因为对手不断寻求破坏, 对复杂的数字资产造成伤害和破坏, 澳门赌场官方下载必须进行战略规划, 设计和构建安全, 信任的系统. 不断发展的网络威胁环境和日益普及的系统对负责构建这些系统的工程师提出了重大挑战. 现代网络威胁环境需要一种不同的思维方式来建立和保持新兴系统的弹性. 如果澳门赌场官方下载想在网络空间生存, 他们必须调整自己的方法,专注于网络安全风险管理的基本原则和对澳门赌场官方下载的不利影响,而不是仅仅强调特定于技术的趋势和解决方案.
克服技术无法克服的缺陷
在系统工程工作中引入了许多安全弱点和体系结构设计缺陷. 尽管常见的方法可能是在安全测试过程中识别这些问题, 识别和评估风险, 并计划技术安全措施或解决方案,以补救或减轻风险, 有更有效的解决方案来解决这些缺陷的根本原因. 在系统工程过程的早期, 在任何技术实现之前, 澳门赌场官方下载应该进行业务影响分析(BIA),作为定义业务上下文的预防措施, 重要性和对系统目的及其预期结果的共同理解.
业务影响分析在系统安全工程中的作用
太频繁, 在没有真正理解系统目的的情况下设计和实现系统, 它与澳门赌场官方下载的关系以及通过安全事件可能实现的不利影响. 为了解决这个问题, 在系统工程项目的初始阶段, 关键涉众应该进行BIA,以正式定义和沟通利益系统将设计支持的任务、业务功能和过程. 不仅要确定任务和业务流程, 但是,还应该根据这些服务提供的价值以及对战略和战术目标的影响来确定它们的优先级. 在系统初始化阶段,BIA有许多好处,如下所示 图1.
图1 - BIA对系统工程的好处
启动过程域 |
好处 |
资产识别与估值 |
BIA可以帮助轻松地将任务和业务流程映射到支持这些服务交付的资产. 这对于受管理的复杂系统特别有用, 由多个内部和外部方维护和操作. |
授权边界定义 |
BIA可以通过允许组织唯一地标识支持每个任务和业务流程的资产来帮助定义保护范围, 确定安全职责,并最终确保授权边界内每个组件的责任. |
风险评估 |
为风险评估做准备, 澳门赌场官方下载可以通过利用BIA来提供系统工程计划背后的业务环境,并开发优化任务和业务流程成功的风险响应策略,从而获得附加价值. |
关键的外卖
人们对建筑精美的房屋的需求日益增长, 有弹性的系统,可以抵御对手对其执行的复杂攻击. 尽管在系统工程的技术方面经常有一个重要的焦点, 强调安全计划背后的业务上下文可能会导致系统更加平衡, 相应的安全级别. 澳门赌场官方下载必须对任务和业务流程背后的范围和驱动因素保持警惕,以确定安全事件的后果,并维护系统保护需求的可追溯性. 通过利用BIA, 澳门赌场官方下载可以更好地了解安全方面的问题和机会空间, 实现对使命和业务环境的共同理解, 提供更大的, 相称的安全保护.
编者按要进一步了解这个话题,请阅读猎人Sekara最近在《澳门赌场官方下载》上发表的文章。 “基于战略风险的系统安全工程方法” ISACA杂志,第2卷,2022.
ISACA杂志 今年满50岁! 与我们一起庆祝,不要忘记,您仍然可以通过访问您的 偏好中心 选择加入!