Valutazione euristica nella sicurezza delle informazioni

Naviga le tue risposte
0

Il termine di valutazione euristico è principalmente sul dominio dell'usabilità, in particolare si riferisce a 10 euristiche dell'usabilità di Jakob Nielsen. Nel settore della sicurezza delle informazioni, abbiamo i principi di sicurezza di Saltzer e Schroeder, i principi di sicurezza del sistema generalmente accettati dal NIST 800-14 e così via. Questi principi di sicurezza possono essere definiti "euristici" perché sono generali ( Link )? E la nostra attività che valuta le pratiche contro questi principi può essere chiamata "valutazione euristica"?

In base a questo collegamento , l'euristica può avere mnemonici. Quindi, le mnemoniche di sicurezza come CIA, STRIDE e così via possono essere chiamate "euristiche"?

    
posta 21.09.2016 - 09:04
fonte

1 risposta

1

Questa non è una terminologia o pratica tipica nello spazio di sicurezza. I termini che si dovrebbero cercare sono in "requisiti" o "standard" o forse "principi" e valutazioni rispetto alle quali si può chiamare "analisi del gap" e simili.

La differenza di terminologia corrisponde a una differenza nel lavoro effettivo. In sicurezza il lavoro contro tali standard o requisiti riguarda principalmente le attività nel dominio di esecuzione, mentre nell'usabilità il lavoro è più nel dominio di scoperta.

Si noti inoltre che il sistema più sicuro per definizione è uno che ha zero usabilità; e in parte la sicurezza e l'usabilità sono obiettivi in conflitto. La pratica emergente della "sicurezza usabile" è quella in cui l'euristica per la scoperta di schemi più sicuri ha più un ruolo da svolgere.

    
risposta data 21.09.2016 - 15:38
fonte

Leggi altre domande sui tag

Posso calcolare la chiave derivata generata da pbkdf2 (password || SOME_TEXT) se conosco pbkdf2 (password)? Password di aggiornamento automatico dell'app client, nessun SSO [chiuso]