确定项目中需实施的网络安全活动,以及活动目标、对其他活动或信息的依赖、负责人、所需资源、时间计划和工作产品。
3)制定和维护网络安全计划,基于网络安全计划跟踪网络安全活动的职责也需要被指定。
4)网络安全计划可纳入项目计划或交叉引用,也属于配置管理。
5)网络安全计划应根据章节9概念阶段、章节10开发和验证阶段、章节11网络安全确认、章节15 TARA分析方法,规定概念阶段、产品开发阶段的活动。
6)网络安全计划可以在发展过程中逐步完善,也可以基于网络安全活动的结果进行更新。
7)对风险值为1的威胁场景,可以不考虑9.5章节网络安全概念、章节10开发和验证、章节11网络安全确认,这类风险可基于质量管理标准进行论证。
8)网络安全确定的工作产品应该在后开发发布前和发布时持续更新保持准确性。
9)如果网络安全活动是分布式的,应各自确定网络安全计划。
10)网络安全计划要接收配置管理和文档管理。
11)网络安全计划确定的工作产品要接受配置管理、变更管理、需求管理和文档管理。
3**、裁剪**
网络安全活动可以被裁剪,须提供理由证明可以达到本标准的相关目标,分布式开发不视为裁剪,但可能出现联合裁剪。
可裁剪的理由包括:复用、脱离背景的组件、应用现成组件、升级(13.4章节)。
4**、复用**
1)对于现有的相关项或组件的复用,以下情况需要进行复用分析:
a、复用组件计划进行修改(设计修改:如功能或性能提升,实现修改:如软件优化、新的生产或维护工具);
b、复用组件计划在另一个运行环境应用;
c、相关信息发生变化(如攻击技术的发展、新漏洞、威胁场景的变化)
2)在复用分析时,重点考虑如下:
a、复用组件的修改点、运行环境的变化点;
b、分析修改导致的网络安全影响,包括对网络安全声明的有效性和之前假设的影响;
c、识别受影响或缺失的工作产品,比如TRAR中的新资产、威胁场景;
d、根据以上复用分析,在网络安全计划中明确规定必要的活动,即裁剪。
3)复用分析应明确以下结论:
a、该组件能否满足即将分配的网络安全要求;
b、现有文件是否足以支持集成。
5**、脱离背景的组件**
通常是基于一个假设环境的供应商开发的通用组件,
1)要求对预期的用途、环境假设和外部接口进行记录;
2)基于以上的假设定义网络安全需求和开发;
3)在集成应用时要对假设和网络安全声明进行验证。
6**、现成组件**
指不修改设计和实现情况下进行集成,通常指标准的第三方软件、开源软件库,一般不认为是按照本标准开发的。
1)集成时应收集相关的网络安全文档,确定是是否满足分配的网络安全需求,并适用于具体应用环境,否足以支持网络安全活动。
2)如果现有文档不足以支持集成,应确定必要的网络安全活动,即裁剪。
7**、网络安全档案**
网络安全档案为相关项或组件的网络安全提供论据,并由工作产品支撑,在分布式开发中,包括客户和供应商的档案组合,由各方论证共同支持。网络安全档案须考虑后开发的网络安全需求。
8**、网络安全评估**
1)应基于风险,决定是否对相关项或组件进行网络安全评估,理由可包括TARA结果、相关项复杂性和组织制定的规则。如不进行网络安全评估,应记录理由在网络安全档案中。
2)是否评估的理由应独立审查,独立性参考ISO26262。
3)网络安全评估的证据由网络安全活动的工作产品提供,网络安全评估可以分步骤进行、也可重复或补充。
4)应指定一个负责计划和独立进行网络安全评估的人员,独立性参考ISO26262,如组织内不同团队的人。
5)进行网络安全评估的人应具备:获得相关信息和工具、执行网络安全活动人员的配合。
写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
5138
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
