- Văn bản
- Lịch sử
Security risk assessment and manage
Security risk assessment and management are essential for effectivesecurity engineering. Risk management is concerned with assessing the possible losses that might
ensue from attacks on assets in the system and balancing these losses against the
costs of security procedures that may reduce these losses. Credit card companies
do this all the time. It is relatively easy to introduce new technology to reduce credit
card fraud but the cost of this would be more than covering the losses to credit card
users. As costs drop and attacks increase, this balance may change. For example,
credit card companies are now encoding information on an on-card chip instead of
a magnetic strip. This makes card copying much more difficult.
Risk management is a business issue rather than a technical issue, so software
engineers should not decide what controls should be included in a system. It is up to
senior management to decide whether or not to accept the cost of security or to accept
the exposure that results from the lack of security procedures. However, the role
of software engineers is to provide informed technical guidance and judgements
on security issues. They are, therefore, essential participants in the risk management process.
I A critical input to the risk assessment and management process is the organisational security policy. An organisational security policy applies to all systems and
should set out what should and what should not be allowed. For example, one aspect
of a military security policy may state 'Readers may only examine documents whose
classification is the same as or below the reader's vetting level'. This means that if a
reader has been vetted to a 'secret' level, they may access documents that are classed
as 'secret', 'confidential' or 'open' but not documents classed as 'top secret'.
ensue from attacks on assets in the system and balancing these losses against the
costs of security procedures that may reduce these losses. Credit card companies
do this all the time. It is relatively easy to introduce new technology to reduce credit
card fraud but the cost of this would be more than covering the losses to credit card
users. As costs drop and attacks increase, this balance may change. For example,
credit card companies are now encoding information on an on-card chip instead of
a magnetic strip. This makes card copying much more difficult.
Risk management is a business issue rather than a technical issue, so software
engineers should not decide what controls should be included in a system. It is up to
senior management to decide whether or not to accept the cost of security or to accept
the exposure that results from the lack of security procedures. However, the role
of software engineers is to provide informed technical guidance and judgements
on security issues. They are, therefore, essential participants in the risk management process.
I A critical input to the risk assessment and management process is the organisational security policy. An organisational security policy applies to all systems and
should set out what should and what should not be allowed. For example, one aspect
of a military security policy may state 'Readers may only examine documents whose
classification is the same as or below the reader's vetting level'. This means that if a
reader has been vetted to a 'secret' level, they may access documents that are classed
as 'secret', 'confidential' or 'open' but not documents classed as 'top secret'.
0/5000
Đánh giá rủi ro bảo mật và quản lý là rất cần thiết cho kỹ thuật effectivesecurity. Quản lý rủi ro là có liên quan với việc đánh giá các thiệt hại có thể có thểxảy từ cuộc tấn công vào tài sản trong hệ thống và cân bằng những thiệt hại đối với cácchi phí của quy trình bảo mật có thể làm giảm những thiệt hại. Công ty thẻ tín dụnglàm điều này tất cả thời gian. Nó là tương đối dễ dàng để giới thiệu các công nghệ mới để giảm tín dụnggian lận thẻ nhưng chi phí này sẽ có nhiều hơn bao gồm các thiệt hại vào thẻ tín dụngngười sử dụng. Như chi phí tăng thả và cuộc tấn công, sự cân bằng này có thể thay đổi. Ví dụ,công ty tín dụng bây giờ mã hóa thông tin trên một chip trên thẻ thay vìmột dải từ tính. Điều này làm cho thẻ sao chép nhiều khó khăn hơn.Quản lý rủi ro là một vấn đề kinh doanh chứ không phải là một vấn đề kỹ thuật, do đó phần mềmkỹ sư không nên quyết định điều khiển nên bao gồm trong một hệ thống. Nó là đếnCác quản lý cấp cao để quyết định việc họ có chấp nhận chi phí của an ninh hoặc chấp nhậnsự tiếp xúc mà kết quả từ việc thiếu an ninh thủ tục. Tuy nhiên, vai tròkỹ sư phần mềm là cung cấp thông tin hướng dẫn kỹ thuật và phán đoánvề các vấn đề an ninh. Họ là, do đó, những người tham gia quan trọng trong quá trình quản lý rủi ro.Tôi có một đầu vào quan trọng đến quá trình đánh giá và quản lý rủi ro là tổ chức mật. Một tổ chức an ninh chính sách áp dụng cho tất cả hệ thống vànên đặt ra những gì nên và những gì không nên được phép. Ví dụ, một khía cạnhan ninh quân sự, chính sách có thể nhà nước ' độc giả có thể chỉ kiểm tra tài liệu màphân loại là tương tự như hoặc dưới người đọc của kiểm tra mức độ '. Điều này có nghĩa rằng nếu mộtđọc đã được vetted đến một mức độ 'bí mật', họ có thể truy cập tài liệu được phân loạinhư 'bí mật', 'bí mật' hoặc 'mở' nhưng không tài liệu phân loại như là 'top secret'.
đang được dịch, vui lòng đợi..
