9.1.1 (K2): Compreender os benefícios do uso de padrões de testes de segurança e onde encontrá los.

Compreendendo os Padrões de Testes de Segurança

Os padrões ajudam:
– Fornecer consenso em uma indústria;
– Definir obrigação regulatória mínima.

Os padrões são:
– A opinião considerada de um corpo experiente de especialistas;
– Disponibilizado para uso voluntário em acordos contratuais.

Os padrões podem ser complementados por regulamentos em indústrias específicas (finanças, médicos, transportes, energia, etc.) ou para agências governamentais.

Os Benefícios do Uso de Padrões de Testes de Segurança

Os padrões fornecem orientação e consistência:
– Listas de verificação comuns e completas;
– Aprovado por especialistas.

Benefícios:
– Eles definem uma estrutura para testes de segurança eliminando a necessidade de iniciar a partir de uma página em branco;
– Eles descrevem defesas eficazes e como testar os ataques de segurança mais comuns;
– Os padrões podem ser adaptados para atender às necessidades do projeto ou da organização;
– A devida diligência nos testes.

Padrões de Testes de Segurança – Exemplo:

ISO / IEC 15408 Critérios comuns:
– Padrão internacional para segurança informática, conhecido como Critérios comuns e aplicável em muitos países, incluindo França e EUA;
– Ele constitui a base para um esquema de certificação orientado pelo governo e inclui reconhecimento mútuo;

Inclui:
– Parte 1: define conceitos gerais e princípios de avaliação de segurança de TI; apresenta construções para expressar objetivos de segurança de TI, selecionando e definindo os requisitos de segurança de TI e escrevendo especificações de alto nível para produtos e sistemas;
– Parte 2: estabelece um conjunto de componentes funcionais;
– Parte 3: estabelece um conjunto de componentes de garantia e critérios de avaliação.