sREI - 635-692 - Relatório da modelagem do processo atual.pdf
sREI - 482-497 - Ensaios para testes de segurança do Software.pdf
-
Upload
sergio-jacomino -
Category
Documents
-
view
219 -
download
0
Transcript of sREI - 482-497 - Ensaios para testes de segurança do Software.pdf
-
m BU
Processo: ^H^Folha: " 4ifel7Func: -~
Laboratrio de Sistemas Integrveis Tecnolgico
PROJETO SREI
Sistema de Registro Eletrnico Imobilirio
PA 1.9.6 - Ensaios para testes de segurana do Software
SREI
Ttulo PROJETO SREI: PA 1.9.6 - Ensaios para testes desegurana do Software SREI
Verso Verso 1.1 desenvolvimento 4
Data da liberao 05/04/2012
Classificao LSI-TEC:RestritoAutores Gislaine Bueno, Volnys Bernal
Propriedade LSI-TEC e CNJ
Restries de acesso LSI-TEC, CNJeARISP
-
laboratriode Sistemas Integrveis Tecnolgico
Sumrio
Sumrio
1 INTRODUO 32 VISO GERAL DAORGANIZAO DOS REQUISITOS PARA SOFTWARE SREI 4
2.1 Segurana 5
2.1.1 Controle de verso do software 6
2.7.2 Gerenciamento de usunos 6
2.1.3 Identificao e autenticao dos usurios 102.1.4 Controle da sesso do usurio 16
2.1.5 Autorizao e controle de acesso 19
2.1.6 Integridade e disponibilidade dos registros eletrnicos 222.1.7 Segurana dos canais de comunicao 232.1.8 Rastreabilidade dos eventos 24
2.1.9 Tempo 27
2.1.10 Notificao de ocorrncias 272.1.11 Documentao do software SREI 28
3 REFERNCIAS BIBLIOGRFICAS 30
Ttulo Verso Classificao PginaPROJETO SREl: PA 1.9.6 - Ensaios paratestes de segurana do Software SREI
v1.1.r.4 LSI-TEC:Restrito 2/31
-
fI/20Z7lahoraterio de Sistemas Integrveis Tecnolgico
Processo: ^Jil^Folha: H tf'5Func:~ h
-
laboratrio de Sistemas Integrveis Tecnolgico
2 Viso geral da organizao dos requisitos para software
SREI
Esta seo apresenta uma viso geral da organizao dos requisitos para software
SREI, abordando os seguintes tpicos:
Ensaios relacionados aos requisitos de segurana do SREI
Ttulo Verso Classificao Pgina
PROJETO SREl: PA 1.9.6 - Ensaios paratestes de segurana do Software SREI
v1.1.r.4 LSI-TEC:Restrito 4/31
-
Processo:
Folha:
m^u
HMFunc: &
2.1 Segurana
'\s sees a seguir apresentam os ensaios que devem ser utilizados para avaliar os requisitos relacionados segurana do SREI.
No contexto deste documento, o termo "registro" possui duplo sentido. Pode se referir ao "registro imobilirio" ou ao "registro deeventos" no sentido de log. Para evitar esta situao, sempre que possvel, quando for necessrio se referir ao "registro de logs"ser utilizado o termo "anotao de evento".
Os ensaios esto distribudos conforme a estrutura utilizada para descrever os requisitos:
Controle de verso do software;
Gerenciamento de usurios;
Identificao e autenticao dos usurios; Controle da sesso do usurio;
Autorizao e controle de acesso;
Integridade e disponibilidade dos registros eletrnicos; Segurana dos canais de comunicao; Rastreabilidade dos eventos;
Tempo;
Notificao de ocorrncias; Documentao do software.
-
BSU7-rmoSgU
2.1.1 Controle de verso do software
A utilizao de controle da verso do software possibilita associar problemas, funcionalidades e estgio de certificao a umadeterminada verso. um controle importante para a segurana do ciclo de vida do software e, tambm, para o processo decertificao do software.
