The Ten Best Practices for Secure Software Development
āļ§āļīāļāļĩāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ (Application Software) āļ āļēāļĒāđāļāļāļāļāđāļāļĢāđāļāļĒāļāļēāļĢāļāļģāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨāļāļąāđāļ āđāļāļāļ§āļēāļĄāđāļāđāļāļāļĢāļīāļāđāļĨāđāļ§āļāļ·āļāđāļāđāļ§āđāļē āđāļāđāļāļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļāļāļāļļāļāļāļāļāļĩāđāļāļĒāļđāđāđāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļąāļāļāļĨāđāļēāļ§ āđāļāļāļāļ°āļāļĩāđāļŦāļĨāļēāļĒāļāļāļĄāļĩāđāļāđāļēāđāļāļāļĩāđāļĒāļąāļāđāļĄāđāļāļđāļāļāđāļāļāļ§āđāļē āļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļąāđāļāļĄāļĩāļāļĩāđāļĄāļēāļāļēāļāļāļēāļĢāđāļĨāļ·āļāļāđāļāđāđāļāļāđāļāđāļĨāļĒāļĩāđāļĨāļ°āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄāđāļĨāļ°āļāļ·āļāđāļāđāļāļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļāļāļāļđāđāļāļąāļāļāļē āđāļĨāļ° āļāļēāļĢāļāļāļŠāļāļāļāļ§āļēāļĄāđāļāđāļāđāļāļĢāđāļāļāļāļāļĢāļ°āļāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĒāļąāļāļāļĨāļēāļĒāđāļāđāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļŠāļļāļāļāđāļēāļĒāļāļāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāļāļēāļ āđāļāđāļ āđāļĄāļ·āđāļāļāļąāļāļāļēāļĢāļ°āļāļāđāļŠāļĢāđāļāđāļĨāđāļ§āļāđāļāļĒāļĄāļēāļāļąāļāļāļģ Vulnerability Assessment āđāļĨāļ° Penetration Testing āđāļāļ āļēāļĒāļŦāļĨāļąāļ āđāļāļ·āđāļāļāļāļēāļāļŦāļĨāļēāļĒāļāļāļāļīāļāļ§āđāļēāļŦāļēāļāļāļģāđāļĢāļ·āđāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĄāļēāđāļāđāļāļāļĢāļ°āđāļāđāļāļāļąāđāļāđāļāđāļāļēāļĢāđāļĢāļīāđāļĄāļāļąāļāļāļē Application Software āđāļĨāđāļ§ āļāļēāļāļāļģāđāļŦāđāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāļāļēāļāļĨāđāļēāļāđāļē āđāļāļ·āđāļāļāļāļēāļāđāļāļĒāļāļāļāļīāđāļĨāđāļ§ āđāļāļĩāļĒāļāļĨāļģāļāļąāļāļāļēāļĢāļāļąāļāļāļēāđāļŦāđāļĢāļ°āļāļāļāļēāļāđāļŦāđāļāļĢāļāļāļēāļĄāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļāļāļđāđāđāļāđāļāļēāļ (users) āļāđāđāļāđāļāđāļĢāļ·āđāļāļāļāļĩāđāļĨāļģāļāļēāļāļāļāļāļ§āļĢāļāļĒāļđāđāđāļĨāđāļ§ āđāļāđāļāļĢāļīāļāđāđāļĨāđāļ§āđāļĢāļ·āđāļāļāļāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļąāđāļ āļāļ·āļāļ§āđāļēāđāļāđāļāļāļāļāđāļāļĢāļ°āļāļāļāļāļĩāđāļŠāļģāļāļąāļāļāļĩāđāļŠāļļāļāļāļĒāđāļēāļāļĒāļīāđāļāļĒāļ§āļāļāļĩāđāļāļ°āļāļģāđāļŦāđāļāļāļāđāļāļĢāļāļĨāļāļāļ āļąāļĒāļāļēāļāļ āļąāļĒāļāļļāļāļāļēāļĄāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļēāļāđ āđāļāļ·āđāļāļāļāļēāļāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļēāļāļāļīāļāđāļāļāļĢāđāđāļāđāļ āļŦāļĢāļ·āļ Cyber Attack āļāļąāđāļāļĄāļĩāļāļĒāļđāđāļĄāļēāļāļĄāļēāļĒāļŦāļĨāļēāļāļŦāļĨāļēāļĒāļĢāļđāļāđāļāļāđāļāļāļąāļāļāļļāļāļąāļāđāļĨāļ°āļāļāļēāļāļ āļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāđāļĄāđāļāļģāļāļķāļāļāļķāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĒāđāļēāļāđāļāļĩāļĒāļāļāļāļĒāđāļāļĄāđāļāđāļāļŠāļēāđāļŦāļāļļāļŦāļāļķāđāļāļāļĩāđāļāļ°āļāļģāđāļŦāđāļāļāļāđāļāļĢāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļģāđāļāļīāļāļāļļāļĢāļāļīāļāđāļāđāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāđāļĨāļ°āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļāđāļāļēāļĄāđāļāđāļēāļŦāļĄāļēāļĒāļāļāļ Stake Holder
āđāļāļĒāļāļąāđāļ§āđāļāđāļĨāđāļ§āļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļ°āļĄāļĩāļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļāļģāļāļ§āļāļĄāļēāļ āļāļąāļāđāļāļĢāļđāļāļāļĩāđ 1 āļāļąāđāļāđāļāđ āļāļđāđāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļĢāļ°āļāļāļāļēāļĄāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļāļĨāļąāļāļĐāļāļ°āļāļļāļĢāļāļīāļ āļāļđāđāļāļāļāđāļāļāļŠāļāļēāļāļąāļāļĒāļāļĢāļĢāļĄāļĢāļ°āļāļ āđāļāļĢāđāļāļĢāļĄāđāļĄāļāļĢāđ āļāļđāđāļāļāļŠāļāļāļāļļāļāļ āļēāļāļāļāļāļĢāļ°āļāļāļāļēāļ āđāļāđāļēāļŦāļāđāļēāļāļĩāđāļāļāļīāļāļąāļāļīāļāļēāļĢ āļāļĩāļĄāļāļĢāļīāļŦāļēāļĢāđāļĨāļ°āļāļĩāļĄāļāļąāļāļāļēāļĢāļ°āļāļāļāļēāļāļāļķāđāļāļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ āļāļđāđāļāļąāļāļāļēāļĢāđāļāļĢāļāļāļēāļĢ āļāļđāđāļāļąāļāļāļēāļĢāļāđāļēāļĒ āđāļĨāļ° āļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāļāđāļāđāļāļāļĄāļĩāļŠāđāļ§āļāļĢāđāļ§āļĄāļāđāļ§āļĒāđāļāđāļāļāļąāļ āđāļĨāļ° āļāļĩāđāļāļēāļāđāļĄāđāđāļāđāļāđāļāļ·āļ āļāļĩāļĄāļāļđāđāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āļāļĩāļĄāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ

āļĢāļđāļāļāļĩāđ 1 āđāļŠāļāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ
āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāļāļēāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āļŦāļĢāļ·āļ Certified Secure Software Lifecycle Professional : CSSLP) āđāļāđāļāļāļļāļāļĨāļēāļāļĢāļāļĩāđāļāļāļāđāļāļĢāļĄāļĩāļāļ§āļēāļĄāļāļģāđāļāđāļāļāđāļāļāļĄāļĩāļāļģāđāļŦāļāđāļāļāļēāļāļāļĢāļ°āļāļģ āļŦāļĢāļ·āļāļāļģāđāļāđāļāļāđāļāļāļāđāļēāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļēāļāļ āļēāļĒāļāļāļāļĄāļēāđāļāđāļāļāļĩāđāļāļĢāļķāļāļĐāļēāļāļāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāļāļāļēāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāļāļēāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāļāļąāļāļāļļāļāļąāļāļāļģāđāļāđāļāļāđāļāļāļĄāļĩāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāļāļēāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĄāļēāļāđāļ§āļĒāđāļŦāđāļāļģāđāļāļ°āļāļģāļ§āđāļēāļāļ§āļĢāļāļģāļāļĒāđāļēāļāđāļĢāđāļŦāđāļĢāļ°āļāļāļāļēāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĩāđāļāļđāļāļāļąāļāļāļēāļāļķāđāļāļĄāļēāļāļąāđāļāļĄāļĩāļāđāļāļāđāļŦāļ§āđāļāđāļāļĒāļāļĩāđāļŠāļļāļāđāļāđāļēāļāļĩāđāļāļ°āļāļģāđāļāđ āđāļāļĢāļēāļ°āđāļāđāļāđāļāđāļĄāđāđāļāđāļāļĩāđāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļ°āļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ 100% āđāļāđāđāļĢāļēāļŠāļēāļĄāļēāļĢāļāļāļāļāđāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđāđāļāđāļĄāļēāļāļĢāļāļēāļāđāļāļĢāļ°āļāļąāļāļŦāļāļķāđāļ āļāļąāļāļāļēāđāļĨāļ°āļāļģāđāļāđāļāđāļāļēāļāļāđāļ§āļĒāļāļ§āļēāļĄāļāļĢāļ°āļŦāļāļąāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĢāļ°āļāļāļāļāļąāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄāļĒāđāļāļĄāđāļāđāļāļāļąāļāļāļąāļĒāļŦāļĨāļąāļāļāļĩāđāļāļ°āļāļģāđāļŦāđāļāļĨāļāļĢāļ°āļāļāļāļĩāđāļāļēāļāđāļāļīāļāļāļķāđāļāļāļąāļāļĢāļ°āļāļ āđāļĄāļ·āđāļāļĄāļĩāļāļēāļĢāļāļļāļāļĢāļļāļāļĨāļāļĨāļāđāļāđ āļāļąāļāļāļąāđāļāļ§āļīāļāļĩāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļąāļāļāđāļāđāļāļāļĩāđ 10 āļāļĢāļ°āļāļēāļĢāļāļ°āļāđāļ§āļĒāđāļŦāđāļāđāļēāļāļŠāļēāļĄāļēāļĢāļāļāļąāļāļāļēāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđāļāļĒāđāļēāļāļāļđāļāļāđāļāļ
