מפרטי אבטחה
תהליך הגדרת דרישות האבטחה דומה במידה רבה לתהליך הגדרת דרישות הבטיחות. שני התהליכים עוסקים יותר בתופעות לא רצויות במערכת ובהתנהגות לא תקינה שלה ופחות בדרישות הפונקציונליות ממנה. שניהם מנסים לחזות אירועים ותסריטים בלתי צפויים והתגונן מפניהם או לפחות למזער את נזקיהם.
בכל זאת, ישנו הבדל עיקרי אחד בין התחומים. תחום האבטחה מכיל איומים שגרתיים, פחות או יותר, ללא תלות בתחום בו עוסקת המערכת (חדירה, מניעת שירות וכו'). תחום הבטיחות, לעומת זאת, מתייחס בדרך כלל לסכנות הספציפיות לתחום העיסוק של המערכת. גם הכלים לטיפול באיומים אלו (פרוטוקולי הצפנה ואימות, למשל) הינם סטנדרטיים למדי.
הנה התהליך הכללי של הגדרת דרישות האבטחה מהמערכת:
התהליך מכיל מספר שלבים עיקריים:
- זיהוי והערכת נכסים
: בשלב זה מזהים את נכסי המערכת, כלומר את הרכיבים ו/או המידע רבי הערך שבתחומה, עליהם יש להגן. מהערכת הנכס נגזרת גם דרגת האבטחה הנדרשת עבורו.
- ניתוח איומים והערכת סיכונים
: זיהוי איומי אבטחה והערכת הסיכון הנשקף מכל אחד מהם.
- הקצאת איומים
: שיוך אוסף האיומים שזוהו לנכסים השונים על מנת לקבל מיפוי מדויק של האיומים הנשקפים לכל נכס במערכת.
- ניתוח טכנולוגיות
: סקירת טכנולוגיות האבטחה העדכניות ויכולתן לספק מענה לאיומי האבטחה שזוהו במערכת.
- הגדרת דרישות אבטחה
: יצירת מפרט דרישות אבטחה על פי האיומים שזוהו והטכנולוגיות שנבחרו לשימוש על מנת לספק להם מענה הולם.
