Określanie priorytetów problemów z zabezpieczeniami
Wygeneruj listę zagrożeń za pomocą sposobów zmniejszenia lub wyeliminowania ryzyka, a następnie współpracuj ze współpracownikami w celu przypisania priorytetów.
Wybieranie struktury priorytetów
Ćwiczenie dotyczące określania priorytetów powinno być zgodne z wewnętrznym standardem dotyczącym usterek zabezpieczeń utworzonym przez daną organizację.
Do celów referencyjnych wewnętrzny pasek błędów używany przez inżynierów w firmie Microsoft jest podobny do poniższej tabeli:
Icon | Ważność | opis |
---|---|---|
Krytyczne | Może mieć krytyczny wpływ na użytkowników systemu. Przykłady obejmują naruszenia związane z ujawnieniem poufnych informacji i zagrożeniami, które wymagają prywatności i zaangażowania prawnego. | |
Ważne | Może mieć poważny wpływ na użytkowników systemu. Przykłady obejmują renderowanie systemu bezużytecznego bez znanych obejść. | |
Średnio | Może mieć umiarkowany wpływ na użytkowników systemu. Przykłady obejmują problemy z dostępnością z możliwymi obejściami. | |
Minimum | Może spowodować niewielki wpływ na użytkowników systemu. | |
Informacja | Potencjalne zagrożenie zostało uznane, ocenione i uznane za nieistotne. |