Professional Documents
Culture Documents
I. NOMENCLATURA
-
Engineering
II. INTRODUCCIN
Este artculo es parte de los proyectos ESFINGE (TIN2006-15175-C0505) y ELEPES (TIN2006-27690-E) del Ministerio de Educacin y Ciencia, y
de los proyectos MISTICO (PBC-06-0082) y MELISA (PAC08-0142-335) de
la Consejera de Ciencia y Tecnologa de la Junta de Comunidades de CastillaLa Mancha.
D. Mellado, trabaja en el Ministerio de Trabajo y Asuntos Sociales, Centro de
Desarrollo del Instituto Nacional de la Seguridad Social en la Gerencia de
Informtica
de
la
Seguridad
Social,
Madrid,
Spain.
(email:
Daniel.Mellado@alu.uclm.es).
E. Fernndez-Medina y Mario Piattini, Grupo Alarcos, Departamento de
Tecnologas y Sistemas de Informacin de la Universidad de Castilla La-Mancha,
Paseo de la Universidad 4, 13071, Ciudad Real, Spain. (email:
Eduardo.FdezMedina@uclm.es y Mario.Piattini@uclm.es).
299
300
301
302
rango desde: 0, casi nulo; 1-2 para riesgo bajo; 3 para riesgo
medio; 4 para riesgo alto; y 5 para riesgo muy alto). En dicha
tabla el segundo nmero que aparece en cada una de las celdas
se refiere al factor de degradacin en los activos que causara
la amenaza correspondiente, el tercer valor se refiere al
impacto acumulado en el activo y el ltimo (cuarto) valor hace
referencia al riesgo acumulado sobre el activo.
SP1 - Actividad A1.6: Requisitos de Seguridad de
Dominio de la LPS. En esta actividad, como primer paso se
analizaron los casos de mal uso y lo que supona las amenazas
relacionadas. Seguidamente y con la ayuda del repositorio se
seleccionaron los requisitos de seguridad funcionales de los
Criterios Comunes y los controles de seguridad de la ISO/IEC
(T) Amenazas
Frecuencia
[D]
[I]
[C]
[A_S]
[A_D]
[T_S]
[T_D]
0,1
100
10
10
100
(T) Repudio
10
10
50%; 4; 2
7; 100%; 7; 5
6; 100%; 6; 5
100%; 7; 4
100%; 6; 3
100%; 7; 5
70%; 5; 4
10%; 2; 3
10%; 4; 4
50%; 5; 4
50%; 6; 5
50%; 5; 4
50%; 6; 5
100%; 6; 5
50%; 4; 4
5; 70%; 5; 4
7; 100%; 7; 5
6; 100%; 6; 5
5; 70%; 5; 4
1; 100%; 1; 3
1; 100%; 1; 2
5; 70%; 5; 4
7; 100%; 7; 5
6; 100%; 6; 5
5; 70%; 5; 4
7; 100%; 7; 5
6; 100%; 6; 5
[5]; 90%; 5; 5
5; 50%; 4; 4
7; 100%; 7; 5
[7]; 100%; 7; 5
7; 100%; 7; 4
[5]; 90%; 5; 5
5; 50%; 4; 4
6; 100%; 6; 5
[7]; 100%; 7; 5
6; 100%; 6; 3
[5]; 90%; 5; 5
3; 50%; 2; 3
0; 100%; 0; 1
[1]; 100%; 1; 2
2; 100%; 2; 1
[5]; 90%; 5; 5
5; 50%; 4; 4
6; 100%; 6; 5
[7]; 100%; 7; 5
6; 100%; 6; 4
[5]; 70%; 5; 4
[3]; 50%; 2; 3
[0]; 50%; 0; 0
[1]; 100%; 1; 3
[5]; 70%; 5; 4
[5]; 50%; 4; 5
[6]; 50%; 5; 5
[7]; 100%; 7; 5
[5]; 70%; 5; 4
[5]; 50%; 4; 5
[7]; 50%; 6; 5
[7]; 100%; 7; 5
[5]; 70%; 5; 4
[5]; 50%; 4; 5
[7]; 50%; 6; 5
[7]; 100%; 7; 5
Fig. 3 Ejemplo: Parte del modelo de variabilidad de seguridad y artefactos de los requisitos de seguridad
303
304
REFERENCIAS
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
305
[22] G. Popp, J. Jrjens, G. Wimmel, and R. Breu, "Security-Critical System
Development with Extended Use Cases". 10th Asia-Pacific Software
Engineering Conference, 2003, pp. 478-487.
[23] K. Schmid, K. Krennrich, and M. Eisenbarth, "Requirements
Management for Product Lines: A Prototype", Fraunhofer IESE July
2005 2005.
[24] G. Sindre and A. L. Opdahl, "Eliciting security requirements with
misuse cases", Requirements Engineering 10, vol. 1, pp. 34-44, 2005.
[25] A. Toval, J. Nicols, B. Moros, and F. Garca, "Requirements Reuse for
Improving Information Systems Security: A Practitioner's Approach",
in Requirements Engineering, vol. 6, 2002, pp. 205-219.
[26] J. P. Walton, "Developing a Enterprise Information Security Policy".
Proceedings of the 30th annual ACM SIGUCCS conference on User
services: ACM Press, 2002.