āļāļēāļāļāļĢāļīāļĐāļąāļ ACIS Professional Center āļāļģāđāļāļĒ āļāļēāļāļēāļĢāļĒāđ āļāļīāļāļāļāđ āļāļēāļāļīāļ āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļ Penetration Testing āļāļāļACIS āļāļķāđāļāļāļēāļāļēāļĢāļĒāđ āļāļīāļāļāļāđ āļāļ·āļāđāļāđāļāļāļāđāļāļĒāļāļāđāļĢāļāļāļĩāđāđāļāđāļĢāļąāļāļāļēāļĢāļĢāļąāļāļĢāļāļāļāļ§āļēāļĄāļĢāļđāđāļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āļŦāļĢāļ·āļ CSSLP (Certified Secure Software Lifecycle Professional) āļāļēāļāļŠāļāļēāļāļąāļ (ISC)2 āđāļāļĒāļāļēāļāļēāļĢāļĒāđāđāļāđāļāļģāļāđāļāļĄāļđāļĨāļāļēāļāļāļĢāļ°āļŠāļāļāļēāļĢāļāđāđāļāļāļēāļĢāļāļģāļāļēāļāļĢāđāļ§āļĄāļāļąāļāļāļĩāļĄ Penetration Testing āļāļāļ ACIS Professional Center āļāļ§āđāļē 5 āļāļĩ āļĄāļēāļāļģāļāļēāļĢāļŠāļĢāļļāļāļāļąāļāļŦāļēāļ āļēāļāļĢāļ§āļĄāđāļāļĄāļļāļĄāļĄāļāļāļāļāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāļāļēāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļ§āđāļēāđāļĢāļēāļāļ§āļĢāļāļ°āļāļąāļāļāļēāļĢāļ°āļāļāļāļēāļāļāļĒāđāļēāļāđāļĢāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđāđāļāđāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āļāļķāđāļāļŠāļĢāļļāļāđāļāđāđāļāđāļāļāļāļāļ§āļēāļĄāļ§āļīāļāļēāļāļēāļĢ “āļāļąāļāļāļąāļāļī 10 āļāļĢāļ°āļāļēāļĢ āđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ”
“āļāļąāļāļāļąāļāļī 10 āļāļĢāļ°āļāļēāļĢ” āđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ
- āļĢāļąāļāļĐāļēāļāļ·āđāļāđāļŠāļĩāļĒāļāļāļāļāļāļāļāđāļāļĢ
- āđāļāđāļēāđāļāļāļļāļĢāļāļīāļāđāļĨāļ°āļāđāļāļāļāļąāļāļĢāļ°āļāļāļāļēāļāļāļļāļĢāļāļīāļāļāđāļ§āļĒāļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄāđāļĨāļ°āļāļĨāļāļāļ āļąāļĒ
- āđāļāđāļēāđāļāđāļāļāđāļāđāļĨāļĒāļĩāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ
- āđāļāđāļēāđāļāļŦāļĨāļąāļāļāļēāļĢ GRC, Information Classification āđāļĨāļ° Data Privacy
- āđāļāđāļēāđāļāļŦāļĨāļąāļāļāļēāļĢāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ
- āļāđāļāļāļāļąāļāļāđāļāļĄāļđāļĨāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļŠāļģāļāļąāļ
- āļāļāļāđāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāļĒāļāļģāļāļķāļāļāļķāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ
- āļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāļĒāļāļģāļāļķāļāļāļķāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ
- āļāļģāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļāđāļāļēāļāđāļāļĒāļāļģāļāļķāļāļāļķāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ
- āļŦāļĄāļąāđāļāļĻāļķāļāļĐāļēāļŦāļēāļāļ§āļēāļĄāļĢāļđāđāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĒāđāļēāļāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ
1. āļĢāļąāļāļĐāļēāļāļ·āđāļāđāļŠāļĩāļĒāļāļāļāļāļāļāļāđāļāļĢ
Harvard Business Review āļĢāļēāļĒāļāļēāļāļ§āđāļēāđāļāļāļĩ āļ.āļĻ. 2008 āļĄāļĩāļāļļāļĢāļāļīāļāđāļāļāđāļŦāļĄāđāđāļāļīāļāļāļķāđāļ āđāļĢāļĩāļĒāļāļ§āđāļē Cybercrime service āđāļāļĒāđāļāđāļāļāļļāļĢāļāļīāļāļāļĩāđāļĢāļąāļāļāđāļēāļāđāļāļēāļ°āļĢāļ°āļāļāđāļāļĒāđāļāļāļēāļ°āļāļēāļĢāļāđāļĄāļĒāļāđāļāļĄāļđāļĨāđāļĨāļ°āļāļēāļĢāļāđāļĄāļĒāļāļ§āļēāļĄāđāļāđāļāļāļąāļ§āļāļ (Identity Theft) āļŦāļĢāļ·āļ āļāļēāļĢāļāđāļĄāļĒ username āđāļĨāļ° password āļāļāļāļāļļāļāļāļĨāļāļąāđāļāđāļāļ Scott BerinatorāļāļĢāļĢāļāļēāļāļīāļāļēāļĢāļāļāļ CSO magazine āļāļĨāđāļēāļ§āļ§āđāļēāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāļāļāļ āđāļŪāļāđāļāļāļĢāđāđāļāļĒāļļāļāļāļąāļāļāļļāļāļąāļāđāļĄāđāđāļāđāđāļāđāļāđāļāļĩāļĒāļāļāļēāļĢāđāļāļĄāļāļĩāđāļŦāđāļĢāļ°āļāļāļŦāļĒāļļāļāļāļģāļāļēāļāđāļāđāļēāļāļąāđāļ āļŦāļēāļāđāļāđāļĒāļąāļāđāļāđāļāļāļēāļĢāļĨāļąāļāļĨāļāļāļāđāļĄāļĒāļāđāļāļĄāļđāļĨāļāļĩāđāđāļāđāļāļāļ§āļēāļĄāļĨāļąāļāđāļĨāļ°āļāļģāļĨāļēāļĒāļāļ§āļēāļĄāđāļāļ·āđāļāļāļ·āļāļāļāļāļĨāļđāļāļāđāļēāļāļĩāđāļĄāļĩāļāđāļāļāļāļāđāļāļĢāļāļĩāļāļāđāļ§āļĒ āđāļāļĒ Scott BerinatorāđāļāđāļāļĨāđāļēāļ§āļŠāļĢāļļāļāđāļāļāļāļāļāđāļēāļĒāļ§āđāļē āđāļāđāļāļĢāļīāļāđāļĨāđāļ§ āļŦāļēāļāđāļāļīāļāđāļŦāļāļļāļāļēāļĢāđāļāļēāļ°āļĢāļ°āļāļāļāļķāđāļāļāļąāļāļāļāļāđāļāļĢāļāļāļāđāļĢāļē āđāļĄāļ·āđāļāļĄāļāļāđāļāļĄāļļāļĄāļāļāļāļĨāļđāļāļāđāļēāļāļāļāđāļāļĢāļāļ§āļĢāđāļāđāļāļāļđāđāļāļĩāđāļāđāļāļāļĢāļąāļāļāļīāļāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļĩāđāđāļāļīāļāļāļķāđāļ āđāļĄāđāđāļāđāđāļŪāļāđāļāļāļĢāđāļāļĩāđāļāļĢāļ°āļāļģāļāļēāļĢāđāļāļēāļ°āļĢāļ°āļāļ āļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļĩāđāļ§āđāļēāļāļąāđāļāļāđāļāļ·āļ āļāļ·āđāļāđāļŠāļĩāļĒāļāļāļĩāđāļāļāļāđāļāļĢāļŠāļąāđāļāļŠāļĄāļĄāļēāđāļāđāļāļĢāļ°āļĒāļ°āđāļ§āļĨāļēāļāļąāļāļĒāļēāļ§āļāļēāļāļŠāļēāļĄāļēāļĢāļāļāļąāļāļĒāđāļāļĒāļĒāļąāļāđāļāđāļ§āļĨāļēāļāļąāļāļŠāļąāđāļāļāđāļ§āļĒāļāđāļģāļĄāļ·āļāļāļāļāđāļŪāļāđāļāļāļĢāđāđāļāđ
āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđāļāļāļīāļāļāļĢāļĢāļĄāļāļĩāđāļāđāļāļāļāļĢāļ°āļāļģāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ āļāļēāļĢāđāļāļīāļāļāļķāđāļāļāļāļāļ āļąāļĒāđāļĨāļ°āļāļēāļāļāļēāļāļĢāļĢāļĄāļāļēāļCyber āļāļģāđāļŦāđāļāļļāļāļāļāļāđāļāļĢāļāļģāļāđāļāļāđāļāļĢāļĩāļĒāļĄāļĄāļēāļāļĢāļāļēāļĢāđāļāļ·āđāļāļĢāļąāļāļĄāļ·āļāļāļąāļāļ āļąāļĒāļāļąāļāļāļĨāđāļēāļ§ āļ āļąāļĒāļāļĩāđāļāļēāļāļāđāļāđāļŦāđāđāļāļīāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāđāļāđāļāļāļāđāļāļĢ āļāļķāđāļāļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ āļāļēāļĢāđāļāļīāļāđāļāļĒāļāļ§āļēāļĄāļĨāļąāļāļāđāļāļĄāļđāļĨāļāļāļāļĨāļđāļāļāđāļē āļāļēāļĢāđāļāļĄāļāļĩāļĢāļ°āļāļāļāļāļāļģāđāļŦāđāļĢāļ°āļāļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļāđāļāđ āļŦāļĢāļ·āļ āļ āļąāļĒāļāļļāļāļāļēāļĄāļāļ·āđāļāđāļāļĩāđāļāļģāđāļŦāđāļāļļāļĢāļāļīāļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļģāđāļāļīāļāļāđāļāđāļāđāļāđ āļĨāđāļ§āļāļŠāļĢāđāļēāļāļāļĨāļāļĢāļ°āļāļāđāļŦāđāđāļāđāļŠāļāļēāļāļ°āļ āļēāļāļāļēāļāļāļēāļĢāđāļāļīāļāļāļāļāļāļāļāđāļāļĢāļāļĒāđāļēāļāļĢāļļāļāđāļĢāļ āļāļāļāļāļēāļāļāļĩāđāļāļāļāđāļāļĢāļĒāļąāļāļāļēāļāļŠāļđāļāđāļŠāļĩāļĒāļāļ§āļēāļĄāđāļāļ·āđāļāļĄāļąāđāļāđāļĨāļ°āļāļ§āļēāļĄāđāļāļ·āđāļāļāļ·āļāļāļēāļāļĨāļđāļāļāđāļēāļāļĩāđāļĄāļĩāļāđāļāļāļāļāđāļāļĢāļāļĒāđāļēāļāļāļĢāļ°āđāļĄāļīāļāļĄāļđāļĨāļāđāļēāđāļĄāđāđāļāđ
āļāļąāļāļāļąāđāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āļŦāļĢāļ·āļ CSSLP āļāļ§āļĢāļŠāļēāļĄāļēāļĢāļāđāļŦāđāļāļģāđāļāļ°āļāļģāļ§āļīāļāļĩāļāļēāļĢāļāđāļāļāļāļąāļāđāļĄāđāđāļŦāđāļāļāļāđāļāļĢāđāļŠāļĩāļĒāļāļ·āđāļāđāļŠāļĩāļĒāļāđāļĨāļ°āđāļŠāļĩāļĒāļāļ§āļēāļĄāđāļāļ·āđāļāļĄāļąāđāļāļāļāļāļĨāļđāļāļāđāļē āđāļāļĒāđāļŦāđāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļ āđāļĨāļ° āđāļāļ°āļāļģāļāļēāļĢāļāļģ Best Practices āļŦāļĢāļ·āļ Framework āļĄāļēāđāļāđāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļŦāđāđāļāđāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ
2. āđāļāđāļēāđāļāļāļļāļĢāļāļīāļāđāļĨāļ°āļāđāļāļāļāļąāļāļĢāļ°āļāļāļāļēāļāļāļļāļĢāļāļīāļāļāđāļ§āļĒāļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄāđāļĨāļ°āļāļĨāļāļāļ āļąāļĒ
āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŠāđāļ§āļāđāļŦāļāđāļĄāļĩāļāļ§āļēāļĄāđāļŦāđāļāļ§āđāļē āļāļ§āļēāļĄāļĢāļđāđāđāļĨāļ°āļāļ§āļēāļĄāđāļāļĩāđāļĒāļ§āļāļēāļāđāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļāļĨāļāļāļāļāļāļ§āļēāļĄāļĢāļđāđāļāļ§āļēāļĄāđāļāđāļēāđāļāđāļāļĢāļ°āļāļāļāļļāļĢāļāļīāļāđāļāđāļāļŠāļīāđāļāļŠāļģāļāļąāļāļāļĒāđāļēāļāļĒāļīāđāļāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŠāļģāļŦāļĢāļąāļāļāļāļāđāļāļĢ āđāļāđāļŦāļĨāļēāļĒāļāļāļĒāļąāļāļĄāļĩāļāļ§āļēāļĄāđāļāđāļēāđāļāļ§āđāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāđāļāļāļļāļāļŠāļĢāļĢāļāđāļāļāļēāļĢāļāļģāđāļāļīāļāļāļļāļĢāļāļīāļāđāļāļ·āđāļāļāļāļēāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļāļāļāļ§āļēāļĄāļĒāļ·āļāļŦāļĒāļļāđāļāđāļāļāļēāļāļāļĢāļ°āļāļēāļĢāļāļāļāđāļāļŦāļĢāļ·āļāļāļēāļāļāļāļĄāļāļāļ§āđāļēāđāļāđāļāļāļ§āļēāļĄāļŠāļīāđāļāđāļāļĨāļ·āļāļāđāļāļ·āđāļāļāļāļēāļāļāđāļāļāđāļāđāļāļēāļĢāļĨāļāļāļļāļāļāđāļāļāļāđāļēāļāļŠāļđāļ āđāļāđāđāļāļāļ§āļēāļĄāđāļāđāļāļāļĢāļīāļ āļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĄāļĩāđāļ§āđāđāļāļ·āđāļāļŠāļāļąāļāļŠāļāļļāļāļāļļāļĢāļāļīāļ āļĒāļāļāļąāļ§āļāļĒāđāļēāļāđāļāđāļ āļāļģāđāļĄāļĢāļāļĒāļāļāđāļāđāļāļāļĄāļĩāđāļāļĢāļ āļāļģāļāļāļāļāļāļāļāļģāļāļēāļĄāļāļĩāđāļāļēāļāļāļāļāđāļāđ 2 āļāļģāļāļāļāļāļ·āļ āļŦāļāļķāđāļāļĄāļĩāđāļ§āđāđāļāļ·āđāļāļāđāļāļāļāļąāļāđāļĢāļēāļāļēāļāļāļļāļāļąāļāļīāđāļŦāļāļļāļŦāļĢāļ·āļāļŦāļēāļāđāļāļīāļāļāļļāļāļąāļāļīāđāļŦāļāļļāļāļķāđāļāļāļĢāļīāļāđāļāđāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļĢāļĢāđāļāļēāļāļ§āļēāļĄāļĢāļļāļāđāļĢāļāļĨāļāđāļāđ āļāļģāļāļāļāļāļĩāđāļŠāļāļ āļāļ·āļ āđāļāļĢāļāļĄāļĩāđāļ§āđāđāļāļ·āđāļāđāļŦāđāđāļĢāļēāļŠāļēāļĄāļēāļĢāļāļāļąāļāļĢāļāđāļāđāđāļĢāđāļ§āļĒāļīāđāļāļāļķāđāļ āļŦāļēāļāđāļĢāļēāļāļąāļāļĢāļāđāļāļĒāđāļĄāđāļĄāļĩāđāļāļĢāļ āđāļāđāļāļāļāđāļĢāļēāļāđāļāļāļāļąāļāļĢāļāļāđāļēāđāđāļāđāļĢāļ·āđāļāļĒāđ āļāļķāđāļāļāđāđāļāļāļķāļāļāļļāļāļŦāļĄāļēāļĒāđāļŦāļĄāļ·āļāļāļāļąāļāļāđāļāļēāļāļāļ°āļāļķāļāļāđāļēāļāļ§āđāļēāļāļāļāļ·āđāļ āđāļāđāļŦāļēāļāđāļĢāļēāļĄāļĩāđāļāļĢāļāđāļāļāļāļ°āļāļĩāđāļāļāļāļ·āđāļāđāļĄāđāļĄāļĩ āđāļĢāļēāļāđāļāļ°āļŠāļēāļĄāļēāļĢāļāļāļąāļāļĢāļāđāļāđāđāļĢāđāļ§āļāļķāđāļ āļŦāļēāļāđāļāļīāļāļāļąāļāļŦāļēāļāđāļŠāļēāļĄāļēāļĢāļāđāļāļĢāļāđāļāđ āļāļķāđāļāļāļ°āļāļģāđāļŦāđāđāļĢāļēāđāļāļāļķāļāļāļļāļāļŦāļĄāļēāļĒāđāļāđāđāļĢāđāļ§āļāļķāđāļāđāļĨāļ°āđāļĢāđāļ§āļāļ§āđāļēāļāļāļāļ·āđāļāļāļĩāđāđāļĄāđāļĄāļĩāđāļāļĢāļ āđāļāļĢāļĩāļĒāļāđāļāđāļāļąāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļāļāļĢāļāļĩāļāļĩāđāļĢāļ°āļāļāļĄāļĩāļāļąāļāļŦāļēāđāļĨāļ°āļāđāļāļāļāļąāļāļĢāļ°āļāļ āļŦāļēāļāļĢāļ°āļāļāđāļāļīāļāļĨāđāļĄāļāđāļāļ°āļāļģāđāļŦāđāļŠāļēāļĄāļēāļĢāļāļāļđāđāļĢāļ°āļāļāļāļĨāļąāļāļāļ·āļāļāļĨāļąāļāļĄāļēāđāļāđāļāļĒāđāļēāļāļĢāļ§āļāđāļĢāđāļ§ āđāļĨāļ° āļāļģāđāļŦāđāļāļļāļĢāļāļīāļāļāļģāđāļāļīāļāđāļāđāļāđāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāđāļāļĒāđāļĄāđāļāļīāļāļāļąāļ
āļāļāļāļāļēāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨāļāļ§āļĢāļĄāļĩāļāļ§āļēāļĄāđāļāđāļēāđāļāđāļāļĢāļ°āļāļāļāļļāļĢāļāļīāļāđāļĨāđāļ§ āļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļŊ āļāļ§āļĢāļĄāļĩāļāļ§āļēāļĄāđāļāđāļēāđāļāđāļāđāļĢāļ·āđāļāļ āļāļāļŦāļĄāļēāļĒ āļāļāđāļāļāļāđāļāđāļāļāļąāļāļāļąāļ āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļĨāļ° āļāļēāļĢāļāļķāļāļāļāļĢāļĄāļāļđāđāđāļāđāļāļēāļ āļĒāļāļāļąāļ§āļāļĒāđāļēāļ āđāļāđāļ āļāļāļēāļāļēāļĢāļāļĩāđāļĄāļĩāļĢāļ°āļāļ Internet Banking āļāđāļāļāļāļģāđāļāļīāļāļāļļāļĢāļāļīāļāđāļŦāđāļŠāļāļāļāļĨāđāļāļāļāļąāļ Regulatory Compliance āļāļāļāļāļāļēāļāļēāļĢāđāļŦāđāļāļāļĢāļ°āđāļāļĻāđāļāļĒ āđāļāđāļ Basel II āļāļąāļāļāļąāđāļ āļāļāļēāļāļēāļĢāļāļķāļāļāļģāđāļāđāļāļāđāļāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļģāļĄāļēāļāļĢāļāļēāļĢāļāđāļāļāļāļąāļāļāļēāļĢāļāđāļĄāļĒāļāđāļāļĄāļđāļĨāļāļēāļāļāđāļēāļāļāļēāļĢāđāļāļīāļ āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļāļāļāļĨāļđāļāļāđāļē āļāļķāđāļāļāļēāļāļāļģāđāļāđāļāļāđāļāļāļĄāļĩāļāļēāļĢāđāļāđāđāļāļāđāļāđāļĨāļĒāļĩāļāđāļēāļāļāļēāļĢāļāļīāļŠāļđāļāļāđāļāļąāļ§āļāļāđāļāđāļ Two-Factor Authentication āļāļēāļĢāđāļāđāļēāļĢāļŦāļąāļŠāļāđāļāļĄāļđāļĨ āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļāļ§āļāļāļļāļĄ āđāļĨāļ° āļāļ§āļĢāļāđāļāļāļĄāļĩāļāļēāļĢāļāļķāļāļāļāļĢāļĄāļāļđāđāđāļāđāļāļēāļāļŦāļĢāļ·āļāļĨāļđāļāļāđāļēāđāļŦāđāļĢāļđāđāļāļąāļāļāđāļāļāļāļąāļāļāļāđāļāļāļāļēāļāļ āļąāļĒāļāļĩāđāđāļĢāļĩāļĒāļāļ§āđāļē “Social Engineering” āđāļāđāļ Phishing