ID Ref Requisito Descrio
SEG.E001 SEG.CV.01 Verso dosoftware
PR: Verificar se o SREI possui recurso para visualizar a nome, fornecedor e nmero daverso do software em uso.
RE: Estas informaes devem estar contidas no SREI e devem ser acessveis ao usurio
SEG.E002 SEG.CV.02 Controle deverses dosoftware
PR: Verificar se o SREI possui recurso de repositrio estruturadoRE: 0 fornecedor DEVE possuir um repositrio estruturado contendo todas as verses doscomponentes (executveis e cdigos-fonte).
2.1.2 Gerenciamento de usurios
ID Ref Requisito Descrio
SEG.E003 SEG.GU.01 Identificaonica do usurio
PR: Verificar se o sistema capaz de identificar de forma unvoca os usurios cadastradosno sistema;
1) Verificarse o sistema capaz de localizar e diferenciar homnimos;2) Verificarse o sistema possui controle de duplicidade.
a. Inserir um novo usurio preenchendo todos os campos ( estado, nome, CPF,etc)
Ttulo Verso Classificao PginaPROJETO SREl: PA 1.9.6 - Ensaios paratestes de segurana do Software SREI
v1.1.r.4 LSI-TEC:Restrito 6/31
-
&aanDeve ser realizada a validao do nmero do CPF inserido;
b. Em um segundo momento, tentar inserir um novo usurio com o mesmoidentificador, CPF, etc.
c. Desativar o usurio criado no item "a" e repetir a operao sugerida no item"b"
RE:
Item 1 - Operao deve ser possvelItem 2 -
a. Deve ser realizado com sucesso;
b e c. 0 sistema no deve permitir o sucesso das operaes contidas nesses itens.
SEG.E004 SEG.GU.02 Gerenciamentode usurios
PR:
1) Acessar o sistema com o usurio administrador e criar dois usurios;2) Atribuir papis distintos aos usurios recm-criados, como exemplos;
- "Atendente";
- "Escrevente";
3) Criar dois grupos distintos e inserir cada usurio em um grupo4) Solicitar o acesso ao sistema com os usurios criados para atestar a criao e
atribuies dos papis e grupos
R: Deve ser possvel criar usurios, atribuir papis e grupos
"
SEG.E005 SEG.GU.02 Gerenciamentode usurios
PR:
Acessar o sistema com o usurio administrativo e realizar as seguintes operaes:1) Modificar o usurio com papel de "Atendente" para o papel de "Operador";2) Desabilitar o usurio com papel de "Atendente"
Ttulo Verso Classificao PginaPROJETO SREI: PA 1.9.6 - Ensaios paratestes de segurana do Software SREI
v1.1.r.4 LSI-TEC:Restrito 7/31
-
RE: Todas as operaes DEVEM ser realizadas com sucesso, comprovando a possibilidadede gerenciamento de usurios, papis e grupos.
SEG.E006 SEG.GU.02 Gerenciamentode usurios
PR: Autenticar no SREI utilizando o usurio com papel de "Atendente" e tentar acessar asinformaes restritas somente ao "Oficial"RE: 0 sistema no DEVE permitir o acesso.
SEG.E007 SEG.GU.03 Remoo deusurios
PR:
1) Acessar o SREI com o usurio Administrador de TI e tentar excluir o usurio"Atendente";
2) Ainda com o usurio "Administrador", inativar o usurio "Atendente" e tentar exclui-lo.RE: 0 SREI NO DEVE permitir a excluso do usurio.0 SREI DEVE permitir desabilitar o usurio
SEG.E008 SEG.GU.04 Papeis deusurios
PR:
1) Criao de GruposCriar grupos de usurios considerando as funes exercidas:
Solicitante
Operador de registro imobilirio Operador de TI
Corregedor
2) Criao de usurios:Criar os seguintes usurios e inseri-los nos grupos correspondentes:
Solicitante:
o Cliente
Ttulo Verso Classificao PginaPROJETO SREl: PA 1.9.6 - Ensaios paratestes de segurana do Software SREI
v1.1.r,4 LSI-TEC: Restrito 8/31
-
G5Z7nMgrvw 7*-noUg>