Hur hanterar man krav på säkerhet?

Relevanta dokument
Säkerheten före allt? Åsa Hedenberg, vd Specialfastigheter

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Hur värnar kommuner digital säkerhet?

Analyser. Verktyg för att avgöra vilka skydd som behövs

Riskanalys och informationssäkerhet 7,5 hp

Nödlägesberedskap och miljöriskinventering

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Skanska Sverige. Arbete med eller nära spänning skall utföras av, eller under ledning av, en för arbetet ansvarig person, se kompetenskrav.

Att mäta företagets säkerhetsnivå

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen , 164

OBS! Kopior papper/filer kan vara ogiltiga, senaste utgåva se Intranet.

Dokumentnamn: Dokumentägare: Karin Wallin. Fastställt av:

Bilaga Från standard till komponent

OHSAS Av Benny Halldin

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Kontrollhandbok - utföra offentlig livsmedelskontroll. FÖRDJUPNING HACCP-principerna

Installations- & Servicemanual D-LUX TIMER. Digital elektronisk timer 11/14

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Koncernkontoret Enheten för säkerhet och intern miljöledning

Intern kontroll - plan för 2017

NPA NPA Basic IR SEP/MEP Core Departure En-route

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

Informationssäkerhetspolicy. Linköpings kommun

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Reglemente för intern kontroll samt riktlinjer för intern kontroll

Säkerhetspolicy för Västerviks kommunkoncern

Informationssäkerhetspolicy

INSTALLATIONSMANUAL 11/2017

TILLÄMPNING. Hudiksvalls kommun. Hot. och. våld

Plan för intern kontroll 2015

Granskning av SMS och CMS

Lathund MVA-metoden v.2.0

SÄKERHETSLEDNINGSSYSTEM Dokumentnamn: Säkerhetsmål LUL 3.1 Godkänd: Säkerhetsmål

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Jämförelse mellan miljöledningssystemen Svensk Miljöbas, ISO och EMAS Svensk Miljöbas 3:2013

Transportstyrelsens föreskrifter och allmänna råd om säkerhetsledning av godkänd flygplats;

Transportstyrelsens föreskrifter och allmänna råd om luftfartsskydd vid svenska mindre flygföretag

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

VA SYD VA SYD ska vara en ledande aktör i det hållbara samhället, för kunden och miljön

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Bilaga 1 - Handledning i informationssäkerhet

Finansinspektionens författningssamling

Cargolog Impact Recorder System

Hur kan man göra säkerhetskultur begripligt och mätbart? Sixten Nolén Transportstyrelsen

Att planera och följa upp Styrmodell i Stratsys

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Säkerhetspolicy i Linköpings kommun

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Förklarande text till revisionsrapport Sid 1 (5)

Vilka är det som ska utarbeta och upprätta en säkerhetsrapport? Gäller det alla Sevesoverksamheter?

Lag och förordning om skydd mot olyckor. En sammanfattning

Handledning i informationssäkerhet Version 2.0

Siemens. Safety User Club. Aktivitet - Praktisk maskinsäkerhet Felsäkra styrsystem & pneumatik

Regel för Hälso- och sjukvård i särskilt boende och daglig verksamhet enligt LSS: Medicintekniska produkter (MTP)

Riktlinjer för IT-säkerhet i Halmstads kommun

GHJF 10 HANTERING AV OLYCKOR OCH TILLBUD

handlingsplan vid hot och våld vid de la gardiegymnasiet

Begrepp och definitioner

LANDSKAPSARKEOLOGERNAS POLICIES

Svensk Artistfaktura AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

2.3 För att ditt medlemskap skall beviljas måste du vara över 18 år och vara registrerad kund på Webbplatsen

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

REGLEMENTE FÖR. Intern kontroll. Antaget Tillsvidare, dock längst fyra år från antagande

IT-säkerhetspolicy för Landstinget Sörmland

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Resiliens i en förändrad omvärld


Riskhantering och riskkontroll. Hans E Peterson M.Sc., Senior Security Advisor

Policy för säkerhetsarbetet i. Södertälje kommun

1. Betydelsen av trafikhändelserapportering (THR)

Myndigheten för samhällsskydd och beredskaps författningssamling

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Systematiskt brandskyddsarbete

