PROCESSOS DE DESENVOLVIMENTO DE SOFTWARE CONFIÁVEL BASEADOS EM PADRÕES DE SEGURANÇA

• Main Author: Wagner, Rosana
• Other Authors: Fontoura, Lisandra Manzoni
• Format: Others
• Language: Portuguese
• Published: Universidade Federal de Santa Maria 2011
• Subjects: Segurança da informação; Padrões de segurança; Processos de software; SSE-CMM; Information security; Security patterns; Software processes; CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO
• Online Access: http://repositorio.ufsm.br/handle/1/5370

Coordenação de Aperfeiçoamento de Pessoal de Nível Superior === Organizations face a series of difficulties in answering to the demands that are projected by the norms and models of software security. The norms and models provide a set of good security practices which should followed but do not describe how these practices must be implemented. Security patterns document good security solutions which can be incorporated to the software process. However they are difficult to be incorporated in each software development phase. In way, this work proposes a methodology for the adaptation of software processes based on security requirements that are preconized by the security practices of the Systems Security Engineering Capability Maturity Model (SSE-CMM). The basis for adaptation is a process framework that is elaborated from the Rational Unified Process (RUP) and security patterns proposed on the literature. By means of this methodology, the project managers, or related roles, find support for their decisions referent to the implementation of information security. In addition, some process area2 pattern association rules have initially been proposed and inserted in the framework. Although they are only suggestions and should be adapted according to the necessity of each project. In addition they should be adjusted according to the understanding of each project engineer or manager. Finally, they should evolve to the extent that the organization learns from past projects. The methodology and the association rules are supported by a developed tool, the SMT- Tool. The aim of this tool is to help the development of the process adaptation task. === As organizações enfrentam uma série de dificuldades para atender às exigências previstas pelas normas e modelos de segurança de software. As normas e modelos fornecem um conjunto de boas práticas de segurança que devem ser seguidas, mas não descrevem como essas práticas devem ser implementadas. Padrões de segurança documentam boas soluções de segurança que podem ser incorporadas ao processo de software, mas são difíceis de serem incorporados em cada fase do desenvolvimento de software. Desta forma, a proposta deste trabalho propõe uma metodologia para adaptação de processos de software com base em requisitos de segurança, preconizados pelas práticas de segurança do Systems Security Engineering Capability Maturity Model (SSE-CMM). A adaptação tem como base um framework de processo elaborado a partir do Rational Unified Process (RUP) e de padrões de segurança propostos na literatura. A partir desta metodologia, os gerentes de projetos, ou papéis relacionados, encontram suporte para suas decisões referentes à implementação de segurança da informação. Ainda, algumas regras de associações de padrões às áreas de processo1, descritas pelo SSE-CMM, foram inicialmente propostas e inseridas no framework, porém, são apenas sugestões e devem ser adaptadas conforme a necessidade de cada projeto, bem como do entendimento de cada engenheiro ou gerente de projeto, e devem evoluir a medida que a organização aprenda com projetos passados. A metodologia e as regras de associações são suportadas por uma ferramenta, a SMT- Tool, desenvolvida com o objetivo de apoiar a realização da tarefa de adaptação de processos.