10 Desenvolvimento e manutenção de sistemas

10.1 Requisitos de segurança nos sistemas
Objetivo: Assegurar que a segurança seja embutida nos sistemas de informações.
Isto incluirá infra-estrutura, aplicações do negócio e aplicações desenvolvidas pelos usuários. O projeto e a implementação do processo corporativo que dá suporte à aplicação ou ao serviço pode ser crucial para a segurança. Os requisitos de segurança devem ser identificados e acordados antes do desenvolvimento de sistemas de informação.
Todos os requisitos de segurança, incluindo a necessidade de arranjos para fallback, devem ser identificados na fase de requisitos de um projeto e justificados, acordados e documentados como parte do “business case” geral para um sistema de informações.

10.1.1 Análise e especificação dos requisitos de segurança
Os relatórios com os requisitos do negócio para novos sistemas, ou melhorias em sistemas existentes, devem especificar as necessidades de controles. Tais especificações devem considerar os controles automatizados a serem incorporados no sistema e a necessidade de suportar controles manuais. Considerações similares devem ser aplicadas ao se avaliar pacotes de software para aplicações do negócio. Se considerado apropriado, a gerência pode desejar utilizar produtos certificados e avaliados de forma independente.
Os requisitos de segurança e controles devem refletir o valor para o negócio dos ativos de informação envolvidos e o prejuízo potencial para o negócio, que poderia resultar de uma falha ou ausência de segurança. A base para se analisar os requisitos de segurança e identificar os controles para satisfazê-los é a avaliação de riscos e gerenciamento de riscos.
Os controles introduzidos no estágio de projeto são significativamente mais baratos de se implementar e manter do que aqueles incluídos durante ou após a implementação.

10.2 Segurança em sistemas aplicativos
Objetivo: Impedir perda, modificação ou má utilização de dados dos usuários em