st-pti: Thread: Troche dluzszy tekst

Mam takowe zadanie :)

Jest sobie norma ISO 11073-40101
Title: Health informatics--Device interoperability--Part 40101:
Foundational--Cybersecurity--Processes for vulnerability assessment
Scope:
Within the context of secure plug-and-play interoperability, cybersecurity
is the process and capability of preventing unauthorized access or
modification, misuse, denial of use, or the unauthorized use of information
that is stored on, accessed from, or transferred to and from a PHD/PoCD. The
process part of cybersecurity is risk analysis of use cases specific to a
PHD/PoCD.
For PHDs/PoCDs, this standard defines an iterative, systematic, scalable,
and auditable approach to
identification of cybersecurity vulnerabilities and estimation of risk. This
iterative vulnerability assessment uses the Spoofing, Tampering,
Repudiation, Information Disclosure, Denial of Service, and Elevation of
Privilege (STRIDE) classification scheme and the embedded Common
Vulnerability Scoring System (eCVSS). The assessment includes system
context, system decomposition, premitigation scoring, mitigation, and
post-mitigation scoring and iterates until the remaining vulnerabilities are
reduced to an acceptable level of risk.

Jak to powinno być, wedle Szanownego Grona, po polsku (a nie po polskiemu)?
Informatyka w ochronie zdrowia -- Współdziałanie urządzeń -- Część 40101:
Podstawy -- Cyberbezpieczeństwo -- Procesy oceny podatności

W kontekście bezpiecznej interoperacyjności typu plug-and-play,
cyberbezpieczeństwo to proces i zdolność zapobiegania nieautoryzowanemu
dostępowi lub modyfikacji, niewłaściwemu użyciu, odmowie użycia lub
nieautoryzowanemu wykorzystaniu informacji przechowywanych, udostępnianych
lub przesyłanych do i z PHD/PoCD. Część procesowa cyberbezpieczeństwa to
analiza ryzyka przypadków użycia specyficznych dla PHD/PoCD.
W przypadku PHD/PoCD niniejszy dokument definiuje iteracyjne, systematyczne,
skalowalne i podlegające kontroli podejście do identyfikacji podatności
cyberbezpieczeństwa i szacowania ryzyka. Ta iteracyjna ocena podatności
wykorzystuje schemat klasyfikacji STRIDE (spoofing, Tampering, Repudiation,
Information Disclosure, Denial of Service i Elevation of Privilege) oraz
wbudowany Common Vulnerability Scoring System (eCVSS). Ocena obejmuje
kontekst systemu, dekompozycję systemu, punktację premigacji, łagodzenie i
punktację po łagodzeniu i powtarza się, aż pozostałe podatności zostaną
zredukowane do akceptowalnego poziomu ryzyka.

[tu mi się wydaje że
"scoring", jest "punktacja", dałbym "ocena" ('punktacja' chyba jest zwykłą
kalką językową)
]

I analogicznie ISO 11073-40102:

Health informatics--Device interoperability--Part 40102:
Foundational--Cybersecurity--Capabilities for mitigation (ISO/IEEE FDIS
11073-40102:2021)

Within the context of secure plug-and-play interoperability, cybersecurity
is the process and capability of preventing unauthorized access or
modification, misuse, denial of use, or the unauthorized use of information
that is stored on, accessed from, or transferred to and from a PHD/PoCD. The
capability part of cybersecurity is information security controls related to
both digital data and the relationships to safety and usability. For
PHDs/PoCDs, this standard defines a security baseline of application layer
cybersecurity mitigation techniques for certain use cases or for times when
certain criteria are met. This standard provides a scalable information
security toolbox appropriate for PHD/PoCD interfaces, which fulfills the
intersection of requirements and recommendations from National Institute of
Standards and Technology (NIST) and the European Network and Information
Security Agency (ENISA). This standard maps to the NIST cybersecurity
framework [B15]; IEC TR 80001-2-2 [B8]; and the Spoofing, Tampering,
Repudiation, Information Disclosure, Denial of Service, and Elevation of
Privilege (STRIDE) classification scheme. The mitigation techniques are
based on the extended CIA triad (Clause 4) and are described generally to
allow manufacturers to determine the most appropriate algorithms and
implementations.


Tytuł
Informatyka w ochronie zdrowia -- Współdziałanie urządzeń -- Część 40102:
Podstawy -- Cyberbezpieczeństwo -- Możliwości łagodzenia

Zakres (pl)
W kontekście bezpiecznej interoperacyjności typu plug-and-play,
cyberbezpieczeństwo to proces i zdolność zapobiegania nieautoryzowanemu
dostępowi lub modyfikacji, niewłaściwemu użyciu, odmowie użycia lub
nieautoryzowanemu wykorzystaniu informacji przechowywanych, udostępnianych
lub przesyłanych do i z PHD/PoCD. Częścią cyberbezpieczeństwa w zakresie
zdolności są kontrole bezpieczeństwa informacji związane zarówno z danymi
cyfrowymi, jak i relacjami z bezpieczeństwem i użytecznością. W przypadku
PHD/PoCD niniejszy dokument określa poziom bezpieczeństwa technik
ograniczania cyberbezpieczeństwa w warstwie aplikacji w określonych
przypadkach użycia lub w sytuacjach, gdy spełnione są określone kryteria.
Norma ta zapewnia skalowalny zestaw narzędzi bezpieczeństwa informacji
odpowiedni dla interfejsów PHD/PoCD, który spełnia skrzyżowanie wymagań i
zaleceń Narodowego Instytutu Standardów i Technologii (NIST) oraz
Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA).
Niniejsza norma jest odwzorowana na ramy cyberbezpieczeństwa NIST [B15]; IEC
TR 80001-2-2 [B8]; oraz schemat klasyfikacji dotyczący podszywania się,
manipulowania, odrzucania, ujawniania informacji, odmowy usługi i
podniesienia uprawnień (STRIDE). Techniki łagodzące są oparte na
rozszerzonej triadzie CIA (Rozdział 4) i są opisane ogólnie, aby umożliwić
producentom określenie najbardziej odpowiednich algorytmów i implementacji.

[zaś tu:
"Repudiation", jest "odrzucenie", dałbym "zaprzeczenie".]
]


---8<---
Piotr Karocki

Wszystko co jest poniżej jest samowolnym dopiskiem Google