A norma ISO/IEC 15408 é um modelo flexível com um conjunto de métodos para a avaliação de segurança de produtos e sistemas de TI, como software, firmware e ou hardware. Dentre os conceitos de segurança avaliados pela norma ISO 15408, se destaca a confidencialidade, integridade e disponibilidade da informação.
A confiabilidade constitui em não permitir a visualização e ou obtenção de um conteúdo a usuários não autorizados, a integridade constitui em não permitir a alteração de um conteúdo indevidamente, e disponibilidade da informação constitui em um sistema resistente a falhas, disponível no período máximo possível.
A norma ISO 15408 é um modelo que apoia diferentes atividades, Dentre estas atividades pode se destacar como principais beneficiados os consumidores, desenvolvedores e avaliadores. O consumidor pode se beneficiar da utilização da norma, para avaliar com maior propriedade um produto de TI e a partir do resultado dessa avaliação decidir se o produto de TI satisfaz a suas necessidades de segurança.
Os desenvolvedores podem se utilizar da norma para a elaboração, execução e desenvolvimento de produtos e sistemas seguros, assim como para a identificação de requisitos de segurança. Os avaliadores podem se beneficiar da norma ao realizar julgamentos sobre a conformidade dos produtos e sistemas avaliados em relação a suas necessidades de segurança, embora a norma não especifique os procedimentos a serem seguidos.
A abrangência que a norma apresenta a torna útil como material de referência para as partes com interesse ou responsabilidade pela segurança de TI, que não se limita aos consumidores, desenvolvedores e avaliadores, como também auditores seja eles internos ou externos, responsáveis pela adequação da segurança de TI, arquitetos de software, designers entre outros.
A partir da algumas análises é possível destacar três pontos importantes na norma ISO 15408, que são complementares entre si e devem ser considerados em relação à segurança no desenvolvimento de software, na qual é possível identificar procedimentos que se aplicam a manutenção de software, sendo elas:
- Segurança no ambiente de desenvolvimento: em um ambiente inseguro existe o risco de perda de códigos-fontes, alteração de códigos-fontes, assim como, qualquer arquivo necessário para o bom funcionamento de um produto de TI, entre outras ocorrências que venham a comprometer a confidencialidade deste produto, o que mostra ser impossível a obtenção de um software seguro em um ambiente inseguro.
Neste ponto, a norma mostra a necessidade de se restringir espaços físicos, realizar a gerência de configuração dos códigos fonte, com controle de acesso, sendo eles físico e lógico, assim como ter processos bem estabelecidos e controlados, junto a evidencia destes controles.
- Segurança da aplicação desenvolvida: refere à qualidade do código fonte do software, na qual a utilização de boas práticas de programação torna o código fonte mais confiável, e pode garantir a segurança de uma aplicação. Este ponto necessita de um ambiente de desenvolvimento seguro, além de uma boa especificação de segurança assim como a realização dos testes necessários.
- Garantia da segurança na aplicação desenvolvida: não compreende apenas fazer uma aplicação segura, mas como também realizar outras ações que permita ao cliente ou usuário se assegurar que o sistema é seguro. Esta garantia pode ser realizada por meio de testes validados pelo usuário, que podem ser verificados em ambientes independentes. Neste ponto é necessário especificar a segurança de forma clara e objetiva, desenvolver conforme essa especificação e realizar testes para verificar o atendimento da especificação original.
A norma ISO 15408 está com o foco voltado para a avaliação da segurança. A identificação do ambiente e de procedimentos seguros para a manutenção de software é importante para a confiabilidade do conteúdo a ser modificado assim como suas vias de comunicação, centrando a ocorrência de problemas em outras áreas, já que a integridade das informações será maior.