Presentation av H ProgSäk 2018

Relevanta dokument
Programvara i säkerhetskritiska tillämpningar

H ProgSäk REMISSUTGÅVA 2. Handbok Programvara i säkerhetskritiska tillämpningar. Version Peter Djervbrant. Lars Lange.

Säkerhetsstandarder: Säkerhetsinriktning

Er referens/your reference Ert datum/your date Er beteckning/your file code

0. ALLMÄNT INNEHÅLL. Bilaga 1.Referensförteckning över angivna referenser i Verksamhetsåtagande. Handbok KRAVDOK Verksamhetsåtagande

ISD - IT-säkerhetsdeklaration. Information till SESAME Dan Olofsson PrL ISD

Inbjudan till FMV:s kurs 6 i Programvarusäkerhet

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION REALISERA (ISD-R) Inklusive 3 bilagor

Batteriladdare 857 NiMH/T Modifiering av Batteriladdare 857 NICD/T för laddning av NiMH-celler Teknisk specifikation

ISD. Etablering av ISD inom FMV. Dan Olofsson PrL ISD

PM Kvalitativ Risklogg till stöd för leverantörer

REGELVERK & HANDBÖCKER

Systemsäkerhetsverksamhet

TEKNISK HANDBOK. Del 0 - Inledning

Mål för underhållsberedningen (UHB) är att

Metodstöd för ISD-processen. Övergripande beskrivning

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION DEFINIERA (ISD-D) Inklusive 3 bilagor

Risk som 2-dimensionellt begrepp

SYSTGL GRANSKNINGSINSTRUKTION ISD 3.0

Designregel Härdning av IT-system, utgåva 1.0

1. Kursens benämning Tekniska system och dess bidrag till de operativa förmågorna

Inköps- och upphandlingsriktlinjer

Metodstöd för ISD-processen Övergripande beskrivning. Kundnyttan med ISD-processens metodstöd

Österåkers kommuns styrdokument

Frågor och svar. Programvaror och tjänster Systemutveckling. Statens inköpscentral vid Kammarkollegiet

<SYSTEMOMRÅDE> ISD-STRATEGI

Projektering, inköp, anläggning, drift, underhåll, avveckling anvisning, regelverk, märkning, registrering

Innehållsförteckning. Öppen/Unclassified FMV990-41:1 2(14)

KL Forum FMV

Produktinformation viktigare än programvara?!

PM Kvantitativ Risklogg till stöd för leverantörer

Användarcentrerad utveckling av en HFI-portal

Vägledning för krav på dokumenterad information enligt ISO 9001:2015

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(9) <SYSTEM> <VERSION> ANALYSUNDERLAG VIDMAKTHÅLLA (AU-V)

Handbok för programvara i säkerhetskritiska tillämpningar

AB FAMILJEBOSTÄDER BILAGA 2 - PM FÖR ANBUDSGIVARE AVSEENDE VENTILATIONSKONSULTTJÄNSTER STOCKHOLM

<SYSTEM> <VERSION> ISD-PLAN

Upprättande av säkerhetsskyddsavtal i Nivå 1

Gränsdragning mellan Försvarsmakten och FMV

Certifierad. Avtalsstrateg

6. DOKUMENTATIONSSTÖD

Metodbeskrivning för genomförande av Oberoende värdering i ISD-processens faser Produktion och Leverans till FM. Oberoende värdering i ISD-processen

AB FAMILJEBOSTÄDER BILAGA 2 - PM FÖR ANBUDSGIVARE AVSEENDE VVS- KONSULTTJÄNSTER STOCKHOLM

--- Kurserna genomförs på Garnisonen enligt nedan Programvara i säkerhetskritiska tillämpningar, nr 9

HYTTER OCH CONTAINRAR. Detta avsnitt i CD POINT sammanfattar några specifika delar som berör hytter och containrar.

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(15) <SYSTEM> <VERSION> IT-SÄKERHETSSPECIFIKATION VIDMAKTHÅLLA (ITSS-V)

Riktlinjer för IT-säkerhet i Halmstads kommun

--- Kurserna genomförs på FMV TrV enligt nedan Programvara i säkerhetskritiska tillämpningar (ProgSäk), nr 11

Kvalitetsmanual. Baserat på System ISO Active Care Sverup AB

FMV Vägledning för ISD och SE. ISD och SE

ISE GRANSKNINGSINSTRUKTION ISD 3.0

Bilaga Kravkatalog. Kommunikation som tjänst

EN SNABBT FÖRÄNDERLIG VÄRLD. Har dina kommunikationslösningar vad som krävs?

Helt omarbetad från föregående utgåva för att matcha RML och spårbarhetskrav.

Rikspolisstyrelsens författningssamling

Mission Network som plattform Hur möter vi det?

Godkännande av produkter för kontrollanläggning

Säkerhetsupphandling Frukostseminarium hos SSF

Lagen om offentlig upphandling

Ramavtalsbilaga 7, Avropsförfarande Ekonomisystem som tjänst

Utgåva Ändringsnot Datum. 2 Denna riktlinje är omarbetad och ersätter den gamla TR08:01 version A med publiceringsdatum

Bilaga 1a till förfrågningsunderlag Upphandling av Ekonomisystem. Mall för redovisning av konsulter 1/25

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION IDENTIFIERA (ISD-I) Inklusive 2 bilagor

Specifikation Konsultstöd Fenix del 2 C

Svetsade stålkonstruktioner till broar VV Publ 1999:25 1

KVALITETSSYSTEM SS ISO 9001 KONSULTER I SAMVERKAN

Ramavtalsbilaga 7, Avropsförfarande E-handelstjänst via molntjänst

Modularitet inom Ledningssystemområdet Lars Burström Teknisk chef FMV AK Led

Remiss, konsekvensutredning gällande ändringsförslag avseende föreskrifter om ackreditering. Inledning

FM-standarder. IFMA:s frukostmöte i Göteborg Bertil Oresten FM Konsulterna AB

Agenda. Kort om CC. Utvecklingen nu och framöver. Hur använda CC vid upphandling? CSEC roll CCRA. Internationellt Sverige. Konkurrens på lika villkor

Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad

Teknikprov - H ProgSäk

5. Utvärdering av anbud

ANBUDSINBJUDAN. Avtalsperiod: IDC West Sweden AB skall ha rätt att göra avrop från avtalet.

Köp användbarhetskompetens på nya ramavtalet IT-konsulttjänster Michaela Kanti, Verva Stockholm

Ansökan om granskning av kvalitetssystem enligt LVFS 2003:11 (för CE märkning av medicintekniska produkter)

WEBBPLATSENS TILLGÄNGLIGHET

Säkerhetslager beräknat från antal dagars täcktid

Fakulteten för ekonomi, kommunikation och IT. Utbildningsplan SGITD. IT-design. Study programme in IT-Design

Inköps- och upphandlingspolicy

Säkra låssystem. Trygg leverantör av låssystem sedan ASSA ABLOY, the global leader in door opening solutions

SKL Kommentus Inköpscentral

Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(12) <SYSTEM> <VERSION> ANALYSUNDERLAG IDENTIFIERA (AU-I)

4. CENTRALT UNDERHÅLL

Konsulttjänst för utveckling av IT-målarkitekturen. hos

ANGÅENDE REFERENSER/REFERENSBLANKETTER. I förfrågningsunderlaget punkt anges;

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Trafikkontorets krav

Hållbar Upphandling. Nätverket Renare Mark Seminarium om upphandling inom förorenade områden Luleå 13 februari 2013

Solel och frågor kring kvalité, säkerhet och underhåll. Peter Kovács, SP Energiteknik

Säkra låssystem. Trygg leverantör av låssystem sedan ASSA ABLOY, the global leader in door opening solutions

Frågor & Svar Öppna programvaror 2010

Beslut om fastställande: - - Behörighetskrav: -

A) Upphandlingsföreskrifter Vindkraftverk 12KS/0282. A) Upphandlingsföreskrifter

Ledningssystem för informationssäkerhet - Kompetensprofil

Innehåll 1. Bakgrund 2. Projektstyrning 3. Systemutveckling 4. Slutsatser och förslag Referenser 1. BAKGRUND