Đánh giá rủi ro an ninh và quản lý là rất cần thiết cho kỹ thuật effectivesecurity. Quản lý rủi ro liên quan đến việc đánh giá các thiệt hại có thể có thể
xảy ra sau các cuộc tấn công vào các tài sản trong hệ thống và cân bằng những thiệt hại đối với các
chi phí thủ tục an ninh có thể làm giảm những thiệt hại. Các công ty thẻ tín dụng
làm điều này tất cả các thời gian. Nó là tương đối dễ dàng để giới thiệu công nghệ mới để giảm tín dụng
gian lận thẻ nhưng chi phí này sẽ được nhiều hơn bao gồm các thiệt hại cho thẻ tín dụng của
người sử dụng. Khi chi phí giảm và các cuộc tấn công tăng, sự cân bằng này có thể thay đổi. Ví dụ,
các công ty thẻ tín dụng đang mã hóa thông tin trên một con chip trên thẻ thay vì
một dải từ. Điều này làm cho việc sao chép thẻ nhiều khó khăn hơn.
Quản lý rủi ro là một vấn đề kinh doanh chứ không phải là một vấn đề kỹ thuật, do đó phần mềm
kỹ sư không nên quyết định những gì kiểm soát nên được bao gồm trong một hệ thống. Đó là vào
quản lý cấp cao để quyết định có hay không để chấp nhận các chi phí an ninh, để chấp nhận
sự tiếp xúc mà kết quả từ việc thiếu các thủ tục an ninh. Tuy nhiên, vai trò
của các kỹ sư phần mềm là cung cấp hướng dẫn kỹ thuật và bản án được thông tin
về các vấn đề an ninh. Họ đang có, do đó, các đại biểu cần thiết trong quá trình quản lý rủi ro.
IA đầu vào quan trọng để đánh giá rủi ro và quản lý quá trình là chính sách bảo mật của tổ chức. Một chính sách an ninh tổ chức áp dụng đối với tất cả các hệ thống và
nên đặt ra và những gì nên những gì không nên được cho phép. Ví dụ, một khía cạnh
của một chính sách an ninh quân sự có thể tuyên bố 'Người đọc chỉ có thể kiểm tra các tài liệu có
phân loại cũng giống như bằng hoặc thấp hơn mức rà soát của người đọc. Điều này có nghĩa rằng nếu một
người đọc đã được hiệu đính để một mức độ "bí mật", họ có thể truy cập các tài liệu được phân loại
là 'bí mật', 'bí mật' hoặc 'mở' nhưng không phải tài liệu phân loại như là 'bí mật'.
xảy ra sau các cuộc tấn công vào các tài sản trong hệ thống và cân bằng những thiệt hại đối với các
chi phí thủ tục an ninh có thể làm giảm những thiệt hại. Các công ty thẻ tín dụng
làm điều này tất cả các thời gian. Nó là tương đối dễ dàng để giới thiệu công nghệ mới để giảm tín dụng
gian lận thẻ nhưng chi phí này sẽ được nhiều hơn bao gồm các thiệt hại cho thẻ tín dụng của
người sử dụng. Khi chi phí giảm và các cuộc tấn công tăng, sự cân bằng này có thể thay đổi. Ví dụ,
các công ty thẻ tín dụng đang mã hóa thông tin trên một con chip trên thẻ thay vì
một dải từ. Điều này làm cho việc sao chép thẻ nhiều khó khăn hơn.
Quản lý rủi ro là một vấn đề kinh doanh chứ không phải là một vấn đề kỹ thuật, do đó phần mềm
kỹ sư không nên quyết định những gì kiểm soát nên được bao gồm trong một hệ thống. Đó là vào
quản lý cấp cao để quyết định có hay không để chấp nhận các chi phí an ninh, để chấp nhận
sự tiếp xúc mà kết quả từ việc thiếu các thủ tục an ninh. Tuy nhiên, vai trò
của các kỹ sư phần mềm là cung cấp hướng dẫn kỹ thuật và bản án được thông tin
về các vấn đề an ninh. Họ đang có, do đó, các đại biểu cần thiết trong quá trình quản lý rủi ro.
IA đầu vào quan trọng để đánh giá rủi ro và quản lý quá trình là chính sách bảo mật của tổ chức. Một chính sách an ninh tổ chức áp dụng đối với tất cả các hệ thống và
nên đặt ra và những gì nên những gì không nên được cho phép. Ví dụ, một khía cạnh
của một chính sách an ninh quân sự có thể tuyên bố 'Người đọc chỉ có thể kiểm tra các tài liệu có
phân loại cũng giống như bằng hoặc thấp hơn mức rà soát của người đọc. Điều này có nghĩa rằng nếu một
người đọc đã được hiệu đính để một mức độ "bí mật", họ có thể truy cập các tài liệu được phân loại
là 'bí mật', 'bí mật' hoặc 'mở' nhưng không phải tài liệu phân loại như là 'bí mật'.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- justice life form
- The initial state is the State0 and repr
- vang ra
- outside
- Asset. The records of each patient that
- không
- potential
- diamond
- commissioning protocol
- 工場ヘッド sơ cứu băng bó vết thương
- learnt
- tập đoàn tn làm việc trong lĩnh vực bán
- hít
- Here you are
- Product video upload count
- Vụ việc chánh án, thẩm phán và thư ký to
- justice life
- trapezoid
- trước ngày đi tôi thấy rất hồi hộp
- nhưng điều may mắn là tối hôm đó tôi ngủ
- Product video (possibility of insert cod
- However, for this to happen, the flatten
- 다 남김없이아니죠 아니죠 난 아직그대를 못보냈죠
- The measurements were taken without the
