sREI - 482-497 - Ensaios para testes de segurança do Software.pdf

m BU

Processo: ^H^Folha: " 4ifel7Func: -~

Laboratrio de Sistemas Integrveis Tecnolgico

PROJETO SREI

Sistema de Registro Eletrnico Imobilirio

PA 1.9.6 - Ensaios para testes de segurana do Software

SREI

Ttulo PROJETO SREI: PA 1.9.6 - Ensaios para testes desegurana do Software SREI

Verso Verso 1.1 desenvolvimento 4

Data da liberao 05/04/2012

Classificao LSI-TEC:RestritoAutores Gislaine Bueno, Volnys Bernal

Propriedade LSI-TEC e CNJ

Restries de acesso LSI-TEC, CNJeARISP

laboratriode Sistemas Integrveis Tecnolgico

Sumrio

Sumrio

1 INTRODUO 32 VISO GERAL DAORGANIZAO DOS REQUISITOS PARA SOFTWARE SREI 4

2.1 Segurana 5

2.1.1 Controle de verso do software 6

2.7.2 Gerenciamento de usunos 6

2.1.3 Identificao e autenticao dos usurios 102.1.4 Controle da sesso do usurio 16

2.1.5 Autorizao e controle de acesso 19

2.1.6 Integridade e disponibilidade dos registros eletrnicos 222.1.7 Segurana dos canais de comunicao 232.1.8 Rastreabilidade dos eventos 24

2.1.9 Tempo 27

2.1.10 Notificao de ocorrncias 272.1.11 Documentao do software SREI 28

3 REFERNCIAS BIBLIOGRFICAS 30

Ttulo Verso Classificao PginaPROJETO SREl: PA 1.9.6 - Ensaios paratestes de segurana do Software SREI

v1.1.r.4 LSI-TEC:Restrito 2/31

fI/20Z7lahoraterio de Sistemas Integrveis Tecnolgico

Processo: ^Jil^Folha: H tf'5Func:~ h

laboratrio de Sistemas Integrveis Tecnolgico

2 Viso geral da organizao dos requisitos para software

SREI

Esta seo apresenta uma viso geral da organizao dos requisitos para software

SREI, abordando os seguintes tpicos:

Ensaios relacionados aos requisitos de segurana do SREI

Ttulo Verso Classificao Pgina

PROJETO SREl: PA 1.9.6 - Ensaios paratestes de segurana do Software SREI


Processo:

Folha:

m^u

HMFunc: &

2.1 Segurana

'\s sees a seguir apresentam os ensaios que devem ser utilizados para avaliar os requisitos relacionados segurana do SREI.

No contexto deste documento, o termo "registro" possui duplo sentido. Pode se referir ao "registro imobilirio" ou ao "registro deeventos" no sentido de log. Para evitar esta situao, sempre que possvel, quando for necessrio se referir ao "registro de logs"ser utilizado o termo "anotao de evento".

Os ensaios esto distribudos conforme a estrutura utilizada para descrever os requisitos:

Controle de verso do software;

Gerenciamento de usurios;

Identificao e autenticao dos usurios; Controle da sesso do usurio;

Autorizao e controle de acesso;

Integridade e disponibilidade dos registros eletrnicos; Segurana dos canais de comunicao; Rastreabilidade dos eventos;

Tempo;

Notificao de ocorrncias; Documentao do software.

BSU7-rmoSgU

2.1.1 Controle de verso do software

A utilizao de controle da verso do software possibilita associar problemas, funcionalidades e estgio de certificao a umadeterminada verso. um controle importante para a segurana do ciclo de vida do software e, tambm, para o processo decertificao do software.

ID Ref Requisito Descrio

SEG.E001 SEG.CV.01 Verso dosoftware

PR: Verificar se o SREI possui recurso para visualizar a nome, fornecedor e nmero daverso do software em uso.

RE: Estas informaes devem estar contidas no SREI e devem ser acessveis ao usurio

SEG.E002 SEG.CV.02 Controle deverses dosoftware

PR: Verificar se o SREI possui recurso de repositrio estruturadoRE: 0 fornecedor DEVE possuir um repositrio estruturado contendo todas as verses doscomponentes (executveis e cdigos-fonte).

2.1.2 Gerenciamento de usurios

ID Ref Requisito Descrio

SEG.E003 SEG.GU.01 Identificaonica do usurio

PR: Verificar se o sistema capaz de identificar de forma unvoca os usurios cadastradosno sistema;

1) Verificarse o sistema capaz de localizar e diferenciar homnimos;2) Verificarse o sistema possui controle de duplicidade.

a. Inserir um novo usurio preenchendo todos os campos ( estado, nome, CPF,etc)



&aanDeve ser realizada a validao do nmero do CPF inserido;

b. Em um segundo momento, tentar inserir um novo usurio com o mesmoidentificador, CPF, etc.

c. Desativar o usurio criado no item "a" e repetir a operao sugerida no item"b"

RE:

Item 1 - Operao deve ser possvelItem 2 -

a. Deve ser realizado com sucesso;

b e c. 0 sistema no deve permitir o sucesso das operaes contidas nesses itens.

SEG.E004 SEG.GU.02 Gerenciamentode usurios

PR:

1) Acessar o sistema com o usurio administrador e criar dois usurios;2) Atribuir papis distintos aos usurios recm-criados, como exemplos;

- "Atendente";

- "Escrevente";

3) Criar dois grupos distintos e inserir cada usurio em um grupo4) Solicitar o acesso ao sistema com os usurios criados para atestar a criao e

atribuies dos papis e grupos

R: Deve ser possvel criar usurios, atribuir papis e grupos

"


PR:

Acessar o sistema com o usurio administrativo e realizar as seguintes operaes:1) Modificar o usurio com papel de "Atendente" para o papel de "Operador";2) Desabilitar o usurio com papel de "Atendente"

Ttulo Verso Classificao PginaPROJETO SREI: PA 1.9.6 - Ensaios paratestes de segurana do Software SREI


RE: Todas as operaes DEVEM ser realizadas com sucesso, comprovando a possibilidadede gerenciamento de usurios, papis e grupos.


PR: Autenticar no SREI utilizando o usurio com papel de "Atendente" e tentar acessar asinformaes restritas somente ao "Oficial"RE: 0 sistema no DEVE permitir o acesso.

SEG.E007 SEG.GU.03 Remoo deusurios

PR:

1) Acessar o SREI com o usurio Administrador de TI e tentar excluir o usurio"Atendente";

2) Ainda com o usurio "Administrador", inativar o usurio "Atendente" e tentar exclui-lo.RE: 0 SREI NO DEVE permitir a excluso do usurio.0 SREI DEVE permitir desabilitar o usurio

SEG.E008 SEG.GU.04 Papeis deusurios

PR:

1) Criao de GruposCriar grupos de usurios considerando as funes exercidas:

Solicitante

Operador de registro imobilirio Operador de TI

Corregedor

2) Criao de usurios:Criar os seguintes usurios e inseri-los nos grupos correspondentes:

Solicitante:

o Cliente


v1.1.r,4 LSI-TEC: Restrito 8/31

G5Z7nMgrvw 7*-noUg>

Documents

sREI - 482-497 - Ensaios para testes de segurança do Software.pdf