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Sida 1 (av 12) Revision Skall-krav

Datasäkerhet och integritet

Programmet för säkerhet i industriella informations- och styrsystem

Esbo stad Informationssäkerhetspolicy

Förstudie: Övergripande granskning av ITdriften

Riskkommunikation BBS en beteendebaserad metod att kommunicera säkerhet och risk

Riktlinjer för hantering av personuppgifter

Risk som 2-dimensionellt begrepp

Bilaga 3 Säkerhet Dnr: /

Gustav Edstrand IFE Ledare, Skanska Sverige AB

Vägledning RSA EM-hot. Metodstöd vid genomförande av RSA m.a.p. EM-hot

Reglemente för internkontroll

Riskanalys och riskhantering

Riktlinje för säkerhetsarbetet i Norrköpings kommun

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Reglemente för intern kontroll

Rutin vid avvikelsehantering gällande hälso- och sjukvård

Ta kontroll över informationssäkerheten

Fortsättning av MSB:s metodstöd

Inspektioner av Säkra stopp ingår i Arbetsmiljöverkets ordinarie tillsynsverksamhet av automatiserade arbetsutrustningar.

Myndigheten för samhällsskydd och beredskaps författningssamling

Transkript:

Hur hanterar man krav på säkerhet?

Agenda Introduktion Krav i förhållande till en kvalitetsmodell Mål Policy Krav Säkerhet som kvalitetsfaktor kvalitetsfaktorn Den gemensamma underliggande kvalitetsfaktorn, försvar Gemensamma kvalitetsfaktorer på säkerhet Underliggande kvalitetsfaktorer

Introduktion Eftersom vi förlitar oss mer och mer på programvaruintensiva system så har vi också kommit att förlita oss mer på att dessa system fungerar på ett säkert sätt.

Introduktion Större olyckor beror ofta på sällsynta risker, faran är en kombination av förhållanden som ökar sannolikheten för olyckor! Flygolyckan på Teneriffa, 27 mars 1977 Två Boeing 747-plan kolliderade och 583 människor omkom.

Kvalitet Kvalitet är gratis. Den är inte en gåva, men den är gratis. Det som kostar pengar är sådant som inte är kvalitet allt det som innebär att man inte gör sitt jobb rätt första gången Philip B. Crosby

Krav i förhållande till en kvalitetsmodell Kvalitetskrav består av kvalitetsspecifika kriterier som bygger på underliggande faktorer tillsammans med mätbara enheter. T.ex. olyckor per tidsenhet, skadekostnad, etc.

Mål Mål Kvalitetsmål Säkerhetsmål

Mål Ett Mål är ett uttalande om vikten av att uppnå en önskad nivå med avsikt på vissa beteenden, datum, egenskaper, gränssnitt eller begränsningar. Det är på politisk nivå och för oformaliserat för att kunna verifieras Kvalitetsmålet är ett mål som anger vikten av att uppnå ett önskat mål för kvalitetsfaktorer Säkerhetsmålet är ett kvalitetsmål som anger vikten av att uppnå önskat mål för säkerhetsfaktorer

Policy Policy Kvalitetspolicy Säkerhetspolicy

Policy En Policy är ett strategiskt beslut som upprättar ett önskat mål. En kvalitetspolicy bidrar med kriterier för kvalitetsfaktorer En säkerhetspolicy är en kvalitetspolicy som bidrar med säkerhetskriterium, T.ex. "Raffinaderiets styrsystem måste hålla trycket i oljetankarna betydligt lägre än deras maximala tryck".

Krav Krav Kvalitetskrav Säkerhetskrav

Krav Ett Krav är något obligatoriskt, externt observerbart, kontrollerbart (t.ex. testbart) och validerbart beteende, datum, egenskap eller gränssnitt. Ett kvalitetskrav är ett krav med ett antal kvalitetsfaktorer, underliggande faktorer med kriterier och mätbart data. Ett säkerhetskrav är ett kvalitetskrav med ett antal säkerhetsfaktorer, underliggande faktorer med kriterier och mätbart data. T.ex. "Raffinaderiets styrsystem måste alltid hålla trycket i oljetankarna 30% under deras maximala tryck".