3. āđāļāđāļēāđāļāđāļāļāđāļāđāļĨāļĒāļĩāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ
āļāļāļāļāļēāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āļŦāļĢāļ·āļ CSSLP āļĄāļĩāļāļ§āļēāļĄāļāļģāđāļāđāļāļāļĩāđāļāđāļāļāđāļāđāļēāđāļāļāļļāļĢāļāļīāļāđāļĨāđāļ§ āļĒāļąāļāļĄāļĩāļāļ§āļēāļĄāļāļģāđāļāđāļāļāļĩāđāļāđāļāļāđāļāđāļēāđāļāđāļāđāļāļāđāļāđāļĨāļĒāļĩāļāļĩāļāļāđāļ§āļĒ āđāļāļ·āđāļāđāļŦāđāđāļāļīāļāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ āđāļāļĢāļēāļ°āļāļ§āļēāļĄāđāļĄāđāđāļāđāļēāđāļāļāļķāļāđāļāļāđāļāđāļĨāļĒāļĩāļāļĩāđāđāļāđāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĒāđāļēāļāļĨāļķāļāļāļķāđāļāļāļąāđāļāļāļēāļāļāļģāđāļŦāđāļĢāļ°āļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĩāđāļāļąāļāļāļēāļŦāļĢāļ·āļāļāļąāļāļāļ·āđāļāļĄāļēāđāļāđāļāļąāđāļāđāļĄāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđāđāļāļĩāļĒāļāļāļ
āđāļĄāļ·āđāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāļāļāļāđāļāļĢ āļāļēāļĢāļāļģāļāļ§āļēāļĄāđāļāđāļēāđāļāđāļāđāļāļĢāļāļŠāļĢāđāļēāļāđāļĨāļ°āļāļāļāđāļāļĢāļ°āļāļāļāļāđāļēāļāđāļāļĩāđāļĄāļĩāļāļĒāļđāđ āđāļāđāļ āļāļēāļĢāđāļāđāļāđāļĒāļāđāļāļĢāļ·āļāļāđāļēāļĒ (Segregation of Networks) āļāļēāļĢāļāļīāļāļāđāļāļāđāļŦāļ§āđāđāļāļīāļĢāđāļāđāļ§āļāļĢāđāđāļĨāļ°āļāļļāļāļāļĢāļāđāđāļāļĢāļ·āļāļāđāļēāļĒ (Network & Server Hardening) āļāļļāļāļāđāļāļāđāļĨāļ°āļāļļāļāđāļāđāļāļāļāļāļ āļēāļĐāļēāļāļĩāđāđāļāđāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļŦāļĢāļ·āļāđāļĄāđāļāļĢāļ°āļāļąāđāļāđāļāļāđāļāđāļĨāļĒāļĩāļāļĩāđāđāļĢāļēāļāļģāļĨāļąāļāļāļ°āļāļģāļĄāļēāđāļāđāļāļēāļ āļĒāđāļāļĄāđāļāđāļāļāļąāļāļāļąāļĒāļŠāļģāļāļąāļāļāļĩāđāļāļ°āļāđāļ§āļĒāđāļāļāļēāļĢāļāļąāļāļŠāļīāļāđāļāđāļĨāļ·āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄāļĄāļēāđāļāđāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļĨāļ°āđāļĄāļ·āđāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļ·āđāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ āļāļļāļāļŠāļĄāļāļąāļāļīāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđāļāļđāđāļāļģāļŦāļāđāļēāļĒāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāđāļēāļāļ§āđāļēāļāļāļĄāļĩāļāļąāđāļ āļāļģāđāļāđāļāļāđāļāļāļĄāļĩāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļāļ·āđāļāļāļīāļŠāļđāļāļāđāļ§āđāļēāđāļŦāļĄāļēāļ°āļŠāļĄāļāļąāļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļāļāļāļāđāļāļĢāļĢāļ§āļĄāļāļąāđāļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļēāļāļāđāļēāļāļāļāļŦāļĄāļēāļĒāļŦāļĢāļ·āļāđāļĄāđ āļāļķāđāļāđāļāļāļēāļāļāļĢāļąāđāļāļāļēāļāļāļ°āļĄāļēāļāļŦāļĢāļ·āļāļāđāļāļĒāļāļāđāļāļīāļāđāļ āļāļķāđāļāļāļēāļĢāļāļīāļāļēāļĢāļāļēāļāļ§āļēāļĄāđāļŦāļĄāļēāļ°āļŠāļĄāļāļķāļāļāļļāļāļŠāļĄāļāļąāļāļīāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļ°āļāļģāđāļŦāđāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļĨāļ°āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļāļīāđāļĄāļĄāļēāļāļāļķāđāļ
4. āđāļāđāļēāđāļāļŦāļĨāļąāļāļāļēāļĢ GRC (Governance, Risk Management and Compliance), Information Classification āđāļĨāļ° Data Privacy
āļāļēāļĢāđāļāđāļāļēāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāļĒāļļāļāļāļąāļāļāļļāļāļąāļāļĄāļĩāļāļāļŦāļĄāļēāļĒāļāļāđāļāļāļāđāļāđāļāļāļąāļāļāļąāļāļĄāļēāļāļĄāļēāļĒāđāļāļ·āđāļāđāļŦāđāļāļļāļāļāļāļāđāļāļĢāļāđāļāļāļāļāļīāļāļąāļāļīāļāļēāļĄ āļāļąāļāļāļąāđāļ āļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄāļŦāļĨāļąāļāļāļēāļĢāđāļāļ§āļāļīāļ GRC āļāļąāđāļāļāļķāļāđāļĄāđāđāļāđāđāļāđāļāđāļāļĩāļĒāļāļŠāļīāđāļāļāļĩāđāļāđāļāļāļāļģāđāļāļĩāļĒāļāļāļąāđāļ§āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļāđāļ§āļĨāļēāļŦāļāļķāđāļāđāļāđāļēāļāļąāđāļ āđāļāđāļāļāļāđāļāļĢāļāđāļāļāļāļģāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ āļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļ§āļĢāļāļąāļāļāļēāđāļŦāđāļŠāļāļāļāļĨāđāļāļāđāļāļāļąāļāļāļāļŦāļĄāļēāļĒāđāļāļĒāļāļąāļāđāļāļĄāļąāļāļī āļāļąāļāļāļąāđāļāļāļāļāđāļāļĢāļāļ§āļĢāļāđāļāļāđāļāđāļēāđāļāļāļķāļāļāļāļŦāļĄāļēāļĒāđāļĨāļ°āļāļāđāļāļāļāđāļāđāļēāļāđ āļāļąāđāļāļ āļēāļĒāļāļāļāđāļĨāļ°āļ āļēāļĒāđāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāļĄāļĩāļāļĢāļ°āđāļĒāļāļāđāđāļāļāļēāļĢāļāļģāļāļąāļāļāļđāđāļĨāļāļļāļĢāļāļīāļ āđāļĨāļ°āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ āđāļĨāļ° āđāļāļ·āđāļāļĨāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ āļĢāļ§āļĄāļāļąāđāļāđāļāļ·āđāļāđāļŦāđāļŠāļāļāļāļĨāđāļāļāļāļąāļāļāļāļŦāļĄāļēāļĒāđāļĨāļ°āļāļāđāļāļāļāđāļāđāļāļāļąāļāļāļąāļāļāļąāđāļāđāļāļāļąāļāļāļļāļāļąāļāđāļĨāļ°āđāļāļāļāļēāļāļ
5. āđāļāđāļēāđāļāļŦāļĨāļąāļāļāļēāļĢāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ
āđāļĄāļ·āđāļāļāļāļāđāļāļĢ āļāđāļāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļĢāļ°āļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļ āđāļĢāļēāļāļģāđāļāđāļāļāđāļāļāļāļģāļāļ§āļēāļĄāđāļāđāļēāđāļāļāļąāļāļŦāļĨāļąāļāļāļēāļĢāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāļāļĢāļ°āļāļēāļĢ āļāļķāđāļāļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ āļāļēāļĢāļāđāļāļāļāļąāļāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļŠāļēāļĢāļŠāļāđāļāļĻ (Confidentiality Protection) āļāļēāļĢāļāđāļāļāļāļąāļāļāļēāļĢāđāļāđāđāļāļāļāļāļŠāļēāļĢāļŠāļāđāļāļĻ (integrity Protection) āļāļēāļĢāļāđāļāļāļāļąāļāļāļēāļĢāļāļđāļāļāļģāļĨāļēāļĒ (Availability Protection) āļāļēāļĢāļāļīāļŠāļđāļāļāđāļāļąāļ§āļāļ (Authentication) āļāļēāļĢāđāļŦāđāļŠāļīāļāļāļīāđ (Authorization) āļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨāđāļāļ·āđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ (Auditing) āđāļĨāļ° āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ Configuration, Sessions āđāļĨāļ° Exceptions āļāļāļāļĢāļ°āļāļ āļāļēāļĢāļāļĩāđāđāļĢāļēāļĄāļĩāļāļ§āļēāļĄāđāļāđāļēāđāļāđāļāļŦāļĨāļąāļāļāļēāļĢāļāļąāļāļāļĨāđāļēāļ§ āļāļ°āļāļģāđāļŦāđāđāļĢāļēāļĢāļđāđāļāļķāļāļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāļāļ°āļāļģāđāļāđāļāđāļāļēāļāđāļāđāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļĨāļ°āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨāļĄāļēāļāļāļķāđāļ
āļāļĨāđāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļāļāļĒāđāļēāļāļāļĩāđāđāļĢāļēāļŠāļēāļĄāļēāļĢāļāļāļģāļŦāļĨāļąāļāļāļēāļĢāļāļąāļāļāļĨāđāļēāļ§āļāđāļēāļāļāđāļāļĄāļēāđāļāđāļāļēāļāļāļĢāļīāļ āđāļāđāļ āļāļēāļĢāđāļāđāļēāļĢāļŦāļąāļŠāļāđāļāļĄāļđāļĨ āļāļķāđāļāļŠāļēāļĄāļēāļĢāļāđāļāđāļāļ§āļāļāļļāļĄāļāļ§āļēāļĄāļĨāļąāļāđāļāđ āļāļāļ°āļāļĩāđāļāļēāļĢāļāļģ âHashingâ āļŠāļēāļĄāļēāļĢāļāļāđāļāļāļāļąāļāļāļēāļĢāđāļāđāđāļāļāđāļāļĄāļđāļĨāđāļāđ āļāļēāļĢāđāļāđāļēāļĢāļŦāļąāļŠāļāļ·āļāļāļēāļĢāđāļāļĨāļāļāđāļāļĄāļđāļĨāļāļĩāđāļŠāļēāļĄāļēāļĢāļāļāđāļēāļāđāļāđāļāđāļ§āļĒāļĄāļāļļāļĐāļĒāđāļāļĒāđāļēāļāļāđāļēāļĒāđ (plain text) āļĄāļēāđāļāđāļāļāđāļāļĄāļđāļĨāļāļĩāđāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāđāļēāļāđāļāđ (cipher text) āļāļēāļĢāļāļāļāļĢāļŦāļąāļŠāđāļāđāļāļāļēāļĢāđāļāļĨāļāļāđāļāļĄāļđāļĨāļāļĩāđāļāļđāļāđāļāđāļēāļĢāļŦāļąāļŠ (cipher text) āđāļāđāļāļāđāļāļĄāļđāļĨāļāļĩāđāļŠāļēāļĄāļēāļĢāļāļāđāļēāļāđāļāđ (plain text) āļāļēāļĢāđāļāđāļēāđāļĨāļ°āļāļāļāļĢāļŦāļąāļŠāļāļģāđāļāđāļāļāđāļāļāđāļāđāļāļļāļāđāļāļāļĩāđāđāļāđāļāļāļ§āļēāļĄāļĨāļąāļ (secret key) āđāļāļāļēāļĢāļāļģāļāļēāļ āđāļĢāļēāļāļķāļāļāļ§āļĢāļāļąāļāđāļāļĢāļĩāļĒāļĄ Infrastructure āļŠāļģāļŦāļĢāļąāļāļāļēāļĢāđāļāđāļēāđāļĨāļ°āļāļāļāļĢāļŦāļąāļŠāļŠāļēāļĢāļŠāļāđāļāļĻ āđāļāđāļ āļĢāļ°āļāļ PKI (Public Key Infrastructure)
6. āļāđāļāļāļāļąāļāļāđāļāļĄāļđāļĨāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļŠāļģāļāļąāļ
āļāļēāļĢāļāļĩāđāđāļĢāļēāļāļ°āļĄāļąāđāļāđāļāđāļāđāļ§āđāļēāđāļĢāļēāļŠāļēāļĄāļēāļĢāļāļĢāļąāļāļĐāļēāļāļ·āđāļāđāļŠāļĩāļĒāļāļāļāļāļāļāļāđāļāļĢāđāļĢāļēāđāļāđāđāļāđāļāļāļĒāđāļēāļāļāļĩ āļāļąāđāļāļāļ·āļ āļāļēāļĢāļāļĩāđāļāđāļāļĄāļđāļĨāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļŠāļģāļāļąāļāļŠāļđāļāļāļĩāđāđāļāđāļāļāļĒāļđāđāđāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāđāļĄāļĩāļāļēāļĢāļāđāļāļāļāļąāļāđāļ§āđāļāļĒāđāļēāļāļāļĨāļāļāļ āļąāļĒ āļāđāļāļĄāļđāļĨāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļŠāļģāļāļąāļāļŠāļđāļ āļāļēāļāļŦāļĄāļēāļĒāļāļķāļ āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ āļāđāļāļĄāļđāļĨāļŠāļļāļāļ āļēāļ āļāđāļāļĄāļđāļĨāļāđāļēāļāļāļēāļĢāđāļāļīāļ āļŦāļĢāļ·āļ āđāļĄāđāļāļĢāļ°āļāļąāđāļāļāđāļāļĄāļđāļĨāļāļĢāļēāļāļĢāļāļēāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļĩāđāđāļĢāļēāļāđāļāļāļāļąāļāđāļāđāļāđāļāļ·āđāļāđāļŦāđāļŠāļāļāļāļĨāđāļāļāļāļąāļāļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢāđāļāđāļāļĢāļąāļāļĐāļēāļāđāļāļĄāļđāļĨāļāļĢāļēāļāļĢāļāļēāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđāļāļāļāļāļđāđāđāļŦāđāļāļĢāļīāļāļēāļĢ āļ.āļĻ.2550 āļāđāļāļ·āļāļ§āđāļēāđāļāđāļāļāđāļāļĄāļđāļĨāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļŠāļģāļāļąāļāđāļāđāļāļāļąāļ āļāđāļāļĄāļđāļĨāļāļąāļāļāļĩāđāļāļĨāđāļēāļ§āļĄāļēāļāļĩāđāļŦāļēāļāļāļđāļāđāļāļīāļāđāļāļĒāđāļāļŠāļđāđāļāļĩāđāļŠāļēāļāļēāļĢāļāļ°āļĒāđāļāļĄāļāļ°āļŠāđāļāļāļĨāđāļŠāļĩāļĒāđāļŦāđāļāļąāļāļāļāļāđāļāļĢāļāļĒāđāļēāļāđāļāđāļāļāļ
āļāļēāļĢāļāļģāļŦāļāļāđāļŦāđāļāđāļāļĄāļđāļĨāļĄāļĩāļĢāļ°āļāļąāļāļāļ§āļēāļĄāļŠāļģāļāļąāļāļŠāļđāļāļŦāļĢāļ·āļāļāđāļģāđāļĄāđāđāļāđāļēāļāļąāļāļāļąāđāļ āđāļĢāļĩāļĒāļāļ§āđāļē âData Classificationâ āļāļķāđāļāļāđāļāļāļāļīāļāļēāļĢāļāļēāļāļēāļ āļāļāđāļāļāļāđ āļāļāļŦāļĄāļēāļĒ āđāļĨāļ° āļāđāļĒāļāļēāļĒāļāļāļāļāļāļāđāļāļĢāļĢāđāļ§āļĄāļāļąāļāđāļāđāļēāļāļāļāļāđāļāļĄāļđāļĨ (Owner) āđāļāļ·āđāļāđāļŦāđāđāļāđāļĢāļ°āļāļąāļāļāļ§āļēāļĄāļŠāļģāļāļąāļāļāļāļāļāđāļāļĄāļđāļĨāļāļĩāđāļāļđāļāļāđāļāļāļāļĩāđāļŠāļļāļ āđāļĨāļ°āđāļāđāđāļāļ·āđāļāļāļīāļāļēāļāļēāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄāļāļēāļĄāļĢāļ°āļāļąāļāļāļ§āļēāļĄāļŠāļģāļāļąāļāļāđāļāđāļ āļāļĨāļāļāļāļāļāđāļāļāđāļāđāļēāđāļāļāļķāļāļŦāļĨāļąāļāļāļēāļĢāļāļīāļāļēāļĢāļāļēāļĢāļ°āļāļąāļāļāļ§āļēāļĄāļŠāļģāļāļąāļāļāļāļāļāđāļāļĄāļđāļĨāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļēāļĢāļāļ§āļāļāļļāļĄāđāļĨāļ°āļāđāļāļāļāļąāļāļāđāļāļĄāļđāļĨ āļāļąāđāļāđāļāļāļāļ°āļāļĩāđāļāđāļāļĄāļđāļĨāļāļđāļāļāļąāļāđāļāđāļ (Data at Rest) āđāļĨāļ° āļāļāļ°āļāļĩāđāļāđāļāļĄāļđāļĨāļĄāļĩāļāļēāļĢāđāļāļĨāļ·āđāļāļāđāļŦāļ§āđāļāļĒāļąāļāļĢāļ°āļāļāļāļ·āđāļāđ (Data in Transit)

āļĢāļđāļāļāļĩāđ 2 āđāļŠāļāļāđāļāļāļāļąāļāļāļēāļĢāļāļģāļŦāļāļāļĢāļ°āļāļąāļāļāļ§āļēāļĄāļŠāļģāļāļąāļāļāļāļāļāđāļāļĄāļđāļĨ
7. āļāļāļāđāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāļĒāļāļģāļāļķāļāļāļķāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ
āļŦāļĨāļēāļĒāļāļāđāļāđāļēāđāļāļāļīāļāļāļīāļāļ§āđāļēāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļ āļāđāļāļāđāļāđāļāđāļāļāļĩāđāļāļēāļĢāđāļāļĩāļĒāļāđāļāđāļāđāļŦāđāļāļĨāļāļāļ āļąāļĒ āļāļķāđāļāļāļĢāļīāļāđ āđāļĨāđāļ§āļāļēāļĢāđāļāļĩāļĒāļāđāļāđāļāđāļŦāđāļāļĨāļāļāļ āļąāļĒāļāļąāđāļ āđāļāđāļāđāļāļĩāļĒāļāļāļąāļāļāļąāļĒāļŦāļāļķāđāļāđāļāđāļēāļāļąāđāļāļāļĩāđāļāļ°āļāļģāđāļŦāđāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđ āļāļĩāđāļāļđāļāļāđāļāļāļāļ·āļ āļāļ§āļĢāļāļīāļāļēāļāļēāđāļĢāļ·āđāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļāđāļāđāļāđāļāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ āļŦāļēāļāđāļĢāļēāđāļāđāļāđāļāļĩāļĒāļāļāļēāļĢāđāļāļĩāļĒāļāđāļāđāļāđāļŦāđāļāļĨāļāļāļ āļąāļĒāļāļąāđāļāļāļ°āļāļģāđāļŦāđāļĢāļ°āļāļāļāļāļāđāļĢāļēāļŠāļēāļĄāļēāļĢāļāļāđāļāļāļāļąāļāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāđāđāļāļĩāļĒāļāļāļēāļāļāļĢāļ°āđāļ āļ āđāļāđāļēāļāļąāđāļ āđāļāđāļ SQL Injection āđāļĨāļ° Cross-site scripting (XSS) āļāļąāļāļāļĒāļđāđāđāļāļāļĢāļ°āđāļ āļ Technical Logic āđāļāđāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāļāļĢāļ°āđāļ āļāļāļ·āđāļāđ āđāļāđāļ āļāđāļāļāđāļŦāļ§āđāļāđāļēāļ Business Logic āļāļ°āđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāđāļāļāļāļąāļāđāļāđ āļāļąāļāļāļąāđāļāļāļģāđāļāđāļāļāļĩāđāļāļ°āļāđāļāļāļĄāļĩāļāļēāļĢāļāļģ Threat Modeling āđāļĨāļ° Abuse case modeling āļāđāļāļāļāļēāļĢāļāļāļāđāļāļāđāļĨāļ°āļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŠāļĄāļ āđāļāļ·āđāļāļāļģāđāļŦāđāđāļĢāļēāļŠāļēāļĄāļēāļĢāļāļāļīāļāļēāļāļēāđāļāđāļ§āđāļēāļĄāļĩāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļąāđāļāļāļēāļāļāđāļēāļ Business Logic āđāļĨāļ° Technical Logic āļāļĢāļ°āđāļ āļāđāļāļāđāļēāļ āļāļĩāđāļāļ°āđāļāđāļēāļĄāļēāļāļļāļāļāļēāļĄāļĢāļ°āļāļāļāļāļāđāļĢāļēāđāļāđ
