Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CSEI-GSEI
GSEI Seguridad en el Proceso de Desarrollo de Software
24/11/09
Seguridad en el Proceso de
Desarrollo de Software
Versin 0.9
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 1 / 28
VERSIN DEL: 24/11/2009
INTRODUCCIN ..................................................................................................................................... 5
OBJETIVO .................................................................................................................................................... 5
ALCANCE..................................................................................................................................................... 5
CONSIDERACIONES GENERALES ........................................................................................................................ 5
ASIGNACIN DE RESPONSABILIDADES O FUNCIONES Y RESPONSABILIDADES ............................................................. 6
POLTICA ................................................................................................................................................ 7
REQUISITOS DE SEGURIDAD DE LOS SISTEMAS..................................................................................................... 7
Anlisis y Especificaciones de los Requisitos de Seguridad ................................................................. 7
AMBIENTES EN EL PROCESO DE DESARROLLO. .................................................................................................... 8
Desarrollo: ........................................................................................................................................... 8
Testeo:................................................................................................................................................. 8
Produccin: ......................................................................................................................................... 8
CONTROL DE ACCESO .................................................................................................................................... 9
CONTROLES CRIPTOGRFICOS ....................................................................................................................... 10
Utilizacin de Controles Criptogrficos. ............................................................................................ 10
Cifrado............................................................................................................................................... 11
Firma Digital ..................................................................................................................................... 11
Servicios de No Repudio .................................................................................................................... 11
Administracin de Claves .................................................................................................................. 12
Proteccin de Claves Criptogrficas ............................................................................................................. 12
Procedimientos y Mtodos .......................................................................................................................... 12
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 2 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 3 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 4 / 28
VERSIN DEL: 24/11/2009
Alcance
Este documento aplica a los sistemas informticos desarrollados en el B.P.S. o desarrollado por
terceros para el BPS, la infraestructura que utilicen, y las personas que participen del proceso
de desarrollo, tanto explicita como implcitamente.
El grupo de Gestin de Seguridad de la Informacin ser el encargado de las definiciones
presentadas en este documento as como proponer los cambios que sean pertinentes.
CDES, ATEC, Metodologa y ASIT son las responsables de aprobar este documento.
Consideraciones generales
Desde las primeras etapas del proceso de Ingeniera de Software deben considerarse aspectos
de seguridad. Desde el anlisis ya deben identificarse los requisitos de seguridad que luego la
aplicacin deber cumplir.
Deber tenerse en cuenta que no solamente deben programarse las aplicaciones para que
cumplan con los requisitos de seguridad de la aplicacin en s, sino que adems el proceso de
desarrollo deber cumplir con los requisitos que se proponen en este documento, as como
tambin con los requisitos incluidos en las Polticas de Seguridad de la Informacin.
Durante el Anlisis deben identificarse los requisitos de seguridad as como su respectiva
validacin.
En la etapa de Diseo debern disearse los controles necesarios para satisfacer los requisitos
identificados anteriormente.
En la etapa de Implementacin deben implementarse los controles de seguridad adems de
aplicarse los controles relativos al proceso de desarrollo de software, aquellos controles que
deban estar en la aplicacin, como por ejemplo validaciones a realizarse en el software,
encriptado, etc.
En fase de Verificacin se debe verificar adecuadamente que los requisitos de seguridad de la
aplicacin se cumplen.
Notar que ciertos controles sern transversales a todas las fases.
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 5 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 6 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 7 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 8 / 28
VERSIN DEL: 24/11/2009
Control de Acceso
Todos los sistemas que no sean de libre acceso debern contar con control de acceso basado
en roles.
La autorizacin deber realizarse sobre el mismo sujeto que se autentica o tambin podr
requerirse mayor informacin que permita obtener la autorizacin con granularidad ms fina.
Como ejemplo: se autentica una aplicacin, se autoriza a la aplicacin junto con el usuario que
la utiliza.
El tipo de autenticacin/autorizacin vara de acuerdo al sujeto y a los nodos. Es recomendable
que entre distintos nodos exista autenticacin, y autorizacin. Por ejemplo en una interaccin
entre un usuario con una aplicacin web, que se aloja en un servidor web, el cual se comunica
con un servidor de aplicaciones, el que finalmente accede a la bases de datos. A nivel de
comunicacin con la base de datos, si la aplicacin/componente es de solo lectura, deber
utilizarse un usuario de genrico propio de la aplicacin para acceder a la base de datos (no es
compartido con ninguna otra aplicacin) con derechos de solo lectura.
