Análise da sistemática de homologação e certificação de produtos cibernéticos : estudo de caso comparativo entre empresas e órgãos reguladores

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Mecânica, 2017.Esta dissertação realiza um diagnóstico da sistemática de homologação e certificação de produtos cibernéticos através da comparação com o Modelo de Referência Mecatrônico (MRM), para o desenvolvimento de produtos mecatrônicos, proposto por Barbalho (2006). Discute o conceito de produto cibernético como produto mecatrônico, destacando a existência desses produtos em infraestruturas de Tecnologias de Informação e Comunicação (TIC), assim como a necessidade de proteger tais produtos de ataques cibernéticos. Descreve os processos das fases de homologação (9) e validação (10) do MRM, assim como os documentos gerados ao final de cada uma. Fases estas, que serão utilizadas na elaboração dos formulários para realização do diagnóstico do estudo de caso em 5 empresas incluindo tanto o setor público como o privado. Utiliza dois formulários para a realização do diagnóstico: Formulário de Análise do Processo de Homologação do Produto e Formulário de Análise do Processo de Certificação do Produto, os quais são baseados em pergunta(s)/resposta(s). Apresenta-se um terceiro Fomulário de Análise baseado nos requisitos de segurança do produto descritos na Norma ISO/IEC_15408: Common Criteria for Information Technology Security Evaluation (2012), abordando as seguintes áreas: Perfil de Proteção, Desenvolvimento do produto, Documentação, Ciclo de Vida, Avaliação da Segurança, Testes, Análise de Vulnerabilidades e Níveis de garantia para avaliação do produto. O trabalho utiliza dois procedimentos de pesquisa: a pesquisa bibliográfica e o estudo de caso. A utilização do diagnóstico serviu para identificar as práticas de homologação e certificação empregadas pelas empresas e órgãos públicos do estudo de caso, sendo a base para sugerir melhorias para as empresas analisadas e diretrizes para órgãos públicos realizarem a aquisição de tais produtos. Verificou-se que o MRM, com algumas adaptações, incluindo requisitos previstos nas Normas ISO/IEC_15408 e IEEE 1012, pode ser aplicado para a homologação e certificação de produtos cibernéticos. Dessa forma, isso contribui na elaboração de estratégias de certificação e homologação de produtos cibernéticos. Além disso, permitiu identificar as lacunas na bibliografia pesquisada, como a inexistência de uma padronização para homologar e certificar produtos cibernéticos. Como direções para pesquisas futuras, sugere-se a exploração dos tipos de testes realizados pelos laboratórios acreditados, o que requer uma análise mais profunda e específica.This dissertation performs diagnosis of the systematic of approval and cyber products certification through comparison with the Mechatronics Reference Model (MRM), for the development of mechatronic products, proposed by Barbalho (2006). Discusses the concept of cyber product as mechatronic product, highlighting the existence of these products in infrastructure of information and communication technologies (ICTs), as well as the need to protect such products from cyber-attacks. Describes the processes of phases of approval (9) and (10) MRM validation, as well as the documents generated at the end of each one. These phases will be used in the preparation of forms for diagnosis of the case study in 5 companies including both the public as the private sector. Are used two forms for the diagnosis: Form of analysis of the product approval process and Form of Analysis of the product Certification process, which are based on question(s) / answer(s). It is presented a third Form of analysis based on the security requirements of the product described in ISO/IEC_15408: Common Criteria for Information Technology Security Evaluation (2012), addressing the following areas: Profile, Product Development, Documentation, Lifecycle, Security assessment, Tests, Vulnerability analysis and Assurance levels for product evaluation. The work uses two research procedures: the bibliographical research and case study. The use of the diagnosis has served to identify the approval and certification practices employed by companies and public sectors in the case study, being the base to suggest improvements for companies reviewed and guidelines for public agencies to carry out the purchase of such products. It was found that the MRM, with some adaptations, including foreseen requirements in ISO/IEC_15408 and IEEE 1012 Standards, can be applied for the approval and certification of cyber products. Thereby, it contributes in the development of strategies for certification and approval of cyber products. Besides, it allows to identify the gaps in the researched bibliography, As the absence of standardization to homologate and certify products. As directions for future research, it is suggested the exploration of the types of tests performed by accredited laboratories, which requires a deeper and specific analysis

Análise da sistemática de homologação e certificação de produtos cibernéticos : estudo de caso comparativo entre empresas e órgãos reguladores.