āļāļēāļĢāļāļģ Threat Modeling āđāļāđāļāļāļĢāļ°āļāļ§āļāļāļĩāđāđāļāđāđāļāļāļēāļĢāļāļīāļāļēāļĢāļāļēāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļĩāđāļĄāļĩāđāļāļāļēāļŠāļāļ°āļāļļāļāļāļēāļĄāļĢāļ°āļāļāļāļāļāđāļĢāļēāđāļāđ āđāļāļĒāđāļĢāļīāđāļĄāļāđāļāļāļēāļāļāļēāļĢāļāļģāļŦāļāļāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ āđāļĨāļ° āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļķāļāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāļāđāļēāļāļāļąāđāļāļāļēāļāļāđāļēāļ Logical āđāļĨāļ° Physical āļĢāļ§āļĄāļāļąāđāļāļāđāļēāļ Business Logic āđāļĨāļ° Technical Logic āļāļģāđāļŦāđāđāļĢāļēāđāļŦāđāļāļ āļēāļāļĢāļ§āļĄāļāļāļāļ āļąāļĒāļāļĩāđāļāļģāđāļŦāđāđāļĢāļēāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļĢāļĢāļĨāļļāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđāļāļģāļŦāļāļāđāļ§āđāđāļāđ āđāļāļāļēāļĢāļāļģ Threat modeling āļāļąāđāļ āļāļģāđāļāđāļāļāđāļāļāđāļāđāđāļāļāļāļąāļāļāđāļēāļāđ āđāļāđāļēāļĄāļēāļāđāļ§āļĒāđāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ āđāļāđāļ Data flow diagram, End-to-end deployment scenario, āđāļŠāđāļāļāļēāļāđāļāđāļēāļāļāļāļāļāļāļĢāļ°āļāļ , āđāļāļĢāđāļāļāļāļĨāļāļĩāđāđāļāđāđāļāļāļēāļĢāļāļīāļāļāđāļāļŠāļ·āđāļāļŠāļēāļĢ , Component āđāļĨāļ° Service āļāđāļēāļāđāļāļĩāđāđāļāđāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļ
āļāļāļāļāļēāļāļāļąāđāļāđāļĨāđāļ§āļāļ°āļāđāļāļāļĄāļĩāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ Attack Surface āļāļķāđāļāđāļāđāļāļŠāđāļ§āļāļŦāļāļķāđāļāļāļāļāļāļēāļĢāļāļģ Threat Modeling āđāļāļ·āđāļāļāļīāļāļēāļāļēāļāļēāļāđāļāđāļēāļāļĩāđāļĄāļĩāļāļąāđāļāļŦāļĄāļāļāļāļāļĢāļ°āļāļāđāļĨāļ°āļāļģāļŦāļāļāļĄāļēāļāļāļēāļĢāļāļ§āļāļāļļāļĄāđāļĨāļ°āļāđāļāļāļāļąāļāļāļēāļĢāđāļāđāļēāļāļķāļāļŠāļģāļŦāļĢāļąāļāļāļđāđāđāļāđāļāļēāļāļĢāļ°āļāļąāļāļāđāļēāļāđ āļŦāļĢāļ·āļ āļŦāļēāļāđāļāđāļāđāļāđāļāđ āļāđāļāļ§āļĢāļāļĩāđāļāļ°āļĨāļāļāļģāļāļ§āļāļāļēāļāđāļāđāļēāļĢāļ°āļāļāđāļŦāđāļāđāļāļĒāļāļĩāđāļŠāļļāļāļāđāļāļ°āđāļāđāļāļāļēāļĢāļĨāļ Attack Surface āđāļāđāļāļĩāļāļ§āļīāļāļĩāļŦāļāļķāđāļ āļāļēāļĢāļāļģ Threat Modeling āļāļąāđāļāđāļāđāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļ°āļāđāļāļāļāļģāļĢāļ°āļŦāļ§āđāļēāļāļāļąāđāļāļāļāļāļāļēāļĢāļāļāļāđāļāļāđāļāļ·āđāļāļŠāđāļāļāđāļāļāđāļāļĄāļđāļĨāļāļĨāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļĨāļ°āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđāļāļģāđāļāđāļāđāļŦāđāļāļąāļāļāļĩāļĄāļāļēāļāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ āļāļģāđāļāļīāļāļāļēāļĢāļāļąāļāļāļēāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļ§āļāļāļļāļĄāđāļŦāđāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāļāđāļāđāļ
8. āļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāļĒāļāļģāļāļķāļāļāļķāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ
āļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļāļāļ°āđāļĄāđāđāļāļīāļāļāļĨāđāļĨāļĒāļāđāļēāļŦāļēāļāđāļĢāļēāđāļĄāđāļāļīāļāđāļĢāļ·āđāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļāđāļāđāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļāļāđāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāļāļąāđāļāļāļāļ “Design Phase” āđāļĢāļĩāļĒāļāļ§āđāļē “Secure by Design” āđāļāđāļāļāļēāļĢāļāļģāđāļāļ§āļāļīāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļāļ§āļāļāļĢāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļąāđāļāđāļāđāļāđāļ§āļāđāļĢāļāđ āļāļēāļĢāđāļāļĩāļĒāļāđāļāļĢāđāļāļĢāļĄāđāļāļāļļāļāļāļĢāļąāđāļāļāđāļāļāļāļģāļāļąāļ§āļāļ§āļāļāļļāļĄāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđāđāļāđāļāļāļāđāļāļāđāļ§āđāđāļāļĢāļ°āļĒāļ°āļāļāļāļāļēāļĢāļāļāļāđāļāļāļĄāļēāđāļāļĩāļĒāļāđāļāđāļāļāļļāļāļāļģāļŠāļąāđāļāļŦāļĢāļ·āļāđāļāļĢāđāļāļĢāļĄāļāļĩāđāļāļąāļ§āđāļāļĨāļ āļēāļĐāļēāđāļāđāļēāđāļāđāļāļāļąāđāļāļāļāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄ (Development Phase) āļāļķāđāļāļŠāļēāļĄāļēāļĢāļāļāļĨāđāļēāļ§āđāļāđāļ§āđāļēāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđāđāļāđāļĄāļēāļāļĢāļāļēāļāļāđāļāļ·āļ āļāļēāļĢāđāļāļĩāļĒāļāđāļāļĢāđāļāļĢāļĄāđāļŦāđāļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļāđāļāđāļāļāļāļŠāļāļāļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļāļāļđāđāđāļāđāđāļĨāļ°āļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļēāļāļāļļāļĢāļāļīāļāļāļāļāļāļāļāđāļāļĢ (Usable) āđāļĨāļ° āļāđāļāļāļĄāļĩāļāļ§āļēāļĄāđāļŠāļāļĩāļĒāļĢ (Reliable) āļĢāļ§āļĄāļāļąāđāļāļĄāļĩāļāļ§āļēāļĄāļĒāļ·āļāļŦāļĒāļļāđāļāļāđāļēāļĒāļāđāļāļāļēāļĢāđāļāļīāđāļĄāđāļāļīāļĄāđāļāđāđāļāđāļāļāļāļēāļāļ (Scalable)
āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđāļāļ·āļāļ§āđāļēāđāļāđāļāļŦāļĨāļąāļāļāļēāļĢāļŠāļģāļāļąāļāļāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļāđ āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļāļĢāđāļāļĢāļĄāđāļāļĒāļāļēāļĢāļāļģāļāļĢāļ°āļāļ§āļāļāļēāļĢ âSecurity Code Reviewâ āđāļĨāļ° āļāļĢāļ°āļāļ§āļāļāļēāļĢ âSecurity Testingâ āļāļēāļĢāļāļāļŠāļāļāđāļāļĨāļąāļāļĐāļāļ°āļāļĩāđ āļāļ§āļĢāļĄāļĩāļāļēāļĢāļŠāļāļāļāļēāļ (review) āļāļāļ°āļāļĩāđāļāļĒāļđāđāđāļāļāļąāđāļāļāļāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāđāļĨāļ°āļāđāļāļāļāļĩāđāļāļ°āļĄāļĩāļāļēāļĢāļāļģāđāļāļĢāđāļāļĢāļĄāđāļāđāļāđāļāļēāļ (Release) āļāļēāļĢāļāļģ Security Code Review āļāļēāļāļāļģāđāļāđāđāļāļĒāļ§āļīāļāļĩāļāļēāļĢāđāļāļ Automated āļŦāļĢāļ·āļ āļ§āļīāļāļĩāļāļēāļĢāđāļāļ Manual āļāđāđāļāđ āļāļĒāđāļēāļāđāļĢāļāđāļāļēāļĄāđāļāļĢāļ·āđāļāļāļĄāļ·āļāđāļāļāļēāļĢāļāļģāļāļĢāļ°āļāļ§āļāļāļēāļĢ Security Code Review āļāđāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāđāļ§āļĒāđāļāļāļēāļĢ review āđāļāđāļāļąāđāļāļŦāļĄāļ 100 % āđāļāļ·āđāļāļāļāļēāļāļāļēāļĢāđāļāđāđāļāļĢāļ·āđāļāļāļĄāļ·āļāļāļąāļāļāļĨāđāļēāļ§āļāļēāļāļāļģāđāļŦāđāđāļāļīāļāļāļĨāļāļĩāđāđāļāđāļ False positive āļŦāļĢāļ·āļ False negative āđāļāđ āļāļķāđāļāļāļēāļāļāļ°āļāļģāđāļŦāđāļāļāļāđāļāļāđāļŦāļ§āđāļĄāļēāļāļŦāļĢāļ·āļāļāđāļāļĒāļāļ§āđāļēāļāļ§āļēāļĄāđāļāđāļāļāļĢāļīāļ āđāļāđāļāļĒāđāļēāļāđāļĢāļāđāļāļēāļĄāđāļāļĢāļ·āđāļāļāļĄāļ·āļāļŠāļāļāļāļēāļ Source Code āļāđāļŠāļēāļĄāļēāļĢāļāļāļģāđāļŦāđāđāļĢāļēāļĢāļđāđāđāļāđāļ§āđāļēāļŠāđāļ§āļāđāļŦāļāļāļāļāđāļāļĢāđāļāļĢāļĄāļĄāļĩāļāđāļāļāļāļāļĢāđāļāļāļāļĩāđāļāļ§āļĢāđāļāđāļĢāļąāļāļāļēāļĢāđāļāđāđāļ āļŦāļēāļāđāļĢāļēāļāļĒāļēāļĒāļēāļĄāļĨāļāļāļąāļāļĢāļēāļāļēāļĢāđāļāļīāļ False positive āļŦāļĢāļ·āļ False negative āđāļāđāļĄāļēāļāļāļķāđāļāļāđāļāļēāļāļāļ°āļāļģāđāļŦāđāđāļāļĢāļ·āđāļāļāļĄāļ·āļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļĢāļ§āļāļŦāļēāļāđāļāļāđāļŦāļ§āđāđāļāđāđāļĄāđāļāļĢāļāļāđāļ§āļ āļāļąāļāļāļąāđāļāđāļāļĢāļ·āđāļāļāļĄāļ·āļāļāļķāļāđāļĄāđāļāļēāļāļŠāļēāļĄāļēāļĢāļāļāļģāđāļāļāļĄāļāļļāļĐāļĒāđāļāļķāđāļāđāļāļĢāļĩāļĒāļāđāļŠāļĄāļ·āļāļāđāļāđāļāđāļāļĢāļ·āđāļāļāļĄāļ·āļāļāļĩāđāļāļĩāļāļĩāđāļŠāļļāļāđāļāđ āđāļĨāļ° āļāļĩāđāļŠāļģāļāļąāļāļāļĩāđāļŠāļļāļāļāļēāļĢāļāļģāļŦāļāļ āļāļāļāđāļāļ āđāļāļ·āđāļāļŦāļē Coding Standard āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļēāļĢāđāļāļĩāļĒāļ Code āđāļŦāđāļāļĨāļāļāļ āļąāļĒ āļāļąāđāļāļāļāļāđāļāļāļēāļĢ Review Code āļāđāļ§āļĒāļāļēāļĢāđāļāđāļāđāļĒāļāļŦāļāđāļēāļāļĩāđāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄ (Separation of Duties) āļāđāļāļāļĄāļĩāļāļēāļĢāļāļģāļĄāļēāļāļąāļāļāļąāļāđāļāđāđāļāļ·āđāļāđāļŦāđāļāļēāļĢāļāļģ Security Code Review āđāļāđāļāđāļāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ
āļāļēāļĢāļāļāļŠāļāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ (Security Testing) āļāđāđāļāđāļāļŠāļīāđāļāļŠāļģāļāļąāļāļāļāļāđāļŦāļāļ·āļāđāļāļāļēāļāļāļēāļĢāļāļāļŠāļāļāļāđāļēāļ Functionality āļāļĩāđāļĄāļĩāļāļēāļĢāļāļāļŠāļāļāļāļąāļāđāļāļĒāļāļāļāļīāļāļĒāļđāđāđāļĨāđāļ§ āļāļĒāđāļēāļāļāđāļāļĒāļāļĩāđāļŠāļļāļāļāļ§āļĢāļĄāļĩāļāļēāļĢāļāļāļŠāļāļāļāđāļāļāđāļŦāļ§āđ (Vulnerability) āļāļĩāđāļāļ·āļāļ§āđāļēāđāļāđāļāļāđāļāļāđāļŦāļ§āđāļāļąāđāļāļāļ·āđāļāļāļēāļāļāļĩāđāđāļāđāļāļāđāļāļāđāļŦāļ§āđāļāļĩāđāļāļāļāļąāļāļĄāļēāļāļāļĩāđāļŠāļļāļāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ āđāļāđāļ Buffer Overflow āđāļĨāļ° SQL Injection āļŦāļĢāļ·āļāļāļēāļāļāļ°āđāļāđāđāļāļāļāļīāļāđāļŦāļĄāđāļāļĩāđāđāļĢāļĩāļĒāļāļ§āđāļē “Fuzzing” āđāļāļ·āđāļāļāļāļŠāļāļāļāļēāļĢāļŠāļļāđāļĄāļāđāļē input āļāļĩāđāđāļāļĨāļāļāļĨāļāļĄāđāļāļŦāļĨāļēāļāļŦāļĨāļēāļĒāļĢāļđāļāđāļāļāļāļĩāđāļāļēāļāļāļ°āļāļģāđāļŦāđāļĢāļ°āļāļāļāļģāļāļēāļāļāļīāļāļāļĨāļēāļāđāļāđ āļāļēāļĢāļāļāļŠāļāļāļāļ§āļĢāļĄāļĩāļāļēāļĢāļāļāļŠāļāļāđāļāļĢāļ°āļāļāļāļĩāđāļĄāļĩāđāļ§āđāđāļāļ·āđāļāļāļēāļĢāļāļāļŠāļāļāđāļāļĒāđāļāļāļēāļ° āļāļāļāļāļēāļāļāļąāđāļāđāļĨāđāļ§āļāļ§āļĢāļĄāļĩāļāļēāļĢāļāļāļŠāļāļāļāđāļēāļāļāļ§āļēāļĄāđāļŠāļāļĩāļĒāļĢāđāļĨāļ°āļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļāļĒāļĢāļ§āļĄāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ (Stress and Performance Test) āļāļķāđāļāļŦāļĄāļēāļĒāļāļķāļāļāļ§āļēāļĄāļāļĢāđāļāļĄāđāļāđāļāļēāļāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ (Availability) āļāđāļ§āļĒ
9. āļāļģāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļāđāļāļēāļāđāļāļĒāļāļģāļāļķāļāļāļķāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ
āļāļąāļāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļŦāļĨāļēāļĒāļāļāļĒāļāļĄāļĢāļąāļāļ§āđāļē āđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĩāđāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļĨāļ°āļāļāļŠāļāļāļĄāļēāļāļĒāđāļēāļāļāļĩ āļāļĨāļąāļāļĄāļĩāļāļąāļāļŦāļēāđāļĄāļ·āđāļāļāļģāđāļāđāļāđāļāļēāļāļāļĢāļīāļ āļāļĢāļīāļāđ āđāļāļĒāļāļąāļāļŦāļēāļāļĩāđāđāļāļīāļāļāļķāđāļāļāļēāļāļĢāļ°āļāļāļāļĩāđāļāļģāļāļēāļĢāļāļāļŠāļāļ (develop and test environment) āđāļāļĢāļĩāļĒāļāđāļāļĩāļĒāļāļāļąāļāļĢāļ°āļāļāļāļēāļāļāļĢāļīāļ (production environment) āļāļąāđāļāđāļĄāđāđāļŦāļĄāļ·āļāļāļāļąāļ 100% āđāļŦāļāļļāđāļāļĢāļēāļ°āļāļēāļāđāļĢāļ·āđāļāļ Configuration Management āđāļĨāļ° Change Management (ITIL concept) āļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļāļĩāđāđāļāļīāļāļāļķāđāļāļāļąāļāļĢāļ°āļāļāļāļēāļāļāļĢāļīāļāļāđāļāļ§āļĢāļĄāļĩāļāļēāļĢāļāļģāđāļāļāļĢāļąāļāļāļĢāļļāļāđāļāļĢāļ°āļāļāļāļēāļāļāļāļŠāļāļāļāđāļ§āļĒ āđāļāļĒāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļ§āļĢāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļāļķāđāļāļĄāļēāļāļāļ§āļāđāļāđāļēāļāļąāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāđāļ§āļĒ
āļāļāļāļāļēāļāļāļąāđāļ āļĒāļąāļāļĄāļĩāļŠāļēāđāļŦāļāļļāļĄāļēāļāļēāļ Release management āļāļķāđāļāļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒāļāļēāļĢāļāļ§āļāļāļļāļĄ Source Code āđāļĨāļ°āđāļ§āļāļĢāđāļāļąāđāļāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ āļāļķāđāļāļŠāļēāđāļŦāļāļļāļāļąāļāļāļĨāđāļēāļ§āļāļĩāđāļĄāļąāļāļāļ°āļāđāļāđāļŦāđāđāļāļīāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļĩāđāđāļĢāļĩāļĒāļāļ§āđāļē regenerative bugs āļāļķāđāļāļŦāļĄāļēāļĒāļāļķāļāļĄāļĩ bug āđāļāļīāļāđāļāļīāđāļĄāļāļķāđāļāđāļĢāļ·āđāļāļĒāđ āđāļāļĒāđāļĄāđāļĢāļđāđāļ§āđāļē bug āļāļąāđāļāļĄāļēāļāļēāļāđāļŦāļ āļāļķāđāļāļāļĢāļīāļāđāđāļĨāđāļ§āļāđāđāļāļīāļāļĄāļēāļāļēāļāļāļēāļĢāļāļĩāđāđāļĄāđāļĄāļĩāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ Release āļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄāļāļąāđāļāđāļāļ regenerative bug āđāļāļīāļāļāļķāđāļāđāļāļ·āđāļāļāļāļēāļ bug āļāļĩāđāļāļĢāļ§āļāļāļāđāļāļĢāļ°āļŦāļ§āđāļēāļāļāļēāļĢāļāļāļŠāļāļāđāļāļĒāļāļđāđāđāļāđāļāļēāļāđāļāļāđāļ§āļ User Acceptance Test (UAT) āļāļđāļāđāļāđāđāļāđāļāļĢāļ°āļāļāļāļāļŠāļāļ (test environment) āđāļĨāļ°āļāļģāļāļķāđāļāđāļāđāļāđāļāļēāļāļāļĢāļīāļāđāļĨāļĒ āđāļāđāđāļ§āļāļĢāđāļāļąāđāļāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļĨāđāļēāļŠāļļāļāļāļĩāđāļāļĒāļđāđāđāļāļĢāļ°āļāļāđāļāļ·āđāļāļāļēāļĢāļāļąāļāļāļē (development environment) āļĒāļąāļāđāļĄāđāđāļāđāļĢāļąāļāļāļēāļĢāđāļāđāđāļāļāļēāļĄāļĢāļ°āļāļāļāļāļŠāļāļ
