-
ISO 27002 - PAG. 81 - 14.2.1 Política de desenvolvimento seguro
-
14.2.1 Política de desenvolvimento seguro
Desenvolvimento seguro é um requisito para construir um serviço, uma arquitetura, um software e um sistema seguro. Dentro de uma política de desenvolvimento seguro, convém que os seguintes aspectos sejam considerados:
f) segurança no controle de versões;
ISO 27002:2013
-
Letra D
14.2.1 Política de desenvolvimento seguro
Controle
Convém que regras para o desenvolvimento de sistemas e software sejam estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organização.
Diretrizes para implementação
Desenvolvimento seguro é um requisito para construir um serviço, uma arquitetura, um software e um sistema seguro. Dentro de uma política de desenvolvimento seguro, convém que os seguintes aspectos sejam considerados:
a) segurança do ambiente de desenvolvimento;
b) orientações sobre a segurança no ciclo de vida do desenvolvimento do software:
1) segurança na metodologia de desenvolvimento do software;
2) diretrizes de códigos seguro para cada linguagem de programação usada.
c) requisitos de segurança na fase do projeto;
d) pontos de verificação de segurança no cronograma do projeto;
e) repositórios seguros;
f) segurança no controle de versões;
g) necessários conhecimentos de segurança de aplicações;
h) capacidade dos desenvolvedores de evitar, encontrar e corrigir vulnerabilidades.
Convém que as técnicas de programação seguras sejam usadas tanto para novos desenvolvimentos como para cenários de reuso dos códigos, onde as normas aplicadas ao desenvolvimento podem não ser conhecidas ou não estarem consistentes com as melhores práticas atuais. Convém que Normas de códigos seguro sejam consideradas e, onde relevante, seja exigido o seu uso.
Convém que os desenvolvedores sejam treinados no uso das técnicas de programação segura, e os testes e as análises críticas de código verifiquem a necessidade de uso dessas técnicas.
Quando o desenvolvimento é terceirizado, convém que a organização obtenha garantia de que a parte externa está em conformidade com essas regras para o desenvolvimento seguro (ver 14.2.7).
Informações adicionais
O desenvolvimento também pode ocorrer dentro das aplicações, como as aplicações para escritório, scripts, navegadores e banco de dados.
ISO 27002:2013
-
14 Aquisição, desenvolvimento e manutenção de sistemas
14.2.1Política de desenvolvimento seguro
Controle
Convém que regras para o desenvolvimento de sistemas e software sejam estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organização.
Diretrizes para implementação
Desenvolvimento seguro é um requisito para construir um serviço, uma arquitetura, um software e um sistema seguro. Dentro de uma política de desenvolvimento seguro, convém que os seguintes aspectos sejam considerados:
a)segurança do ambiente de desenvolvimento;
b)orientações sobre a segurança no ciclo de vida do desenvolvimento do software:
1)segurança na metodologia de desenvolvimento do software;
2)diretrizes de códigos seguro para cada linguagem de programação usada.
c)requisitos de segurança na fase do projeto;
d)pontos de verificação de segurança no cronograma do projeto;
e)repositórios seguros;
f)segurança no controle de versões;
g)necessários conhecimentos de segurança de aplicações;
h)capacidade dos desenvolvedores de evitar, encontrar e corrigir vulnerabilidades.
Convém que as técnicas de programação seguras sejam usadas tanto para novos desenvolvimentos como para cenários de reuso dos códigos, onde as normas aplicadas ao desenvolvimento podem não ser conhecidas ou não estarem consistentes com as melhores práticas atuais. Convém que Normas de códigos seguro sejam consideradas e, onde relevante, seja exigido o seu uso.
Convém que os desenvolvedores sejam treinados no uso das técnicas de programação segura, e os testes e as análises críticas de código verifiquem a necessidade de uso dessas técnicas.
Quando o desenvolvimento é terceirizado, convém que a organização obtenha garantia de que a parte externa está em conformidade com essas regras para o desenvolvimento seguro (ver 14.2.7).
Informações adicionais
O desenvolvimento também pode ocorrer dentro das aplicações, como as aplicações para escritório, scripts, navegadores e banco de dados.
-
Analisando os itens:
a) os aspectos de segurança devem ser observador ao longo de todo o ciclo de vida do desenvolvimento de software, e não somente em determinada fase;
b) a norma não obriga, e nem poderia obrigar, que uma empresa somente desenvolvesse software internamente. Ela prevê aspectos de segurança para cada tipo de desenvolvimento, interno ou externo. No caso do externo, deve-se exigir que a organização externa esteja em conformidade com as regras do desenvolvimento seguro.
c) nem toda a informação que circula em uma organização é critica o suficiente para exigir-se criptografia, ainda mais em conexões que não exigem autenticação (provavelmente são conexões que não exigem muita segurança);
d) Correto! A princípio, versões de software mais recentes são mais seguras, mas, caso entenda-se que uma versão mais nova de um software é um risco à segurança, isso será ponderado.
e) as práticas e procedimentos devem ser os mesmos, tanto para o desenvolvimento quanto para a manutenção do software.
Resposta certa, alternativa d).