionalidades Software/Sistema?				Relatório que descreve os resultados dos testes de funcionalidade realizados.ESSENCIAL
		Relatórios dos Testes de Segurança do Software	Foi elaborado Relatório dos Testes de Segurança do Software/Sistema?				Relatório que descreve os resultados dos testes de segurança realizados.ESSENCIAL
		Relatórios de Revisão do Software	Foi elaborado Relatório de Revisão do Software/Sistema?				Relatório que descreve as conclusões da revisão de um artefato. ESSENCIAL
		Relatórios de Inspeção das Funcionalidades do Software	Foi elaborado Relatório de Inspeção de Funcionalidade de Software/Sistema?				Relatório que descreve as conclusões da inspeção das funcionalidades de um artefato. ESSENCIAL.
		Relatórios de Inspeção de Funções e Atributos de Segurança do Software	Foi elaborado Relatório de Inspeçãode Funções e Atributos de Segurança de Software/Sistema?				Relatório que descreve as conclusões da inspeção de Funções e Atributos de Segurança de um artefato. ESSENCIAL.
		Relatórios das Auditorias da Qualidade do Software	Foi elaborado Relatório de Auditoria da Qualidade do Software/Sistema?				Relatório que descreve as conclusões de uma auditoria da qualidade. ESSENCIAL
		Relatórios de Acompanhamento do Projeto do Software	Foi elaborado Relatório deAcompanhamento do Projeto do Software/Sistema?				Relatório que descreve esforços, custos, prazos e riscos do projeto, até a data corrente .ESSENCIAL.
		Relatório Final do Projeto do Software	Foi elaborado Relatório Final do Projeto do Software/Sistema?				Relatório de balanço final do projeto. ESSENCIAL
FUNCIONALIDADES DO SISTEMA
		Subcaracterísticas	Perguntas	Respostas (S / N / NA)	Justificativas/Comentarios/Necessidade de orçamento adicional para a implementação do ítem.	Anexos	Legendas
	FUNCIONALIDADE	Adequação	Propõe-se a fazer o que é apropriado?				Fornecimento de um conjunto de funções adequado para as tarefas especificadas e os objetivos dos usuários;ESSENCIAL
		Precisão/Acurácia	Faz o que foi proposto de forma correta?				Fornecimento dos resultados corretos ou acordados com o grau necessário de precisão.ESSENCIAL
		Conformidade	Está de acordo com as normas, leis etc?				Aderência a normas, convenções ou regulamentações previstas em leis e prescrições similares, relacionadas à funcionalidade.ESSENCIAL
		Segurança de acesso	Evita acesso não autorizado aos dados?				Proteção a informação e os dados de forma que pessoas ou sistemas não autorizados não possam lê-los ou modificá-los e pessoas e sistemas autorizados não tenham negado o acesso aos mesmos; ESSENCIAL
	CONFIABILIDADE	Maturidade	Com que freqüência apresenta falha?				Prevenção de falhas provocadas por defeitos;DESEJÁVEL
		Tolerância a falhas	Ocorrendo falhas como ele reage?				Permanência de um nível de desempenho especificado em casos de defeitos ou de violação de suas interfaces;ESSENCIAL
		Recuperabilidade	É capaz de recuperar dados em caso de falhas?				Restabelecimento do nível de desempenho especificado e recuperar os dados diretamente afetados, em caso de falha.ESSENCIAL
	USABILIDADE	Inteligibilidade:	É fácil entender o conceito e a aplicação?				Permite ao usuário entender se o software é adequado e como ele pode ser usado para tarefas e condições de uso específicas.
ESSENCIAL
		Apreensibilidade	É fácil aprender a usar?				Permite ao usuário aprender a sua aplicação;
		Operacionalidade	É fácil operar e controlar?				Permite ao usuário sua operação e controle;
	EFICIÊNCIA	Comportamento em relação ao tempo	Qual o tempo de resposta, e a velocidade de execução?				Fornecimento de tempo de resposta e de processamento ao realizar suas funções sob condições estabelecidas;
		Comportamento em relação aos recursos	Quanto recurso usa? Durante quanto tempo?				Usar quantidade e tipos adequados de recursos quando o software realiza suas funções sob condições estabelecidas.
	MANUTENIBILIDADE	Analisabilidade	É fácil de encontrar uma falha, quando ocorre?				Diagnóstico em relação a deficiências ou causas de falhas no software, ou para identificar as partes a serem modificadas
		Modificabilidade:	É fácil modificar e adaptar?				Permitir que uma modificação especificada seja implementada;
		Estabilidade	Há grande risco quando se faz alterações?				Prevenção de efeitos inesperados, ocasionados por modificações no software;
		Testabilidade	É fácil testar quando se faz alterações?				Permitir que suas modificações sejam validadas;
		Segurança de acesso	Evita acesso não autorizado aos dados?				Proteção a informação e os dados de forma que pessoas ou sistemas não autorizados não possam lê-los ou modificá-los e pessoas e sistemas autorizados não tenham negado o acesso aos mesmos;

Teste o Premium para desbloquear

Aproveite todos os benefícios por 3 dias sem pagar! 😉
Já tem cadastro?

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

LikeFooter
DislikeFooter

Gestão de Segurança da Informação

13.422 Materiais compartilhados

mobile

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Outros materiais

Materiais relacionados

16 pág.
Segurança e Privacidade

Faculdade Descomplica

User badge image

ruffi

17 pág.
Prova descomplica modulo segurança

Faculdade Descomplica

User badge image

ruffi

Perguntas relacionadas

Question Icon

Qual alternativa apresenta ações em comum tanto sobre as práticas de gerenciamento tradicional quanto ágil? a. Plano de comunicação auxiliar; via...

User badge image

Estudando com Questões

Question Icon

No Brasil, a ABNT é o único Foro Nacional de Normalização representante da ISO reconhecida pela sociedade brasileira desde a sua fundação, em 28 de...

User badge image

Estudando com Questões

Question Icon

mplementando a ISO 27001 em uma organização financeira, é essencial considerar todos os aspectos da segurança da informação. Esta norma internacion...

User badge image

Paulo César Santos

Question Icon

No contexto da segurança da informação, pode-se pensar em segurança como uma proteção contra o acesso à informação por pessoas não autorizadas, mod...

User badge image

Junior Ruas

Outros materiais