セクション: ソフトウェア開発セキュリティ

セキュリティは、一般的に危険がない状態、または安全な状態と定義されます。具体的には、コンピュータ セキュリティとは、システム内のデータを不正な開示、変更、破壊から保護し、コンピュータ システム自体を不正な使用、変更、サービス拒否から保護することです。特定のコンピュータ セキュリティ制御は生産性を阻害するため、セキュリティは通常、セキュリティ担当者、システム ユーザー、システム運用担当者、および管理担当者が満足のいくバランスを実現するために取り組む妥協策です。
セキュリティと生産性の関係。
情報セキュリティを提供するための制御には、物理​​的、技術的、または管理的なものがあります。
これらの 3 つの制御カテゴリは、さらに予防的または検出的に分類できます。
予防的管理は望ましくないイベントの発生を回避しようとするのに対し、発見的管理は
管理は望ましくない出来事が起こった後にそれを特定しようとする。予防管理は
コンピューティングリソースの自由な使用は、ユーザーが自由に使用できる範囲でのみ適用されます。
効果的なセキュリティ意識向上プログラムは、ユーザーのセキュリティ意識レベルを高めるのに役立ちます。
予防的管理に対する寛容さを養うために、そのような管理がどのようにして彼らを助けるのかを理解できるように支援する。
コンピューティングシステムを信頼している。一般的な検出制御には、監査証跡、侵入検知などがある。
メソッド、およびチェックサム。
予防管理と発見管理を補完する他の3つの管理タイプは、通常
抑止力、矯正力、回復力として説明されます。
抑止制御は、個人が意図的に情報に違反することを阻止することを目的としています。
セキュリティポリシーや手順。これらは通常、制約の形をとり、困難にしたり、
許可されていない活動を行うことは望ましくない、または影響を与える結果の脅威
潜在的な侵入者がセキュリティを侵害しないようにする（例えば、恥ずかしさから深刻な脅威まで）
罰）。
是正管理は、不正行為を許した状況を改善するか、
違反前の状態に戻す。是正措置を実施することで、
既存の物理的、技術的、および管理上の制御に変更が生じます。
回復制御は失われたコンピューティングリソースや機能を回復し、組織を支援します。
セキュリティ違反によって生じた金銭的損失を回復する。
抑止、是正、回復の制御は、主要な制御における特別なケースであると考えられている。
物理的、技術的、管理的制御のカテゴリー。どちらにも明確に属さない。
予防的または捜査的なカテゴリーに分類される。例えば、抑止力は、
侵入者を遠ざけることができるので予防には効果的ですが、抑止には
侵入者が最も恐れているのは違反の検出である。一方、是正措置は
一方、予防的でも検出的でもないが、技術的制御と明確に結びついている。
ウイルス対策ソフトウェアは、ウイルスを根絶するか、バックアップ手順の管理制御を行います
破損したデータベースを復元できるようにします。最後に、回復制御は予防的でも
これらは探偵による調査ではなく、災害復旧や緊急時対応計画などの管理制御に組み込まれます。
この質問に使用された参考文献
情報セキュリティ管理ハンドブック、Hal Tipton 著。

説明/参照:
Explanation:
設計段階では、承認された要件ドキュメントで特定された要件が最初の入力として取り込まれます。これにはセキュリティ仕様が含まれます。各要件について、インタビュー、ワークショップ、および/またはプロトタイプ作成の結果として、1 つ以上の設計要素のセットが作成されます。
誤った回答:
A: システム開発ライフサイクル (SDLC) モデルには詳細設計はなく、製品設計または単純な設計フェーズのみがあります。
B: セキュリティ仕様は実装フェーズで実装されますが、製品設計フェーズの早い段階に組み込まれます。
D: セキュリティ仕様はソフトウェア計画および要件フェーズで作成されますが、製品設計フェーズに組み込まれます。
参考文献:
https://en.wikipedia.org/wiki/Systems_development_life_cycle