PM UPPHANDLING AV REVISION I KOMMUNALA BOLAG

IPS INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET

Transkript:

Presentation av H ProgSäk 2018 Lars Lange lars.lange@fmv.se

Handböcker 2

H ProgSäk 2001 2005-2018 3

Bakgrund Inga-Lill Bratteby-Ribbing (Strategisk specialist) Svensk utgåva 2001 (Grundutgåva) Engelsk utgåva 2005 (Innehållsmässigt uppdaterad) Handboken ställer krav på programvara, utvecklingsprocess och kompetenskrav på organisation och individ SÄKINSP beställde 2012 uppdatering av H ProgSäk Arbetet med inhämtning av synpunkter påbörjades 2014 Projektet etablerades första kvartalet 2015 Handboken fastställde den 12 december 2017 Översättning klar under hösten 2018 4

Varför revidering? Nuvarande handbok är en utmärkt Teknisk rapport men den är mycket svår att tillämpa i projekt, dvs att ställa krav på leverantör/utvecklande industri Den nya handboken är en FMV-publikation Den ska användas vid all upphandling av programvara för säkerhetskritiska tillämpningar Handboken ska ställa tillräckliga krav på en programvara med låg kritikalitetsnivå För programvara med högre kritikalitet rekommenderar handboken att etablerade programvarustandarder tillämpas 5

Kravreducering från befintlig handbok FM 10 förutsättningar FMV 13 krav på VHL 396 krav Industrin 53 krav 6 VHL = Verksamhetsledningssystem

Ag ProgSäk Referensgrupp 7

8

Säkerhet två skilda begrepp Systemsäkerhet Safety Egenskap hos ett system, att inte oavsiktligt orsaka person-, egendoms- eller miljöskada IT-/Informationssäkerhet Security Egenskap hos ett system att kunna motstå intrång, otillbörlig insyn, förlust och påverkan

Säkerhetskritiskt datorsystem Datorsystem som direkt eller indirekt styr eller övervakar energier och som vid fel kan orsaka vådahändelse och i förlängningen olyckor.

Handbokens inriktning Handbok Systemsäkerhet (H SystSäk) ska alltid tillämpas parallellt med denna handbok

Användning Handboken gäller från och med 2018-01-01

Syfte Syftet med H ProgSäk är att kunna ställa rätt krav på utveckling av programvara för att erhålla säkra tekniska system Handboken innehåller grundläggande krav motsvarande lägsta accepterade kritikalitetsnivå och vägledning för arbetet För samtliga högre kritikalitetsnivåer ska etablerad programvarustandard följas utöver handbokens grundläggande krav

Kapitelindelning 1 (3) Kapitel 1 Handbokens inriktning anger syftet med handboken samt hur handboken ska tillämpas Kapitel 2 Lagar, standarder och handböcker omfattar ett urval av användbara programvarustandarder mm Kapitel 3 Arbetsgång mellan Försvarsmakten, FMV och industrin anger övergripande process beskrivning mellan aktörerna Kapitel 4 Säkerhetsarkitektur och metodik beskriver datorsystemets egenskaper, säkerhetsarkitektur och kritikalitetsklassificering av programvara

Kapitelindelning 2 (3) Kapitel 5 Livscykelhantering och kvalitetsstyrning anger förhållande till verksamhetsledningssystem, kvalitetsledning av försvarsmateriel, konfigurationsledning samt utvecklingsmiljöer Kapitel 6 Förutsättningar från Försvarsmakten anger FMV:s förväntningar på FM för att kunna genomföra projekt Kapitel 7 Verksamhetskrav på FMV anger krav på FMV:s interna processer Kapitel 8 Grundkrav (GKPS) på utvecklande industrin anger grundkrav för all programvara som industrin alltid ska uppfylla

Kapitelindelning 3 (3) Kapitel 9 Beskrivning av dokumentation anger förslag på dokument och vad respektive dokument bör innehålla för information Kapitel 10 CE-märkta produkter samt produkter godkända av annan aktör beskriver möjligheter och förhållningssätt till produkter som redan finns på marknaden eller som ska sättas på marknaden Kapitel 11 Hantering av tidigare utvecklad programvara anger förhållningssätt till tidigare utvecklad programvara (PDS) Kapitel 12 Angränsande metodik- och teknikområden såsom verksamhetssäkerhet, informationssäkerhet, data, användbarhet, programmerbar logik samt metoder för snabb systemutveckling