As empresas, independentemente da área de atuação, dependem extremamente de tecnologias de informação e comunicação na realização de suas atividades. O objetivo deste trabalho é a realização de um diagnóstico da sistemática de homologação e certificação de produtos cibernéticos e identificação dos requisitos de segurança utilizados nas empresas e organismos de certificação através da comparação com um modelo de referência em desenvolvimento de produtos. Este artigo busca responder três questões: 1. Que adaptações seriam necessárias a um modelo de referência em desenvolvimento de produtos para que possa ser aplicado em empresas cujos produtos são cibernéticos? 2. Em Órgãos Reguladores há adequação dos requisitos para homologação e certificação de produtos cibernéticos aos propostos no trabalho? 3. Em empresas desenvolvedoras de produtos cibernéticos, há atendimento aos requisitos de homologação e certificação propostos no trabalho? O trabalho utiliza dois procedimentos de pesquisa: a pesquisa bibliográfica e estudo de caso. A utilização do diagnóstico serviu para identificar as práticas de homologação e certificação empregadas pelas empresas e órgãos públicos. Além disso, contribui na elaboração de estratégias de certificação e homologação de produtos cibernéticos

Diagnosis of approval and certification processes of cybernature products : perspectives for the construction of a national system

O uso de computadores, tablets, smartphones, relógios inteligentes, smartmeters, sistemas GPS e assim por diante, traz um benefício comum a todos aqueles que acessam tais tecnologias, porém, ao mesmo tempo, tais sistemas têm uma influência fundamental no aspecto da privacidade do indivíduo. Desta forma, torna-se premente em nossa sociedade ter um sistema que permita homologar e certificar produtos de natureza cibernética. O presente artigo tem como objetivo retratar um diagnóstico dos processos de homologação e certificação de produtos de natureza cibernética que são usados por órgãos da administração central e pelas forças armadas, com vistas a desenvolver um Sistema Nacional de homologação e certificação desse tipo de produto. A fim de desenvolver o diagnóstico foram realizadas pesquisas documentais em órgãos responsáveis pela certificação de produtos tecnológicos e foram realizados estudos de caso em cinco organizações públicas e privadas. Os resultados desses estudos foram sistematizados para serem validados em grupo focal com especialistas. Demonstrou-se uma visão compartilhada pelas empresas e órgãos quanto ao aspecto da certificação de produtos, mas não houve um entendimento consensual sobre a homologação. Foram identificados ainda processos realizados por órgãos governamentais que fogem ao escopo tradicional da homologação de produtos na literatura científica.The use of computers, tablets, smartphones, smart clocks, smartmeters, GPS systems and so on bring a common benefit to all those who access such technologies, but at the same time such systems have a fundamental influence on the individual privacy. In this way, it becomes imperative in our society to have a system that allows homologating and certifying cyber-nature products. The present article aims to portray a diagnosis of the approval and certification processes for products of cybernetic nature by public agencies in Brazil with a view to developing a National System for approval and certification. In order to develop the diagnosis, document research was carried out in bodies responsible for certification of technological products and case studies were carried out in five public and private organizations. The results of these studies were systematized to be validated by a focal group of specialists. There was a shared view of companies and bodies regarding the aspect of product certification, but there was no consensus on the homologation procedures. Also were identified some processes performed by government agencies that are outside the traditional scope of homologation

Resenha: BECCARIA, Cesare. Dos delitos e das penas

Não se aplica. Resenha de livro