Questão Q570459

A norma ABNT NBR ISO/IEC 27002:2005 contém uma categoria para a segurança da informação que trata de procedimentos e responsabilidades operacionais. Essa categoria é composta por vários controles, dentre os quais existe um que se refere à separação dos recursos de desenvolvimento, de teste e de produção.

Que diretriz de implementação NÃO está em acordo com os procedimentos recomendados pela referida norma, no que tange à separação dos recursos de desenvolvimento, de teste e de produção?

Alternativas

Os ambientes de testes devem emular o ambiente de produção o mais próximo possível.

Software em desenvolvimento e software em produção devem, sempre que possível, ser executados em diferentes sistemas ou processadores e em diferentes domínios ou diretórios.

Os usuários devem ter os mesmos perfis para sistemas em testes e em produção, e os menus devem mostrar mensagens de identificação apropriadas para que o risco de erros seja reduzido.

Dados sensíveis não devem ser copiados para os ambientes de testes.

Compiladores, editores e outras ferramentas de desenvolvimento ou utilitários de sistemas não devem estar disponíveis em ambientes de produção.

Comentários

10.1.4 Separação dos recursos de desenvolvimento, teste e de produção
Convém que os seguintes itens sejam considerados:
a) as regras para a transferência de software da situação de desenvolvimento para a de produção sejam
definidas e documentadas;
b) software em desenvolvimento e o software em produção sejam, sempre que possível, executados em
diferentes sistemas ou processadores e em diferentes domínios ou diretórios;
c) os compiladores, editores e outras ferramentas de desenvolvimento ou utilitários de sistemas não
sejam acessíveis aos sistemas operacionais, quando não for necessário;
d) os ambientes de testes emulem o ambiente de produção o mais próximo possível;
e) os usuários tenham diferentes perfis para sistemas em testes e em produção, e que os menus
mostrem mensagens apropriadas de identificação para reduzir o risco de erro;
f) os dados sensíveis não sejam copiados para os ambientes de testes (ver 12.4.2).
Estranho né...porque como vc vai testar uma funcionalidade no ambiente de teste (que é independente) do de produção com um perfil diferente? por exemplo, vc vai testar uma funcionalidade que sua equipe desenvolveu, não pode ter o mesmo perfil? ora como vai testar? ter o mesmo usuário é diferente de ter o mesmo perfil. Entendi, mas não compreendi.
Mandou bem calango...seguindo o mesmo raciocínio...como vou testar uma função que manipula dados sensíveis se não posso copiá-los...vou criá-los?
@Mario Verdibello: sim, você vai criar dados fictícios para poder testar o sistema. Você não pode simplesmente dar uma cópia dos dados sensíveis para uma pessoa conduzir testes. O testador simplesmente não deve ter acesso ao BD de produção da organização, visto que ele não é um funcionário com permissão sobre esses dados.

@Calango Tango: são dois ambientes diferentes: teste e produção. Um usuário pode ter perfil nos dois, um perfil no ambiente de testes para realizar os testes e outro no de produção para trabalhar. Ele vai ter 2 perfis neste caso. Isso ocorre porque os dois ambientes são totalmente separados, não havendo sobreposição dos dois.

SóProvas

Continue usando...

O que está incluso