venerdì 14 febbraio 2014

Principi di sicurezza per l'ingegnerizzazione IT

Lo confesso: di fronte al controllo A.14.2.5 "Principi per l'ingegnerizzazione sicura dei sistemi" della ISO/IEC 27001:2013 sono rimasto perplesso perché non capivo in cosa differisse dal controllo A.14.1.1 "Analisi e specifica dei requisiti per la sicurezza delle informazioni".

Ho trovato la SP800-27, meraviglioso documento del NIST dal titolo "Engineering Principles for Information Technology Security (A Baseline for Achieving Security)":
- http://csrc.nist.gov/publications/PubsSPs.html

Lo trovo molto interessante, anche se continuo a non capire quali possano essere le differenze tra "specificare i requisiti di sicurezza" e "applicare principi di ingegnerizzazione sicura". Non capisco neanche quali siano le differenze tra progettazione (design) e ingegnerizzazione. Forse qualche lettore mi aiuterà...

2 commenti:

  1. Sono molto sollevato...pensavo di avere solo io qualche problema nel trovare tali differenze. Mi rende molto felice sapere di non essere solo.

    RispondiElimina