hpgmvsak

Ur H PgmvSäk (Förstudieutgåva)

H PgmvSäk behandlar aspekter på:

säkerhetskritisk programvara och firmware från anskaffning till avveckling
snittet mot övriga systemdelar

Specificerade krav gäller, där inget annat utsäges, endast de säkerhetskritiska och säkerhetsrelaterade delarna i programvaran, såväl den av ändringsbar typ, som den, vilken är fast inkapslad i maskinvaran (firmware).

Detta innebär att innan programvaruanskaffning/-utveckling får påbörjas måste en säkerhetsanalys göras. För varje system, som visar sig innehålla säkerhetskritisk programvara, skall anges, om hela eller delar av handboken skall tillämpas i projektet.

H PgmvSäk baseras på:

Programvaruteknik - ett ramverk för krav m.a.p.
- Personalkompetens
- Process
- Produkt
Tillförlitlighetsstrategier
- undvika felkällor (felfri konstruktion)
- detektera och eliminera dessa (Verifiering & Validering)
- ge korrekt funktionalitet trots resterande felkällor (feltolerans)
Säkerhetsmetodik
- utföra säkerhetsanalys (HAZOP, FTA)
- fokusera hot mot person/egendom/miljö
- identifiera säkerhetskrav & säkerhetskritiska delar
- välja konstruktionslösningar som reducerar kritikalitet (diversitet, skyddsmekaninsm)

Kritikalitet:

Vad är kritikalitet?

Ett mått på den verkan ett fel i systemet har på den totala systemsäkerheten

Varför klassa programvarans kritikalitet?

Finna vilka av programvarans krav, delar, verktyg och procedurer, som inverkar på systemets säkerhet och i vilken grad.
Avgöra var det är mest lönsamt, att ändra programvarans konstruktion för att få ned dess kritikalitet.
Utvärdera alternativa programvarulösningar m.a.p. lägsta kritikalitet

Reducera riskerna:

Riskreducerande konstruktion: (I prioritetsordning)

1. Eliminera
- Tillstånd som kan leda till olycka
- Riskkällans negativa konsekvenser, genom att använda annan teknik (ej nödvändigtvis programvarubaserad) utan dessa tillstånd/konsekvenser
2. Reducera
- Införa ytterligare villkor för händelsens inträffande (tillför &-grindar i FTAn > enkelfel undviks)
- Ersätta alternativa orsaker med samtidiga (eller-grind > &-grind)
- Minska exponeringstid eller felfrekvens
- Inför fler steg/moder före farligt tillstånd
- Inför säkerhets-/skydds-/övervakningsmekanismer
3. Isolera / göra oberoende
- Minska interaktion mellan delar av högre kritikalitet och de av presumtivt lägre
- Införa logiska/fysiska brandväggar
- Lagra /bearbeta högsta kritikalitet på annan dator
- Separera säkerhetsövervakande och driftstyrande delar

Säkerhetsinriktade konstruktionskriteria:

Riskreduktion (i prioritetsordning: eliminera, reducera, isolera)
Säker resurshantering (minnes & tidfördelning)
Felhantering (överföring från felaktigt till säkert tillstånd)
Feltolerans (korrekt funktionalitet trots fel: olika typer av redundans)
Språkval (predikterbar, analyserbar, spårbar, robust) Undvik lågnivåspråk
Språkkonstruktion (säkra subset, inte en massa GoTo)
Dokumentation (för säker utveckling, drift, underhåll, användning)

Grundläggande konstruktionskriteria:

Konstruktionsprinciper inriktade mot säkerhet (Arkitekturen fastlagd & godkänd före konstruktionsstart)
Konstruktionslösningar valda m.a.p. DET (Determinism, Enkelhet, Testbarhet)
Konstruktionsbeslut dokumenterade (Förutsättningar, motiveringar & belägg för säker konstruktion. ( "Safety case"))
Kodningsföreskrifter m.a.p. säkra språkkonstruktioner (Tillåtna/otillåtna konstruktioner)

Engelska begrepp:

Accident (Mishap)	Icke önskad händelse som leder till skada
Assurance	Säkerhetsteknisk granskning
Availability	Tillgänglighet, uttrycks ofta i 1-MTTR/MTTF
Catastrophic	Katastrofal
Certification	Certifiering (av en produkt)
Dependability	Pålitlighet, tillgänglighet
Error	Feltillstånd, konstruktionsfel i en komponent
Fail Safe	Felsäker. Felåterhämtning, där systemet bringas till säkert tillstånd innan det stängs ned.
Fault	Felkälla, felorsak, betingelser (t.ex. på grund av misstag från operatör)
Failur	Felbeteende eller felyttring hos en komponent, som en följd av konstruktionsfel
Firmware	Maskinvara med programvara i form av ej ändringsbara instruktioner och data (eng. synonym: read-only software)
Guard	Skydd
Hazard	Fara/hot
Hazardous	Riskfylld
Incident	Hade kunnat leda till Icke önskad händelse
Interlock	Ömsesidig låsning, spärr
Maintainability	Underhållbarhet
Prototyping	Simulering (animering) på kravspec nivå
Reliability	Tillförlitlighet (Funktionssäker)
Risk	Sannolikhet för och effekt (konsekvens) av
Risk Management (Risk Reduction)	Reducera riskerna
Robust	Egenskap, att kunna utföra föreskriven funktionalitet eller kunna upprätthålla sin operationella förmåga även vid onormala villkor eller händelser
Safety Integrity	Ett mått på hur säkra våra skydd är
Safety Plan	(System) säkerhetsplan (inom projektet)
Safety Review	(System) säkerhetsöversyn
Secure	IT-säkerhet (skydd mot intrång), otillbörlig insyn, förlust och påverkan
Simulering	Simulering av gränssnitt, program mm
Software Safety	Programvarusäkerhet,
System Certification	Ackreditering (av verksamt system)
System Fault	Fel yttring
System Recovery	Självreparerande system
System Safety	Systemsäkerhet, egenskaper hos ett system,att ej skada person, egendom eller miljö.
Validation	Validering, Utvärdering av färdigutvecklat system/komponent för att avgöra om den uppfyller specificerade krav..
Verification	Verifiering, Utvärdering av resultat från en fas/steg/process, för att försäkra sig om att detta är korrekt och konsistent med fasens ingångskrav.