1 Uppgift Implementera HProgSäk i Safety 1st Tillämpa HProgSäk i ”Pilotprojekt”
2 Syfte Påverkan på systemsäkerhetsarbetet? Problem/svårigheter? Lämplighet i AT:s verksamhet? Utvärdering metodik
3 Införda kompletteringar Aktivitet i Safety 1stKommentar Anbud: Innefattar åtagandet analys av programvara? PHA:Egenskapen ”säker programvara” H ProgSäk – Applikations- oberoende Programvaras kritikalitet
4 Införda kompletteringar forts. Aktivitet i Safety 1stKommentar Id/nedbr säkkravSystemsäkerhetskrav map. programvara PSSATillkommande analysmetoder Sannolikhet, COTS, etc. Checklista vid analys SSAVerifiering av programvara Anv/UHMetoder för underhåll
5 H ProgSäk kap. OmrådeKravHMLUppfylltVerifiering om uppfyllt Motiv om ej uppfyllt Åtgärder om ej uppfyllt 4.1Personal- kvalifikationer 1. Personalen skall bestå av program- varuutvecklare med god känne- dom om etablerad utvecklingsteknik (metoder, verktyg, programmerings- språk), tillämpliga standarder och systemets applikations- område. Detta gäller särskilt system- och programvaru- arkitekter samt konstruktörer. xxx 3. Minst två personer skall för varje kritisk programvaru- komponent ha grundlig kännedom om dess konstruktion, implementation, test och operation. x Produkt Nyutvecklad produkt 1. System- säkerhetsanalys skall ha utförts på de språk, som planeras för kritiska delar. xxx
6 H ProgSäk kap. OmrådeGransknings- underlag ChecklistaKommentarer Ändringar av färdigt system Ändringsspecifikation samt dokumentation över kritiska program- varudelar, tester samt säkerhetsanalyser. Är specificerade ändringar precisa, otvetydiga, motsägelsefria och fullständiga? Har specificerade ändringar förutsatts eller förberetts i tidigare specificeringar och konstruktions- lösningar? Är specificerade ändringar grundade på interaktion / kommunikation mellan ändringsställare, godkännande ändringsråd och möjliga implementa- törer? 3.4.4Teknisk specifikation Vilka krav går ej att verifiera? Vilka kan förenklas eller elimineras? Säkerhetsanalyser: Vilka system- säkerhetsanalyser har utförts? Vilka vådahändelser har identifierats och vilka riskkällor ligger bakom dessa?
7 Pilotfall tillämpning H ProgSäk ”System X” Kravanalys och –verifiering Kritikalitet Medelhög
8 OmrådeAntal krav (medelrisk) Tillämpliga System X Uppfyllda System X* Möjliga att uppfylla** Personalkvalifikationer9807 Styrprocesser20196 Produktionsprocess Produktionsmiljö Produkt Dokumentationslista21180 Summa * Delvis uppfyllda krav är i tabellen behandlade som ej uppfyllda. ** Krav som eventuellt går att uppfylla är i tabellen behandlade som icke möjliga att uppfylla.
9 Erfarenheter Urval av krav Svårt att verifiera krav Ökad kunskap, närmare samarbete med systemutvecklare