Si la aplicacin/componente es de escritura, entonces pueden tomarse, por ejemplo, las
siguientes alternativas:
1.
2.
Contar con dos usuarios de la base de datos propios de la aplicacin. Uno tendr
derechos de solo lectura y se utilizar para aquellas funciones donde solo se requiera
consulta. Y un segundo usuario con derechos de escritura.
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 9 / 28
VERSIN DEL: 24/11/2009
User1
user2@domain
Datos
user: application_A
(read/write)
User2
Servidor
user3@domain
User3
Controles Criptogrficos
Se utilizarn sistemas y tcnicas criptogrficas para la proteccin de la informacin en base a
un anlisis de riesgo efectuado, con el fin de asegurar una adecuada proteccin de su
confidencialidad e integridad.
Utilizacin de Controles Criptogrficos.
El B.P.S. define el siguiente conjunto de controles criptogrficos, a fin de determinar su
correcto uso.
Para ello se indica que se utilizarn controles criptogrficos en los siguientes casos:
1. Para la proteccin de claves de acceso a sistemas, datos y servicios.
2. Para la transmisin de informacin clasificada, fuera del mbito del B.P.S.
3. Para el resguardo de informacin, cuando as surja de la evaluacin de riesgos
realizada por el Dueo de la Informacin y el Responsable de Seguridad Informtica.
4. Se desarrollarn procedimientos respecto de la administracin de claves, de la
recuperacin de informacin cifrada en caso de prdida, compromiso o dao de las
claves y en cuanto al reemplazo de las claves de cifrado.
5. El Responsable del Desarrollo, del rea Informtica propondr la siguiente asignacin
de funciones:
a. Implementacin de los Controles Criptogrficos
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 10 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 11 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 12 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 13 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 14 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 15 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 16 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 17 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 18 / 28
VERSIN DEL: 24/11/2009
Verificacin de la Seguridad.
La verificacin de la seguridad se debe dar en distintos niveles:
En el desarrollo de un componente, clase o conjunto de mtodo. (en el cdigo
desarrollado o el que se est desarrollando).
En la vista externa de los componentes de una aplicacin (caja Negra).
La aplicacin (como sistema global).
Sistema de aplicaciones.
Estado de salud de la aplicacin en produccin.
Verificacin de la seguridad en el desarrollo intracomponente.
Se debe verificar la seguridad del cdigo que se est desarrollado intracomponente, sin
esperar a que sea verificado cuando se est listo.
Es tarea del desarrollador realizar esta verificacin.
Es deseable contar con herramientas que ayuden al desarrollador a lograr este objetivo, para
facilitar su trabajo. Ejemplos de este tipo de herramientas pueden ser aquellas que realizan
revisiones de cdigo automticas.
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 19 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 20 / 28
VERSIN DEL: 24/11/2009
Seguridad en la implementacin
En el documento se han dado pautas y recomendaciones para distintas etapas, en esta seccin
se busca describir aspectos relacionados de manera cercana a la implementacin, conteniendo
en algunos casos algn detalle de diseo. El desarrollador no deber remitirse a esta seccin
solamente sino que deber conocer todo el documento.
Se debern seguir los estndares definidos en los circulares de tecnologa publicados por ASIT.
Para evitar la prdida, modificacin o uso inadecuado de los datos pertenecientes a las
aplicaciones, se establecern controles y registros de auditora, verificando:
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 21 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 22 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 23 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 24 / 28
VERSIN DEL: 24/11/2009
Responsable de Infraestructura
Es el responsable informtico de la infraestructura informtica del organismo.
Responsable de Auditora
Es el responsable de las revisiones de auditora
Dueo de la Informacin
Es un individuo no informtico responsable del negocio del organismo.
Implantador
Es el encargado de realizar la puesta en funcionamiento de un componente o sistema
informtico.
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 25 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 26 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 27 / 28
VERSIN DEL: 24/11/2009
ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9
CREADO: 2009-11-23
N. PG: 28 / 28
VERSIN DEL: 24/11/2009