Säkerhet som kvalitetsfaktor Säkerheten är en del av en hierarki

Säkerhet som kvalitetsfaktor Kvaliteten på säkerhet utgörs av kraven på driftsäkerhet och försvar etc, säkerhetsfaktorns krav!

Kvalitetsfaktorn - Tillförlitlighet Tillförlitlighet (Dependability) är i vilken grad olika typer av användare kan lita på att kunna utföra sin arbetsuppgift. Försvar (Defensibility) är i vilken grad systemet kan försvara sig självt mot faror, hot och olyckor(fel) Säkerhet (Safety) är i vilken grad oavsiktlig skada hanteras t.ex. förhindras, identifieras, reaktion, anpassning

Kvalitetsfaktorn - Hälsosäkerhet Hälsosäkerhet (Health safety) är i vilken grad sjukdom, skada och död förhindras, upptäckas och hanteras. Hälsosäkerhet involverar alla människor som rimligen kan förväntas att skadas av systemet under en olycka Till exempel, hälsosäkerhet för ett fordons styrsystem kan omfatta förare, passagerare, fotgängare och mekanik.

Exempel på säkerhetskrav Underliggande Exempel på Säkerhetskrav säkerhetsfaktor Skadeskydd Flygplatsens automatiserade tunnelbana får inte skada passagerarna så att sjukhusvård krävs med i genomsnitt mer än 0,000 000 1 passagerare per resa. (OBS: detta beräknas bli högst cirka 5 skadade passagerare per år.)

Kvalitetsfaktorn - Säkerhet för egendom Säkerhet för egendom (Property safety) är i vilken grad skador och förstörelse av egendom förhindras, upptäcks och hanteras. Detta kan inkludera egendom som ingår i systemet och egendom utanför systemet.

Kvalitetsfaktorn - Miljösäkerhet Miljösäkerhet (Environmental safety)är i vilken grad oavsiktliga skador och förstörelse av miljön förhindras, upptäcks, och hanteras. Kan vara den omgivning användaren befinner sig och naturen.

Kvalitetsfaktorn - Bevakning (security) Bevakning (security) är i vilken grad uppsåtlig skada hanteras T.ex. förhindras, identifierats, reagerar på, och anpassade till

Kvalitetsfaktorn - Överlevnadsförmåga Överlevnadsförmåga (Survivability) är i vilken grad nödvändiga verksamhetskritiska tjänster kan fortsätta att tillhandahållas trots antingen oavsiktlig eller avsiktlig skada

Kvalitetsfaktorn - Operativ tillgänglighet Operativ tillgänglighet (Operational availability) är i vilken grad systemet är i drift och tillgängligt för användaren

Kvalitetsfaktorn - Pålitlighet Pålitlighet (Reliability) är i vilken grad systemet fungerar utan fel under givna normala förhållanden under en given tidsperiod.

Kvalitetsfaktorn - Robusthet Robusthet (Robustness) är i vilken grad systemet fortsätter att fungera under onormala förhållanden, t ex felaktigt data eller error

Den gemensamma underliggande kvalitetsfaktorn, försvar Genom att skapa en hierarki av underliggande faktorer kan en checklista skapas för att se om det saknas några säkerhetskrav Kvalitetsfaktorn "försvar" nedbruten i underliggande gemensamma kvalitetsfaktorer

Gemensamma kvalitetsfaktorer på säkerhet Säkerhet ärver de gemensamma kvalitetsfaktorerna men har också specifika faktorer för säkerhet

Underliggande kvalitetsfaktorer Skydd av tillgångar är i vilken grad värdefulla tillgångar skyddas. Skadeskydd är i vilken grad risken för skada på tillgångar elimineras eller minskas. Skydd vid säkhetsincident är i vilken grad risken för säkerhetsincidenter elimineras eller minskas Olycksskydd är i vilken grad risken för olyckor elimineras eller minskas. Skydd mot olycksrisk är i vilken grad risken för olyckstillbud elimineras eller minskas.