Kravnumrering

Handbokens omfattning

Tillämpning H ProgSäk är vägledande för programvara i säkerhetskritiska tillämpningar och utgör stöd för FMV i roll som DesignA vid kravställning Handboken är i sig inte ett styrande dokument vilket betyder att de krav som redovisas i handboken utgör underlag för kravspecifikationer I det enskilda projektet måste alltid anpassning göras efter aktuellt tekniskt systems art, komplexitet och bedömda riskinnehåll. Det kan därför finnas sådana förutsättningar som medför att visst krav enligt handboken inte är tillämpbart i en beställning Kravställningen är ytterst DesignA/projektets ansvar och vilka krav som ska gälla för ett specifikt tekniskt system ska framgå av kravspecifikation i beställning/kontrakt.

Närslutna områden

Aktörer

Lagar, standarder och handböcker Obs! Handboken gör inte anspråk på att redovisade programvarustandarder utgör en fullständig jämförelse mellan dessa. Refererade standarder är de som var aktuella vid handbokens färdigställande. Läsaren rekommenderas att alltid själv identifiera tillämpliga standarder och aktuella utgåvor.

Förhållande mellan programvarustandarder IEC / ISO / EN Inom FM och FMV hanteras standarder via FSD-funktionen!

Förenklad processbild

Principiellt upplägg av kapitel 6 8 Utveckling Anskaffning Användning/underhåll Avveckling 6.1 6.2 FM 6.3 6.4 6.5 7.1 7.2 FMV 7.3 7.4 7.5 Industrin 8.4 8.1 8.3 8.5 8.2

Krav i kapitel 6-8 Uppbyggnad Inledande text Krav Kommentar Alla krav ska tillämpas Omformulera krav Skrivna som skall-krav

Förbättringsförslag

FMV:s hemsida

Förutsättningar från Försvarsmakten, kapitel 6 Fordonssäkerhetskurs

Förutsättningar från Försvarsmakten, kapitel 6 Fordonssäkerhetskurs

Förutsättningar från Försvarsmakten, kapitel 6 Fordonssäkerhetskurs

Verksamhetskrav på FMV, kapitel 7 Fordonssäkerhetskurs

Verksamhetskrav på FMV, kapitel 7 Fordonssäkerhetskurs

2018-05-31 FMV:s initiala kritikalitetsklassificering Om det tekniska systemets topphändelser kan leda till konsekvenser som är Hög, Allvarlig eller Medel för person, egendom och/eller yttre miljö, enligt tillämpningsmatrisen i tabell 4.1, blir resultatet av FMV:s initiala kritikalitetsklassificering HÖG. Detta medför att det av FMV:s förfrågningsunderlag ska framgå att industrin ska uppfylla både kraven i en valfri etablerad programvarustandard och Grundkrav för programvarusäkerhet (GKPS) i kapitel 8. Om konsekvenser av det tekniska systemets topphändelser enbart kan resultera i konsekvenser som är Låg eller Ingen blir resultatet av FMV:s initiala kritikalitetsklassificering LÅG. Detta medför att det av FMV:s förfrågningsunderlag ska framgå att industrin enbart behöver uppfylla Grundkrav för programvarusäkerhet (GKPS) i kapitel 8. 35

2018-05-31 FMV:s initiala kritikalitetsklassificering FMV initiala kritikalitetsklassificering av tekniska system (person, egendom, yttre miljö) 36

2018-05-31 FMV:s initiala kritikalitetsklassificering FMV initiala kritikalitetsklassificering av tekniska system (person, egendom, yttre miljö) 37

Industrins mottagning av förfrågningsunderlag Utöver FMV systemsäkerhetskrav ska följande framgå av förfrågningsunderlag: Exempel: Krav på tolerabel risknivå för enstaka dödsfall (skadeklass I, H SystSäk) får vara maximalt 1*10-5 per systemindivid under livslängden 30 år Grundkrav för programvarusäkerhet (GKPS) i H ProgSäk 2018 ska uppfyllas Valfri etablerad programvarustandard ska anges Driftprofilen motsvarar en kontinuerlig drifttid om minst 10 000 timmar för det tekniska systemet. 38