āļāļēāļĢāļāļ°āļāļģāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļāđāļāļēāļāđāļāđāļāļĒāđāļēāļāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļ āļāļģāđāļāđāļāļāļĩāđāļāđāļāļāļĄāļĩāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāđāļāļāđāļŦāļ§āđ (Vulnerability Assessment) āđāļĨāļ°āļāļēāļĢāļāļāļŠāļāļāđāļāļēāļ°āļĢāļ°āļāļ (Penetration Testing) āļāđāļāļāļāļĩāđāļāļ°āļāļģāđāļāđāļāđāļāļēāļāļāļĢāļīāļāļāļąāđāļ Pre-Production āđāļĨāļ° Real Production (with tight control) āđāļāļĢāļēāļ°āļāļ°āļāļģāđāļŦāđāļāļĩāļĄāļāļąāļāļāļēāļĢāļđāđāļ§āđāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļĄāļĩāļāđāļāļāđāļŦāļ§āđāļŦāļĨāļāđāļŦāļĨāļ·āļāļāļĩāđāļāļļāļāđāļāļāđāļēāļāđāļāļ·āđāļāļāļĩāđāļāļ°āđāļāđāđāļāđāļāļāđāļāļĄāļđāļĨāđāļāļāļāļīāļāđāļāļīāļāļĨāļķāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāļ·āđāļāļāļīāļāļāđāļāļāđāļŦāļ§āđāļāđāļāļāļāļģāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļāđāļāļēāļāļāļĢāļīāļ
āļāļēāļĢāļāļģāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļāđāļāļēāļāļāļĒāđāļēāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļāļāļģāđāļŦāđāđāļĢāļēāļĄāļąāđāļāđāļāđāļāđāļ§āđāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļŠāļēāļĄāļēāļĢāļāļāļģāļāļēāļāđāļāđāļāļĢāļīāļ (functionality) āđāļĨāļ° āļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ (secure) āđāļāļāļāļ°āđāļāļĩāļĒāļ§āļāļąāļāļāđāđāļĢāļēāļĒāļąāļāļŠāļēāļĄāļēāļĢāļāļĄāļąāđāļāđāļāđāļāđāļāļĩāļāļ§āđāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļđāļāļāļģāđāļāđāļāđāļāļēāļāđāļāļĒāļĄāļĩāļāļēāļĢāļāđāļāļāļāļąāļāđāļāļāļŦāļĨāļēāļĒāļāļąāđāļ (defense-in-depth) āđāļĨāļ° āļāļīāļāļāđāļāļāļāļēāļāļāļĩāđāļāļēāļāļāļ°āļāļđāļāđāļāļĄāļāļĩāđāļāļĒāļāļđāđāļāļļāļāļĢāļļāļāđāļĄāđāđāļŦāđāđāļāđāļēāļĄāļēāđāļāļĄāļāļĩāđāļāļĒāļāđāļēāļĒ (minimize attack surface)
Â
10. āļŦāļĄāļąāđāļāļĻāļķāļāļĐāļēāļŦāļēāļāļ§āļēāļĄāļĢāļđāđāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĒāđāļēāļāļāļĨāļāļāļ āļąāļĒ
āļāđāļāļāļĒāļāļĄāļĢāļąāļāļ§āđāļēāđāļāđāļĨāļāļāļąāļāļāļļāļāļąāļ āđāļĄāļ·āđāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļđāļāļāļģāļĄāļēāđāļāđāļāļēāļāđāļāļāļĩāļ§āļīāļāļāļĢāļ°āļāļģāļ§āļąāļāļāđāļĒāđāļāļĄāļāļ°āļāđāļāļāļĄāļĩāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļĒāļđāđāđāļŠāļĄāļ āļŦāļāļķāđāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāļāļąāđāļāļāđāļāļ·āļ āļāļēāļĢāļāļāļ “patch” āļāļēāļāļāļđāđāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļķāđāļāđāļāđāļāļŠāđāļ§āļāđāļĨāđāļāđāļāļāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĩāđāđāļŦāđāļāļđāđāđāļāđāļāļģāđāļāļāļĢāļąāļāļāļĢāļļāļāđāļāļĢāđāļāļĢāļĄāļāļāļāļāļāļāļąāđāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļĨāļ°āļāđāļēāļāļāļēāļĢāļāļģāļāļēāļāļāļāļāđāļāļĢāđāļāļĢāļĄ āđāļāļ·āđāļāļāļāļēāļāļāđāļāļāđāļŦāļ§āđāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāđāļāļĄāļāļĩāđāļŦāļĄāđāđāđāļāļīāļāļāļķāđāļāļāļļāļāļ§āļąāļ āļāļĒāđāļēāļāđāļĢāļāđāļāļēāļĄāļŦāļēāļāļĄāļĩāļāļēāļĢāļāļāļ patch āđāļāļ·āđāļāđāļŦāđāļāļđāđāđāļāđāļāļēāļāļāļīāļāļāļąāđāļ āđāļāđāļāļđāđāđāļāđāļāļēāļāđāļĄāđāļĢāļđāđāđāļĨāļ°āđāļĄāđāļāļģāļāļķāļāļāļķāļāļāļĢāļ°āđāļĒāļāļāđāļāļĩāđāđāļāđāļāļēāļāļāļēāļĢāļāļīāļāļāļąāđāļ patch āļāđāļāļ°āļāļģāđāļŦāđ patch āļāļąāđāļāđ āđāļĄāđāļĄāļĩāļāļ§āļēāļĄāļŦāļĄāļēāļĒāđāļāđāđāļĨāļĒ āđāļāļāļĩāđāļŠāļļāļāļāđāļāļ°āļŠāđāļāļāļĨāļāļģāđāļŦāđāļĢāļ°āļāļāđāļāļīāļāļāđāļāļāđāļŦāļ§āđāđāļāļīāđāļĄāļāļķāđāļāļĄāļēāļāļĄāļēāļĒ āļāļąāļāļāļąāđāļāđāļāļ·āđāļāđāļŦāđāļāļąāđāļāļāļĩāļĄāļāļđāđāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĨāļāļāļāļāļāļđāđāđāļāđāļāļēāļāļŠāļēāļĄāļēāļĢāļāļāļĩāđāļāļ°āļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļĨāļ°āđāļāđāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļāļĒāđāļēāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļ āļāļģāđāļāđāļāļāđāļāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļāļ§āļēāļĄāļĢāļđāđāļāļĨāļāļāđāļ§āļĨāļēāđāļĨāļ°āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļāļēāļĢāļĻāļķāļāļĐāļēāđāļŦāđāđāļāđāļāļ§āļąāļāļāļāļĢāļĢāļĄāļāļāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāđāļŦāđāļāļļāļāļāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāđāļāļāļēāļĢāļāļąāļāļāļēāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļēāđāļāļāļķāļāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļĩāđāļāļēāļāļāļ°āđāļāļīāļāļāļķāđāļāļāļąāļāļĢāļ°āļāļāļŦāļĢāļ·āļāļāļąāđāļāļāļēāļāļŦāļĄāļēāļĒāļāļ§āļēāļĄāļ§āđāļē āđāļĄāļ·āđāļāļĢāļ°āļāļāļāļđāļāļāļļāļāļĢāļļāļāļŦāļĢāļ·āļāļāļđāļāđāļāļĄāļāļĩāđāļĨāđāļ§āļāļąāđāļāļāļēāļāļāļģāđāļŦāđāđāļāļīāļāļāļĨāļāļĢāļ°āļāļāļāļąāļāļāļļāļĢāļāļīāļāđāļĨāļ°āļŠāļļāļāļāđāļēāļĒāļāđāļāļ°āļŠāđāļāļāļĨāļāļĢāļ°āļāļāļāļąāļāļāļļāļāļāļāļ āļēāļĒāđāļāļāļāļāđāļāļĢāđāļāđ āļāļēāļāđāļāđāļāļąāļāļŦāļēāļāļĩāđāļāļĩāļāļĩāđāļŠāļļāļ āļāļ·āļ āļāļēāļĢāļāļąāļāļāļāļĢāļĄ Information Security Awareness Training āđāļŦāđāđāļāđāļāļļāļāļāļāđāļāļāļāļāđāļāļĢāđāļāđāļāļāļĢāļ°āļāļģāđāļāļāļļāļāļāļĩ āđāļāļĒāđāļāļāļēāļ°āļāļđāđāđāļāđāđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ āļāļąāļāļāļąāđāļāļāļļāļāļāļāđāļāļāļāļāđāļāļĢāļāļģāđāļāđāļāļāđāļāļāļĻāļķāļāļĐāļēāļŦāļēāļāļ§āļēāļĄāļĢāļđāđāđāļĨāļ°āđāļāđāļāļāļąāļāļāļ§āļēāļĄāļĢāļđāđāđāļŦāđāđāļāđāļāļđāđāļāļ·āđāļāđāļĨāļ°āļŠāļļāļāļāđāļēāļĒāļāđāļāļ°āđāļāļīāļāđāļāđāļāļ§āļąāļāļāļāļĢāļĢāļĄāđāļĨāļ°āļŠāļąāļāļāļĄāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļāļāļāđāļāļĢāļāļķāđāļāđāļāļāļĩāđāļŠāļļāļ