SA-08 - Principes d’ingénierie de la sécurité et de la protection de la vie privée (PaFF)
Énoncés :
Appliquer les principes d’ingénierie de la sécurité et de la protection de la vie privée des systèmes suivants pour la spécification, la conception, le développement, la mise en œuvre et la modification des systèmes et des composants de systèmes : [Affectation : principes d’ingénierie de la sécurité et de la protection de la vie privée des systèmes définis par l’organisation].
Paramètres :Les principes d’ingénierie de la sécurité et de la protection de la vie privée des systèmes sont étroitement liés au cycle de développement des systèmes et mis en œuvre au cours de celui-ci (voir le contrôle SA-03). Les organisations peuvent appliquer les principes d’ingénierie de la sécurité et de la protection de la vie privée aux nouveaux systèmes en cours de développement ou aux systèmes faisant l’objet d’une mise à niveau. Dans le cas des systèmes existants, les organisations appliquent, dans la mesure du possible, les principes d’ingénierie de la sécurité et de la protection de la vie privée aux mises à niveau et aux modifications en tenant compte de l’état actuel du matériel, des logiciels et des micrologiciels des systèmes en question. L’application des principes d’ingénierie de la sécurité et de la protection de la vie privée des systèmes aide les organisations à développer des systèmes fiables, sécurisés et résilients et à réduire l’exposition aux interruptions, aux risques, aux menaces et aux problèmes de protection de la vie privée pour les utilisatrices et utilisateurs. Les exemples des principes d’ingénierie de la sécurité et de la protection de la vie privée des systèmes comprennent le développement de mesures de protection en couches; l’établissement de stratégies, d’architectures et de contrôles de sécurité et de protection de la vie privée comme base de la conception et du développement des systèmes; l’intégration d’exigences de sécurité et de protection de la vie privée au cycle de développement des systèmes; la délimitation des frontières de sécurité physiques et logiques; l’assurance que les développeuses et développeurs sont formés pour concevoir des logiciels sécurisés; l’adaptation des contrôles pour répondre aux besoins de l’organisation; et la modélisation des menaces afin d’établir les cas d’utilisation, les agents de menace, les vecteurs et schémas d’attaque, les schémas de conception et les contrôles compensatoires nécessaires pour atténuer les risques. Les organisations qui appliquent des principes et concepts d’ingénierie de la sécurité et de protection de la vie privée des systèmes peuvent faciliter le développement de systèmes, de composants de systèmes et des services sécurisés et dignes de confiance, réduire les risques à des niveaux acceptables et prendre des décisions éclairées en matière de gestion des risques. Les principes d’ingénierie de la sécurité des systèmes peuvent également être utilisés pour protéger contre certains risques liés à la chaîne d’approvisionnement, dont l’intégration de matériel résistant au trafiquage dans la conception.