ソフトウェア開発ライフ サイクル (SDLC) (システム開発ライフ サイクルとも呼ばれます) は、ソフトウェア システムを作成または変更するプロセス、およびこれらのシステムの開発に使用するモデルと方法論です。
NIST SP 800-64 リビジョン 2 には、パラグラフ 3.2.1 の説明セクションに次の記載があります。
このセクションでは、SDLC の 2 番目のフェーズに固有のセキュリティに関する考慮事項について説明します。このフェーズの主なセキュリティ活動には次のものが含まれます。
リスク評価を実施し、その結果をベースラインのセキュリティ管理を補足するために使用します。
セキュリティ要件を分析します。
機能テストとセキュリティテストを実行します。
システムの認証と認定のための最初の文書を準備します。そして
セキュリティ アーキテクチャを設計します。
この出版物を検討すると、開発/買収を選択したくなるかもしれません。開始するのは適切な選択ですが、この段階ではセキュリティ要件のアイデアをブレインストーミングするだけであるというのが正しいでしょう。ハードウェア/ソフトウェア コンポーネントの開発と入手を開始したら、これらのセキュリティ制御も開発することになります。以下の Shon Harris の参照も正しいです。
Shon Harris の本 (オールインワン CISSP 認定試験ガイド) では、SDLC を次のように分けています。
プロジェクトの開始 機能設計の分析および計画 システム設計仕様書 ソフトウェア開発 導入 保守サポート 改訂および置き換え
著者 (Shon Harris) によると、セキュリティ要件は機能設計の分析と計画の段階で策定する必要があります。
NIST 800-64 からの SDLC の位置
企業における SDLC の位置づけ 情報システムのセキュリティ プロセスとアクティビティは、IT システムとその開発の管理に貴重な情報を提供し、リスクの特定、計画、緩和を可能にします。リスク管理アプローチには、情報システム開発ライフサイクル全体を通じて、政府機関の情報および資産の保護と、セキュリティ管理および緩和戦略のコストとのバランスを継続的にとることが含まれます (上記の図 2-1 を参照)。リスク管理を実装する最も効果的な方法は、重要な資産と業務だけでなく、政府機関全体のシステム上の脆弱性を特定することです。リスクは共有され、組織、収益源、またはトポロジーに拘束されません。重要な資産と運用、およびそれらの相互接続の識別と検証は、システム セキュリティ計画プロセスを通じて、また資本計画および投資管理 (CPIC) およびエンタープライズ アーキテクチャ (EA) プロセスからの情報を編集して洞察を確立することによって実現できます。政府機関の重要な事業運営、それらを支援する資産、既存の相互依存関係と関係。
重要な資産と業務が特定されたら、組織はビジネス影響分析 (BIA) を実行できますし、実行する必要があります。BIA の目的は、システムと資産をそれらが提供する重要なサービスと関連付け、それらの混乱による影響を評価することです。これらのシステムを識別することで、政府機関は優先順位を確立してセキュリティを効果的に管理できます。これにより、セキュリティ オフィスは、IT プログラムの費用対効果の高いパフォーマンスを促進し、そのビジネスへの影響と政府機関に対する価値を明確に示すことができるようになります。
NIST 800-64 からの SDLC 概要 NIST 800-64 リビジョン 2 からの SDLC 概要
NIST 800-64 リビジョン 2 は、NIST 標準の 1 つの出版物です。
SDLC の詳細については、「」を参照することをお勧めします。非常に詳細に説明されています
アクティビティが行われ、各フェーズの優れた図が示されています。
SDLC。コピーは次の場所にあります。
http://csrc.nist.gov/publications/nistpubs/800-64-Rev2/SP800-64-Revision2.pdf
議論:
フェーズ名に関する限り、情報源が異なれば、提供される情報も若干異なります。
NIST 標準の一部と混同されることがあります。たとえばNIST
800-64 情報システム開発ライフサイクルにおけるセキュリティの考慮事項では、
名前は少し異なりますが、活動内容はほとんど同じです。
NIST は、セキュリティ要件がすべてのシステム全体にわたって考慮されることを明確に指定しています。
段階。ここでのキーワードは、どの段階で質問するかに関するものである場合に考慮されます。
機能設計分析よりも開発するのが正しい選択でしょう。
NIST 標準内では異なるフェーズが使用されますが、第 2 フェーズでは、
彼らが特にセキュリティ機能要件分析について話しているのがわかります。
開始段階ではないことを確認し、答えを出しやすくなります。
この質問。ここでは次のように述べられています。
セキュリティ機能要件の分析では、企業の情報セキュリティ ポリシーや企業のセキュリティ アーキテクチャを含むシステム セキュリティ環境が考慮されます。分析では、情報の機密性、完全性、可用性に関するすべての要件に対処する必要があり、適用される法律、規制、ガイダンスに含まれるすべての法的要件、機能要件、およびその他のセキュリティ要件のレビューを含める必要があります。
開始ステップでは、セキュリティ要件を作成するのに十分な詳細情報がまだありません。あなたはリストされているすべての問題についてほとんどブレインストーミングを行っていますが、その段階ではすべてを開発しているわけではありません。
情報システム開発ライフサイクル (SDLC) の早い段階でセキュリティを考慮することで、後のコストの上昇を回避し、最初からより安全なシステムを開発できる可能性があります。
NIST は次のように述べています: NIST の情報技術研究所は、ティム・グランス、ジョアン・ハッシュ、マーク・スティーブンスによる特別出版物 (SP) 80064、情報システム開発ライフサイクルにおけるセキュリティの考慮事項を最近発行しました。これは、組織があらゆる開発ライフサイクルの計画にセキュリティ要件を組み込むのに役立ちます。システム ライフ サイクルの段階に合わせて適切で費用対効果の高いセキュリティ制御を選択、取得、使用します。
これはすべて非常に難しいことは認めざるを得ませんが、この試験では読解力とキーワードに注意を払うことが必須です。
参考文献:
HARRIS、Shon、オールインワン CISSP 認定試験ガイド、マグロウヒル/オズボーン、第 5 版、956 ページおよび NIST S-64 リビジョン 2 (http://csrc.nist.gov/publications/nistpubs/800-64) -Rev2/SP800-64Revision2.pdf および http://www.mks.com/resources/resource-pages/software-development-life-cycle-sdlcsystem-development