Underliggande kvalitetsfaktorer Skydd vid fara är i vilken grad risken för faror elimineras eller minskas Skydd vid säkerhetsrisk är i vilken grad risken för säkerhetsrisker elimineras eller minskas. Underliggande Exempel på Säkerhetskrav säkerhetsfaktor Skydd vid fara Flygplatsens automatiserade tunnelbanetåg får inte börja röra på sig när dörrarna fortfarande är öppna mer än en gång per år.

Underliggande kvalitetsfaktorer Säkerhetsincident upptäckt är i vilken grad säkhetsincidenter eller olyckshändelser känns igen så systemet kan reagera på rätt sätt. t ex meddela operatörer, säkerhetspersonal, upprätthålla kritiska tjänster... Säkerhetsincident identifiering är i vilken grad olyckor och tillbud identifieras när de uppstår. Säkerhetsincident loggning är i vilken grad relevant information om tillbudet loggas när säkerhets incidenter inträffar

Exempel på säkerhetskrav Underliggande säkerhetsfaktor Säkerhets incident upptäckt Exempel på Säkerhetskrav Flygplatsens automatiserade tunnelbanesystem måste i 99,99% av fallen upptäcka när ett tåg är i rörelse med sina dörrar öppna.

Underliggande kvalitetsfaktorer Reaktion vid säkerhetsincident är i vilken grad systemet återhämtar sig efter en säkerhetsincident. Analys av säkerhetsincident är i vilken grad händelsen loggas och analyseras. Incidentrapportering är i vilken grad loggade och eventuellt analyserade händelser rappoteras.

Exempel på säkerhetskrav Underliggande Exempel på Säkerhetskrav säkerhetsfaktor Incidentrapportering Flygplatsens automatiserade tunnelbanesystem skall rapportera förekomster av identifierade säkerhetsincidenter till säkerhetsansvarig minst 99,999% av tiden.

Underliggande kvalitetsfaktorer Tjänstereducering är i vilken ordning systemtjänster stängs av till följd av en olycka. T.ex. att stödjande tjänster försvinner innan viktiga tjänster. Återställning av tjänst är i vilken grad systemets tjänster omedelbart återställs efter att ha stängts på grund av en olycka. Väcka åtal vid olycka är i vilken grad lagöverträdelse är orsakt ill olyckan. Detta är mer en trygghets faktor än en säkerhetsfaktor men kan ändå vara aktuellt då grov vårdslöshet orsakar allvarlig skada

Underliggande kvalitetsfaktorer Systemanpassning är i vilken grad systemet anpassar sig (baserat på tidigare tillbud) så att det i framtiden kan skydda sig bättre. Trendanalys är i vilken grad systemet spårar trender när det gäller förekomst och verkan av säkerhetsincidenter. Skyddsförbättring är i vilken grad systemet förbättrar säkerhetsåtgärder som en följd av tidigare tillbud och resultatet av trendanalys.

Standards, iso http://www.cats-tools.de

Olyckor inträffar när systemet gör fel saker eller gör rätt sak vid fel tidpunkt eller i fel ordning. Programvara kan inte orsaka dessa olyckor av sig självt. Programvara orsakar bara olyckor i gränssnittet med hårdvara (t.ex. kontrollerar ställdon, kommunicerar med andra system) eller när det tillhandahåller felaktig information (t.ex. felaktiga eller inaktuella uppgifter) till människan.

Frågor? torbjorn.andersson@inceptive.se

References Donald G. Firesmith: Engineering Safety Requirements, Safety Constraints, and Safety-Critical Requirements, in Journal of Object Technology, vol. 3, no. 3, March-April 2004, pp. 27-42. http://www.jot. fm/issues/issue_2004_03/column3 http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.102.6736&rep=rep1&type=pdf Verktyg för bättre kvalitet på krav: www.hood-group.com en plug-in till word som heter DESIRe

Thank You! torbjorn.andersson@inceptive.se Copyright Inceptive AB, 2010. All rights reserved.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss