[<<] [<] Page 1 of 1 [>] [>>] | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Subject:
Troche dluzszy tekst
From: Piotr Karocki ####@####.#### Date: 16 Nov 2021 17:34:11 +0000 Message-Id: <b641b0e5263a8eca62234a716fa78543@mail.gmail.com> Mam takowe zadanie :) Jest sobie norma ISO 11073-40101 Title: Health informatics--Device interoperability--Part 40101: Foundational--Cybersecurity--Processes for vulnerability assessment Scope: Within the context of secure plug-and-play interoperability, cybersecurity is the process and capability of preventing unauthorized access or modification, misuse, denial of use, or the unauthorized use of information that is stored on, accessed from, or transferred to and from a PHD/PoCD. The process part of cybersecurity is risk analysis of use cases specific to a PHD/PoCD. For PHDs/PoCDs, this standard defines an iterative, systematic, scalable, and auditable approach to identification of cybersecurity vulnerabilities and estimation of risk. This iterative vulnerability assessment uses the Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege (STRIDE) classification scheme and the embedded Common Vulnerability Scoring System (eCVSS). The assessment includes system context, system decomposition, premitigation scoring, mitigation, and post-mitigation scoring and iterates until the remaining vulnerabilities are reduced to an acceptable level of risk. Jak to powinno być, wedle Szanownego Grona, po polsku (a nie po polskiemu)? Informatyka w ochronie zdrowia -- Współdziałanie urządzeń -- Część 40101: Podstawy -- Cyberbezpieczeństwo -- Procesy oceny podatności W kontekście bezpiecznej interoperacyjności typu plug-and-play, cyberbezpieczeństwo to proces i zdolność zapobiegania nieautoryzowanemu dostępowi lub modyfikacji, niewłaściwemu użyciu, odmowie użycia lub nieautoryzowanemu wykorzystaniu informacji przechowywanych, udostępnianych lub przesyłanych do i z PHD/PoCD. Część procesowa cyberbezpieczeństwa to analiza ryzyka przypadków użycia specyficznych dla PHD/PoCD. W przypadku PHD/PoCD niniejszy dokument definiuje iteracyjne, systematyczne, skalowalne i podlegające kontroli podejście do identyfikacji podatności cyberbezpieczeństwa i szacowania ryzyka. Ta iteracyjna ocena podatności wykorzystuje schemat klasyfikacji STRIDE (spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service i Elevation of Privilege) oraz wbudowany Common Vulnerability Scoring System (eCVSS). Ocena obejmuje kontekst systemu, dekompozycję systemu, punktację premigacji, łagodzenie i punktację po łagodzeniu i powtarza się, aż pozostałe podatności zostaną zredukowane do akceptowalnego poziomu ryzyka. [tu mi się wydaje że "scoring", jest "punktacja", dałbym "ocena" ('punktacja' chyba jest zwykłą kalką językową) ] I analogicznie ISO 11073-40102: Health informatics--Device interoperability--Part 40102: Foundational--Cybersecurity--Capabilities for mitigation (ISO/IEEE FDIS 11073-40102:2021) Within the context of secure plug-and-play interoperability, cybersecurity is the process and capability of preventing unauthorized access or modification, misuse, denial of use, or the unauthorized use of information that is stored on, accessed from, or transferred to and from a PHD/PoCD. The capability part of cybersecurity is information security controls related to both digital data and the relationships to safety and usability. For PHDs/PoCDs, this standard defines a security baseline of application layer cybersecurity mitigation techniques for certain use cases or for times when certain criteria are met. This standard provides a scalable information security toolbox appropriate for PHD/PoCD interfaces, which fulfills the intersection of requirements and recommendations from National Institute of Standards and Technology (NIST) and the European Network and Information Security Agency (ENISA). This standard maps to the NIST cybersecurity framework [B15]; IEC TR 80001-2-2 [B8]; and the Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege (STRIDE) classification scheme. The mitigation techniques are based on the extended CIA triad (Clause 4) and are described generally to allow manufacturers to determine the most appropriate algorithms and implementations. Tytuł Informatyka w ochronie zdrowia -- Współdziałanie urządzeń -- Część 40102: Podstawy -- Cyberbezpieczeństwo -- Możliwości łagodzenia Zakres (pl) W kontekście bezpiecznej interoperacyjności typu plug-and-play, cyberbezpieczeństwo to proces i zdolność zapobiegania nieautoryzowanemu dostępowi lub modyfikacji, niewłaściwemu użyciu, odmowie użycia lub nieautoryzowanemu wykorzystaniu informacji przechowywanych, udostępnianych lub przesyłanych do i z PHD/PoCD. Częścią cyberbezpieczeństwa w zakresie zdolności są kontrole bezpieczeństwa informacji związane zarówno z danymi cyfrowymi, jak i relacjami z bezpieczeństwem i użytecznością. W przypadku PHD/PoCD niniejszy dokument określa poziom bezpieczeństwa technik ograniczania cyberbezpieczeństwa w warstwie aplikacji w określonych przypadkach użycia lub w sytuacjach, gdy spełnione są określone kryteria. Norma ta zapewnia skalowalny zestaw narzędzi bezpieczeństwa informacji odpowiedni dla interfejsów PHD/PoCD, który spełnia skrzyżowanie wymagań i zaleceń Narodowego Instytutu Standardów i Technologii (NIST) oraz Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA). Niniejsza norma jest odwzorowana na ramy cyberbezpieczeństwa NIST [B15]; IEC TR 80001-2-2 [B8]; oraz schemat klasyfikacji dotyczący podszywania się, manipulowania, odrzucania, ujawniania informacji, odmowy usługi i podniesienia uprawnień (STRIDE). Techniki łagodzące są oparte na rozszerzonej triadzie CIA (Rozdział 4) i są opisane ogólnie, aby umożliwić producentom określenie najbardziej odpowiednich algorytmów i implementacji. [zaś tu: "Repudiation", jest "odrzucenie", dałbym "zaprzeczenie".] ] ---8<--- Piotr Karocki Wszystko co jest poniżej jest samowolnym dopiskiem Google | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
[<<] [<] Page 1 of 1 [>] [>>] |