Lo confesso: di fronte al controllo A.14.2.5 "Principi per l'ingegnerizzazione sicura dei sistemi" della ISO/IEC 27001:2013 sono rimasto perplesso perché non capivo in cosa differisse dal controllo A.14.1.1 "Analisi e specifica dei requisiti per la sicurezza delle informazioni".
Ho trovato la SP800-27, meraviglioso documento del NIST dal titolo "Engineering Principles for Information Technology Security (A Baseline for Achieving Security)":
- http://csrc.nist.gov/publications/PubsSPs.html
Lo trovo molto interessante, anche se continuo a non capire quali possano essere le differenze tra "specificare i requisiti di sicurezza" e "applicare principi di ingegnerizzazione sicura". Non capisco neanche quali siano le differenze tra progettazione (design) e ingegnerizzazione. Forse qualche lettore mi aiuterà...
Sono molto sollevato...pensavo di avere solo io qualche problema nel trovare tali differenze. Mi rende molto felice sapere di non essere solo.
RispondiElimina:-)
RispondiElimina