Beställning till utvecklande industri FMV tecknar kontrakt med industrin utifrån ställda krav i förfrågningsunderlaget Industrin förbereder inför den formella kontraktsgenomgången Säkerhetsarkitektur 39

Inför kontraktsgenomgång och redovisning av säkerhetsarkitektur Industrin identifierar lämplig säkerhetsarkitektur för dimensionerande vådahändelserna Olycka A P1 & Vådahändelse A P2 Exponering P3 Fel i säkerhetsfunktion P5 & Oberoende viktigt! Fel i säkerhetskritisk funktion A P4 40

Kritikalitetsnivåer för olika programvarustandarder En direkt jämförelse mellan de olika standardernas kritikalitetsnivåer kan inte göras.

Tidigare utvecklad programvara (PDS) Previously Developed Software (PDS) är programvara som redan finns färdigutvecklad då det tekniska systemet ska utvecklas Free software Copy today Pay tomorrow

Tidigare utvecklad programvara PDS måste uppfylla samma krav som övrig nyutvecklad programvara avseende olika aspekter såsom systemsäkerhet, IT-säkerhet, testning, dokumentation, kvalitet, konfigurationsledning

Varianter av tidigare utvecklad programvara Utvecklad inom företaget / Utvecklad externt Gratis / Anskaffningskostnad Kräver användarlicens / Kräver inte licens

Tankar kring användning av PDS Planerar man att själv ändra koden i PDS eller önskar man få ett avtal med leverantören av PDS för framtida underhåll, uppdateringar och testning? Finns PDS i andra liknande tekniska system där man kan visa att den fungerar, så kallad Proven in use med referenser?

Fristående CE-märkta produkter Upphandling av fristående CE-märkta produkter samt av andra aktörer godkända produkter 10.1 Allmänt om CE-märkta produkter 10.2 CE-märkta produkter som redan finns på marknaden 10.3 CE-märkta produkter som inte finns på marknaden 10.4 Produkter certifierade eller godkända av annan part

Produkter som REDAN finns på marknaden Produkter som redan finns på marknaden och som innehåller säkerhetskritisk programvara men man planerar inte att genomföra egna uppdateringar eller andra ändringar Produkten avses enbart användas fristående och ska inte integreras i ett tekniskt system Eventuella uppdateringar av programvaran genomförs uteslutande av leverantören

CE-märkta produkter som REDAN finns på marknaden

CE-märkta produkter som REDAN finns på marknaden

Produkter som INTE finns på marknaden FMV ställer krav på användningsmiljö, operationsbetingelser och utbildning mm Produkten CE-märks före leverans till FMV Produkten avses att användas fristående eller integreras i ett tekniskt system, allt inom leverantörens anvisningar Eventuella uppdateringar av programvaran genomförs av industrin och/eller FM/FMV

CE-märkta produkter som INTE finns på marknaden

Produkter certifierade eller godkända av annan part

FMV Generell grundkurs på uppdrag av FM SÄKINSP Deltagare ur FM, FMV och industrin/konsulter 56

Kursmål Kursen avser att: definiera begreppet: Programvara i säkerhetskritiska tillämpningar medvetandegöra behovet av programvarusäkerhetsverksamhet i tekniska system informera om den metodik och de verktyg som kan användas för kritikalitetsklassificering informera om olika programvarustandarder klargöra rollspelet/regelverket (FM-FMV-utvecklande industri) för att åstadkomma säker programvara i tekniska system samt ge inriktning för användning av tidigare utvecklad programvara (PDS) 57

Vilka är vi? Svante Wåhlin, FMV SPL Stab S&D svante.wahlin@fmv.se Peter Djervbrant, konsult peter.djervbrant@fmv.se Björn Koberstein, FMV Gripen bjorn.koberstein@fmv.se Mikael Lindbergh, FMV SPL Flyg mikael.lindbergh@fmv.se Lars Lange, FMV SPL Stab S&D lars.lange@fmv.se 58

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss