Riktlinjer. för. Programvarukonstruktion, vid nyutveckling med hänsyn till. Programvarusäkerhet



Relevanta dokument
H ProgSäk kap KAB Software Development Handbook

REGELVERK & HANDBÖCKER

Risk som 2-dimensionellt begrepp

Säkerhetsstandarder: Säkerhetsinriktning

Saab Bofors Dynamics AB RAPPORT - FOTA P12, Utfärdare, tjänsteställe, telefon Issued by, department, telephone

Organisation KC Ledsyst Checklistor ur H ProgSäk avsnitt 6.5 Name. Document id KC Ledsyst 14910:48562/04 Date (17)

Programvara i säkerhetskritiska tillämpningar

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION REALISERA (ISD-R) Inklusive 3 bilagor

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(15) <SYSTEM> <VERSION> IT-SÄKERHETSSPECIFIKATION VIDMAKTHÅLLA (ITSS-V)

Systemsäkerhetsverksamhet

Presentation av H ProgSäk 2018

Undervisningen i ämnet mobila applikationer ska ge eleverna förutsättningar att utveckla följande:

Objektorienterade programmeringsspråk. Objektorienterade språk. Den objekt-orienterade modellen. Jämför med icke-oo

0. ALLMÄNT INNEHÅLL. Bilaga 1.Referensförteckning över angivna referenser i Verksamhetsåtagande. Handbok KRAVDOK Verksamhetsåtagande

PROGRAMMERING. Ämnets syfte. Kurser i ämnet

Introduktion till programmering. Programspråk och paradigmer

Bilaga. Särskilda villkor för Molntjänst. Programvaror och tjänster Systemutveckling

Teknikprov - H ProgSäk

SKOLFS. beslutade den XXX 2017.

BVS Riskanalys för signaltekniska anläggningsprojekt

Inledning. Vad är ett datorprogram, egentligen? Olika språk. Problemlösning och algoritmer. 1DV433 Strukturerad programmering med C Mats Loock

Metoder och verktyg för funktionssäkerhet

Riskanalys för signaltekniska anläggningsprojekt

F5: Högnivåprogrammering

F5: Högnivåprogrammering

Exempel på verklig kravspecifikation

JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 9. Virtualisering och molntjänster i planering av teknologiarkitektur

PROGRAMMERING. Ämnets syfte. Kurser i ämnet

Programmering i C++ Kompilering från kommandoraden

Kursplanering Objektorienterad programmering

Undervisningen i ämnet webbutveckling ska ge eleverna förutsättningar att utveckla följande:

SYSTGL GRANSKNINGSINSTRUKTION ISD 3.0

Projektuppgift - Gymmet

Välkommen till. Datastrukturer, algoritmer och programkonstruktion. eller DOA

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION DEFINIERA (ISD-D) Inklusive 3 bilagor

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

PROGRAMMERING. Ämnets syfte. Kurser i ämnet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Programmering A. Johan Eliasson

KVALITETS- OCH KONTROLLBESTÄMMELSER FÖR ELEKTRISK UTRUSTNING

Testning av program. Verklig modell för programutveckling

Användning av databas för riskinformation

Inlämning 2 - Tentamensfrågor

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(9) <SYSTEM> <VERSION> ANALYSUNDERLAG VIDMAKTHÅLLA (AU-V)

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Föreläsning 15: Parallella subrutiner. Parallellitet. Varför parallella underprogram?

Realtidssystem HT03. Vad är realtidssystem? Inbyggda system. Att programmera, Tasks (Uppgifter) Realtidssystem kräver analys

Logga in Översikt/Dashboard Avvikande produkter Arbeten misslyckades Senaste gjorda Systemmeddelanden...

PROGRAMMERING. Ämnets syfte. Kurser i ämnet

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Tekniskt driftdokumentation & krishantering v.1.0

Kursplanering för EE3D i kursen Programmering 1, 100p.

Static vs Dynamic binding Polymorfism. Objekt-orienterad programmering och design Alex Gerdes, 2016

Sentrion och GDPR Information och rekommendationer

Transportstyrelsens föreskrifter och allmänna råd om säkerhetsledning av godkänd flygplats;

Bilaga. Särskilda villkor för Öppen källkod. Programvaror och tjänster Systemutveckling

Klassdeklaration. Metoddeklaration. Parameteröverföring

Revisionsrapport. IT-revision Solna Stad ecompanion

Före Kravspecifikationen

RIKTLINJER FÖR STYRDOKUMENT

Parameteröverföring. Exempel. Exempel. Metodkropp

Experimentell verifiering av feldetektering och feltolerans

Riktlinjer för styrdokument

Experimentell verifiering av feldetektering och feltolerans

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Batteriladdare 857 NiMH/T Modifiering av Batteriladdare 857 NICD/T för laddning av NiMH-celler Teknisk specifikation

Trådar. Aktiva objekt

Sekvensstyrning Grafcet och IEC

Några grundläggande begrepp

Formell Verifiering. Hur vet man att ett system fungerar korrekt? Lisa Kaati

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(12) <SYSTEM> <VERSION> ANALYSUNDERLAG IDENTIFIERA (AU-I)

SESAM Försvarssektors användargrupp för Sofware Engineering

Föreläsning 2. Operativsystem och programmering

PRODUKTHANDBOK TRANSPONDER Stand: Entwurf 2012 v02 basieren auf April 2007_V

Kursplan och kunskapskrav för skolämnet Teknik

Mer OOP. Variation i typ. Medlen repetition. Generiska klasser. Gränssnitt - Interface. Mer om klasser Några exempel UML

Static vs Dynamic binding Polymorfism. Objekt-orienterad programmering och design (DIT953) Niklas Broberg, 2018

Programvara FMECA? Saab Group Presentation

Lunds Tekniska Högskola Datorarkitektur med operativsystem EITF60. Superscalar vs VLIW. Cornelia Kloth IDA2. Inlämningsdatum:

Region Skåne Granskning av IT-kontroller

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

<SYSTEMOMRÅDE> ISD-STRATEGI

LIPs Daniel Axehill ChrKr Projektdirektiv_Saab_v3 CKr

PROGES PLUS THERMOSCAN RF. Instruktionsmanual V

Configuration testing Why? Vad det är tänkt att koden ska göra. Performance testing Kommentarer Skriva om koden som kommentar

Mjukvarudesign. Designprocessen. Teknisk design. Konceptuell design

Projektuppgift - Biblioteket

FOTA - 3 COTS och objektorientering i realtidstillämpningar Annika Ohlsson Ericsson Microwave Systems

Föreläsning 2. Objektorienterad analys och design. Analys: att modellera världen. Design: att strukturera program.

Alla rättigheter till materialet reserverade Easec

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Kravspecifikation Cykelgarage

WEBBSERVERPROGRAMMERING

Granskning av generella IT-kontroller för PLSsystemet

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

Mål för underhållsberedningen (UHB) är att

PARALLELLISERING AV ALGORITMER PROCESSORER FÖR FLERKÄRNIGA

Vid avrop kan krav komma att ställas som är relaterade till arbetsmiljö till exempel ljud, ljus, ergonomi, strålning m.m.

Transkript:

RIKTLINJER 1 (14) Riktlinjer för Programvarukonstruktion, vid nyutveckling med hänsyn till Programvarusäkerhet

RIKTLINJER 2 (14) Revisionssida Version Datum Beskrivning 00 02-04-04 Första preliminära versionen.

RIKTLINJER 3 (14) Innehåll 1 Inledning... 4 1.1 BAKGRUND. KOPPLING TILL ANDRA DOKUMENT... 4 1.2 INDELNING I SÄKERHETSKLASSER, RISKMATRIS... 4 2 Riktlinjer vid nyutveckling av programvara... 5 2.1 GRUNDLÄGGANDE KONSTRUKTIONSPRINCIPER... 5 2.2 ALLMÄNNA PRINCIPER... 5 2.3 RISKREDUKTION... 6 2.4 RESURS- OCH TIDHANTERING... 6 2.5 DEFENSIV PROGRAMMERING... 6 2.6 FELHANTERING FELÅTERHÄMTNING - FELTOLERANS... 7 2.7 SPRÅK OCH SPRÅKKONSTRUKTIONER... 7 2.8 SPRÅKRESTRIKTIONER. SUBSET AV SPRÅKET... 9 2.9 GRÄNSYTOR. SNITT MOT START- OCH INITIERINGSDELAR... 9 2.10 GRÄNSYTOR. SNITT MOT OPERATÖR, INMATNING... 9 2.11 GRÄNSYTOR. SNITT MOT OPERATÖR, UTMATNING... 10 2.12 GRÄNSYTOR. SNITT MOT MASKINVARA... 10 2.13 DETALJERAD KONSTRUKTION... 10 2.14 TESTPROGRAMVARA FÖR DRIFT OCH UNDERHÅLL... 11 2.15 ÄNDRINGAR UNDER PRODUKTION... 11 2.16 DOKUMENTATION / INFORMATION... 12 2.17 DOKUMENTATION / UTVECKLING... 12 2.18 OPERATIV- OCH RUNTIME-SYSTEM... 12 2.19 MASKINUTRUSTNING... 13 3 Referenser, Definitioner, Akronymer, Förkortningar... 14 3.1 REFERENSER... 14 3.2 DEFINITIONER... 14 3.3 AKRONYMER, FÖRKORTNINGAR... 14

RIKTLINJER 4 (14) 1 INLEDNING 1.1 Bakgrund. Koppling till andra dokument Detta dokument anger riktlinjer för programvarukonstruktion vid nyutveckling, där hänsyn skall tas till programvarusäkerhet i samband med säkerhetskritiska system. Riktlinjerna är hämtade från FMV:s Handbok för Programvara i Säkerhetsmässiga Tillämpningar, PLAN 14910:44377/00, <H ProgSäk>. Vi har de tagit med de konkreta anvisningspunkterna från handboken <H ProgSäk>. För den som vill ha mer bakgrundsinformation, så finns detta under varje refererat kapitel i <H ProgSäk>. En viktig bakgrund är indelningen i olika säkerhetsklasser, som sammanfattas i nästa kapitel. Riktlinjerna är i huvudsak oberoende av vilket programspråk man väljer. Dessa riktlinjer skall läggas till som ett tredje dokument under Software Design, Riktlinjer 0402.5000/043, i KAB:s Software Development Handbook1, < DEV-HBK >. 1.2 Indelning i säkerhetsklasser, riskmatris I kap 1.7 i <H ProgSäk> anges följande kritikalitetsklasser för programvarudelar: - {H} Hög kritikalitet - {M} Medelhög kritikalitet - {L} Låg kritikalitet Dessa kritikalitetsklasser används i fortsättningen i dokumentet. I kap 6.4.1.3 i <H ProgSäk> ges exempel på en mappning av kritikalitetsklasserna H, M och L på en riskmatris. Riskmatris för risk (p,k), där p är sannolikhet för olycka ( t.ex. vanlig, trolig, tillfällig, försumbar, osannolik) och k för konsekvens (katastrof, kritisk, marginell, försumbar) gäller: H ProgSäk kritikalitetsklass Risk K: konsekvens & P: Sannolikhet H Katastrofal Vanlig, trolig M L Katastrofal Kritisk Kritisk Marginell Tillfällig Vanlig, trolig Tillfällig Vanlig

RIKTLINJER 5 (14) 2 RIKTLINJER VID NYUTVECKLING AV PROGRAMVARA Detta avsnitt behandlar utvecklingsaspekter på programvara i dess olika former från programvaru-specifikation till konstruktionslösning och slutlig realisering i avsedd processor och målmiljö. 2.1 Grundläggande konstruktionsprinciper Kap 4.5.2.3, pkt 1,2 i <H ProgSäk>. 1. Konstruktionsprinciper styrande för hur säkerheten programvarumässigt kommer att realiseras i aktuellt system skall definieras och dokumenteras före programkonstruktion 2. Konstruktionsprinciperna skall fastlägga vilka strategier för felupptäckt, feltolerans och fel-säkerhet, som skall tillämpas. Redogörelsen skall ange valda konstruktionsprinciper, motiveringar för gjorda val och vilka säkerhetskrav, som därmed uppfylls 2.2 Allmänna principer Kap 4.5.2.4:1, pkt 1-12 i <H ProgSäk>. 1. Konstruktionen av en kritisk del skall vara enkel, testbar och deterministisk 2. Ingen funktionalitet utöver de specificerade skall finnas i kritiska programvarudelar 3. Vid konstruktion av kritisk del skall hänsyn tas till specificerade, framtida ändringar, så att dessa kan införas utan att äventyra vald säkerhetslösning 4. Prototyp skall ej utgöra del av kritisk programvara 5. Den enhet, som rymmer ett kritiskt delsystem / komponent / funktion / egenskap skall tilldelas en unik CI-identitet 6. För varje konfigurationsenhet (SWCI) skall kritikalitetsnivån fastställas 7. Delar, som kan leverera information i konflikt skall identifieras och riskkonflikten skall elimineras{hm}. 8. Prioritering av vilken information, som skall gälla vid konflikt, skall göras utgående från en detaljerad säkerhetsanalys samt motiveras och dokumenteras 9. Död kod skall ej ingå i kritiska delar 10. Där död kod eliminerats skall berörda säkerhetsanalyser uppdateras {HM}. 11. Deaktiverad kod skall ej kunna aktiveras oavsiktligt 12. Mellanformer av död, deaktiverad resp. aktiv kod skall elimineras och berörda säkerhetsanalyser uppdateras {HM}.

RIKTLINJER 6 (14) 2.3 Riskreduktion Kap 4.5.2.4:2, pkt 1-8 i <H ProgSäk>. 1. För varje kvarvarande risk skall referens finnas till {HML}: a) den utredning, där möjligheten att eliminera eller reducera denna klarlagts, b) registrerad identitet i felrapporteringssystemet samt c) handhavandedokumentation i fall där denna risk sammanhänger med slutanvändares interaktion eller hantering av systemet. 2. Varningsmekanismer skall vara oberoende av kritiska delar {HM}. 3. Inget programvarufel skall kunna vara enda orsak till en olycka 4. Ingen enstaka omständighet (händelse, situation, villkor, inmatning) skall kunna vara enda orsak till en olycka 5. Kritiska delar skall isoleras från eller göras oberoende av icke-kritiska delar eller delar av lägre kritikalitet 6. Minnesareor, register och andra delar i exekveringsomgivningen som nyttjas av kritisk programdel skall separeras, isoleras eller göras oåtkomliga från areor använda av delar med ingen eller av lägre kritikalitet 7. Säkerhetsövervakande delar skall separeras från driftsstyrande delar {ML}. 8. Säkerhetsövervakande delar skall fysiskt separeras från driftsstyrande delar {H}. 2.4 Resurs- och tidhantering Kap 4.5.2.4:3 pkt 1,2 i <H ProgSäk>. För realtidstidskritiska applikationer skall följande beaktas: 1. Vald allokeringsalgoritm för fördelning av systemets processer på tillgängliga resurser eller processorer skall garantera, dels att processerna håller sig inom tilldelade tidsramar (deadline), dels att prioriterad information kommer fram i rätt ordning och kan hanteras inom tilldelade tids-ramar 2. Implementerad minneshantering skall tillse, att tilldelade resurser ej överskrids och att omfördelning av resurser ej inverkar menligt på kritiska delar 2.5 Defensiv programmering Kap 4.5.2.4:4, pkt 1-11 i <H ProgSäk>. 1. Systemet skall kunna fortsätta exekvera säkert trots fel i programkod, data, överföringar eller omgivning Hanteras lämpligen med Exception-konstruktion i Ada. 2. Programvaran skall kunna hantera kända fel i kompileringssystem eller maskinvara 3. Möjlighet att realisera kritisk del i annan, icke-programvarubaserad teknik skall övervägas, antingen för att ersätta eller för att operera parallellt med denna 4. Om defensiv programmering används skall den kommenteras och följa fastlagda konstruktionsprinciper

RIKTLINJER 7 (14) 5. All inläst eller till programvaran överförd information skall hanteras av systemet 6. Hanteringen skall klara såväl korrekt som inkorrekt information 7. Tidsgränser för giltighet hos in- och utvärden skall sättas 8. Ofullständigt genomförd, kritisk transaktion eller kommandosekvens skall automatiskt inhiberas 9. En gräns för antalet (automatiska eller manuella) inhiberingar och hantering då dessa gränser överskrids skall definieras för olika typer av kommandosekvenser 10. Funktionsövervakning skall utföras på inaktiva kommunikationsvägar 11. Behovet av att sända om information skall baseras på den klassning som gjorts av informationens kritikalitet 2.6 Felhantering felåterhämtning - feltolerans Kap 4.5.2.4:5 pkt 1-9 i <H ProgSäk>. För definition av begreppen felhantering, felåterhämtning, feltolerans, redundans och diversifiering hänvisas till <H ProgSäk>. I analysarbetet ingår att definiera vad som är ett Säkert respektive Osäkert tillstånd. Pkt 1-9 kan ingå i den säkerhetsanalys, som är underlag för ett säkerhetsutlåtande och rekommenderas att gås igenom. 1. Varje systemkonfiguration skall kunna inta åtminstone ett säkert tillstånd för varje operativ mod 2. För väg (path), som oundvikligen leder till ett osäkert tillstånd, skall krävas flera samtidiga villkor 3. Systemets pågående uppgifter skall kunna avslutas på ett säkert sätt, även om systemet kommer in i osäkert tillstånd 4. Från varje osäkert tillstånd skall finnas vägar till ett eller flera säkra tillstånd 5. Identifierbara felsituationer eller feltillstånd i operativ omgivning eller i program- och maskinvaru-komponenter skall hanteras, även om dessa inte bedöms kunna inträffa i den miljö, där program-varan är avsedd att verka. Hanteringen skall innebära, att systemet bringas till ett säkert tillstånd inom acceptabel tid, för att därifrån fortsätta säker exekvering 6. Vald felhanterings- och felåterhämtningsstrategi skall baseras på analyser, där det utretts var systemet skall återta säker och fullständig funktionalitet samt var säker och s k degraderad funktionalitet är enda möjligheten {HM}. 7. Endast icke-kritiska fel skall kunna ignoreras utan felåterhämtning 8. Felkällor, feltillstånd, felyttringar eller andra oegentligheter i kritisk programvara skall loggas, oavsett om dessa leder till osäkert tillstånd eller ej 9. Spårbarhet skall finnas mellan utlösande felsituation och det tillstånd, systemet överförts till 2.7 Språk och språkkonstruktioner Kap 4.5.2.5, pkt 3-13 i <H ProgSäk>.

RIKTLINJER 8 (14) Deterministisk / Predikterbar: Endast språkkonstruktioner, vars effekter är kända eller kan bestämmas från källkoden skall användas Modulariserbar Konstruktioner för inkapsling och skydd av koden skall användas Spårbar Endast konstruktioner som inte försvårar spårbarhet och analys av källkod resp exekverbar kod skall användas {H}. Robust - Typinformation skall ges m h a olika sorters deklarationer, så att kompilatorn kan upptäcka felaktiga tilldelningar, operationer och anrop - Delade datastrukturer skall vara skyddade mot samtidiga eller oavsiktliga uppdateringar Väldefierade språkkonstruktioner - Högnivåspråk skall användas {H}. - Språkets syntax skall vara formell definierad {H}. - Språket skall vara standardiserat av ISO, ANSI eller IEEE {H}. - Språket skall vara standardiserat av en internationell eller nationell organisation {M}. - Lågnivåspråk eller assembler får endast användas där något av följande gäller {HML}: a) Nära interaktion med maskinvara kan inte åstadkommas med ett högnivåspråk. b) Prestandakraven kan ej uppfyllas med ett högnivåspråk. c) Högnivåspråk, kompileringsystem och motsvarande processorer snarare ökar än minskar säkerhetsriskerna för en liten applikation. - Om lågnivåspråk används enligt ovan skall samtliga delkrav nedan dessutom vara uppfyllda {HML}: a) Koddelarna hålls mycket små eller applikationen är mycket liten b) All funktionalitet och alla effekter är väl definierade och dokumenterade c) Koddelarna är inkapslade och isolerade från övriga delar d) Koden är okomplicerad, välstrukturerad och analyserbar e) Föreskrivna Konstruktionsprinciper och Kodningsföreskrifter följs.

RIKTLINJER 9 (14) 2.8 Språkrestriktioner. Subset av språket Kap 4.5.2.6 pkt 1-4 i <H ProgSäk>. Bl.a. beskrivs vad som är typiskt för Ada95 och C++. 1. Språkrestriktioner skall fastställas för att ange vilka konstruktioner som ej får användas i kritiska delar 2. Icke-deterministiska språkkonstruktioner skall ej användas 3. Pekare och processer skall ej användas, såvida ej allokering sker vid programstart och därefter bibehålls statiskt under exekveringen {HM}. 4. Automatisk minnesåtervinning (Garbage collection) skall ej användas 2.9 Gränsytor. Snitt mot Start- och Initieringsdelar Kap 4.5.2.8, pkt 1, 3, 4, 5 i <H ProgSäk>. 1. Systemet skall vara i säkert tillstånd under uppstart 2. Avsiktligt utelämnad. 3. Oavsiktliga startkommandon skall ej kunna aktiveras 4. Intermittenta felorsaker, fluktueringar i kraftsystemet, kraftbortfall, överföring till operativ drift eller nedstängning skall ej kunna föra systemet till ett osäkert tillstånd 5. Vid uppstart samt återgång efter temporär nedstängning, skall programvarans modell av systemets processtatus överensstämma med verkligheten 2.10 Gränsytor. Snitt mot Operatör, inmatning Kap 4.5.2.8, pkt 6-11 i <H ProgSäk>. 6. Felaktig inmatning 187 samt uppgift om felets karaktär skall, där detta är möjlig att detektera, anges direkt efter sådan inmatning 7. Där inmatning kan vara kritisk för systemsäkerheten skall detta framgå 8. Osäkra tillstånd och farliga aktiviteter skall kunna lämnas eller avbrytas med en knapptryckning eller någon annan enkel åtgärd 9. Farlig aktivitet skall kräva minst två separata åtgärder eller flera steg, för att verkställas 10. Inga genvägar skall kunna tas i en operatörsprocedur, där en hel sekvens är väsentlig för systemsäkerheten 11. Nollställning av ett säkerhetskritiskt larm skall inte vara möjlig, innan korrigerande åtgärder vidtagits

RIKTLINJER 10 (14) 2.11 Gränsytor. Snitt mot Operatör, utmatning Kap 4.5.2.8:12-22 (ej pkt 23-24) i <H ProgSäk>. Pkt 15 omformulerad av KAB. 12. Presenterad information skall vara klar, konsis och otvetydig samt ha en logiskt konsekvent utformning 13. Presenterad information skall ge tillräckligt beslutsunderlag, där åtgärder väsentliga för systemsäkerheten krävs 14. Aktuell systemmod samt övergång till ny mod skall framgå, även då detta inte direkt orsakats av en operatörsinmatning 15. För presenterad larminformation skall det vara möjligt att få fram dess källa, ålder, giltighetstid, orsak till att informationen visas, ändras eller tas bort {HM}. 16. Presenterade värden, som närmar sig resp ligger i säkerhetskritiskt intervall, skall markeras på avvikande sätt 17. Om systemet befinner sig i -eller riskerar hamna i- osäkert tillstånd, skall operatör larmas 18. Säkerhetskritiska varningar eller alarm skall klart skilja sig från rutinmässig information 19. Vid motstridig information från olika delsystem, sensorer eller aktörer skall klart framgå hur systemet hanterar detta och vad som förväntas av operatören {HM}. 20. Vid kritisk aktivitet, där både system och operatör kan styra, skall systemet ha prioritet, om tidsfristen inte medger beslut och agerande från operatör. I övriga fall skall klart framgå, om system eller operatör har prioritet {HM}. 21. Effekten av vidtagna åtgärder skall återmatas till operatören 22. Operatören skall informeras vid degraderad funktionalitet. För varje tillstånd i systemet, då degradering kan inträffa skall det specificeras hur ofta information om degraderingsmod skall ges 2.12 Gränsytor. Snitt mot Maskinvara Kap 4.5.2.8, pkt 26, 27 i <H ProgSäk>. 26. Maskinvaran skall ge skydd mot att fel i densamma propageras in i programvaran 27. Programvaran skall kunna hantera fel, vars ursprung ligger i maskinvaran 2.13 Detaljerad konstruktion Kap 4.5.2.9 i <H ProgSäk>. Programvaruarkitekturen förfinas under den detaljerade konstruktionen. Tidigare identifierade kritiska komponenter bryts ner i mindre enheter, vilka antingen har en motsvarighet i programvarans säkerhetskrav eller är enheter, som påverkar kritiska delar. Samma krav på val av säkra konstruktionslösningar gäller, som under övergripande konstruktion (en av de mer betydelsefulla därvidlag är principen för riskreduktion).

RIKTLINJER 11 (14) Framkomna aspekter på säker användning av systemet överförs till motsvarande användardokumentation. Testprogramvara för verifiering av programvarans säkerhetskrav tas fram (se nedan). 2.14 Testprogramvara för drift och underhåll Kap 4.5.2.10, pkt 1-4 i <H ProgSäk>. 1. Inbyggda testmöjligheter och självtest skall finnas 2. BIT-funktioner ej avsedda att användas under drift skall ej kunna aktiveras under drift 3. BIT-funktioner för kontroll av säkerhetskritiska delar skall betraktas som kritisk av samma grad 4. Om det finns säkerhetsspärrar, som måste kunna brytas för att tillåta test eller underhåll, skall de konstrueras så, att de inte kan brytas oavsiktligt, inte kan lämnas i brutet tillstånd vid återgång till drift och inte kan brytas av programvarusystemet 2.15 Ändringar under produktion Kap 4.5.2.12, pkt 1a 1f i <H ProgSäk>. Nedanstående krav är även aktuella under vidmakthållandefasen vid ändringar av färdigt och levererat system. Vid ändringar under produktion avseende rättelser eller tillägg till en föregående utgåva gäller följande som en rekommendation {HML}: a) Ändringsanalys skall utföras, som utreder säkerhetseffekter på system och dokumentation. b) Ny säkerhetsgenomgång, SSPR, skall genomföras. c) Ändringarna skall införas i källkod, varifrån ny objektkod genereras. d) Ändrad programvaruenhet skall lagras som ny version. e) Verifieringar skall utföras för att kontrollera i) ändringarnas korrekthet ii) att effekten på berörda delar är i överensstämmelse med utförd ändringsanalys iii) att ingen effekt kan konstateras i delar, som enligt analysen skall vara opåverkade. f) Om maskinvaran ändras, skall kritiska delar testas om, för att kontrollera att ställda prestandakrav fortfarande är uppfyllda.

RIKTLINJER 12 (14) 2.16 Dokumentation / Information Kap 4.5.2.13, pkt 3, 4 i <H ProgSäk>. - Varje kritisk konfigurationsenhet skall dokumenteras ned till minsta ändringsenhet {HM}. - Varje kritisk konfigurationsenhet skall dokumenteras {L}. 2.17 Dokumentation / Utveckling Kap 4.5.2.13.1, pkt 1a,b i <H ProgSäk>. Programvarudokumentation tas fram kontinuerligt under utvecklingen och omfattar bl a detaljerade kravspecifikationer, arkitekturbeskrivningar, dokumentation över ingående delsystem och komponenters struktur, gränssnittsbeskrivningar (mot interna delar, externa enheter och operatörer), testspecifikationer och testresultat, säkerhetsanalyser. Utvecklingsdokumentationen skall beskriva {HML}: a) Alla förutsättningar, antaganden och begränsningar b) Deaktiverad kod, globala variabler och andra konstruktioner, som kan äventyra systemets robusthet. 2.18 Operativ- och Runtime-system Kap 4.5.3.1, pkt 1-6 i <H ProgSäk>. 1. Valt operativ- och run-timesystem skall utnyttja systemets resurser på ett predikterbart sätt 2. Säkerhetsanalyser och -verifieringar av operativ- och run-timesystem skall göras med dessa integrerade i applikationen 3. Verifieringarna skall göras med den stringens som motsvarar applikationens högsta kritikalitet 4. Möjlighet skall finnas, att kunna blockera användningen av primitiver, som leder till osäkra konstruktioner Om programvara av olika kritikalitet avses att exekveras på samma plattform, gäller att: 5. Operativsystemet skall sörja för, att a) Ett standardiserat gränssnitt skall finnas mot exekverbara, oberoende programenheter. b) Resurser till oberoende programenhet skall allokeras oberoende av andra programenheters existens. c) Oberoende skall föreligga mellan programenheter och de resurser dessa exekverar på. d) En exekverande, oberoende programenhet skall inte kunna inkräkta på en annan programenhets exekvering. e) Resurser tilldelade oberoende programenheter skall inte leda till konflikter eller krockar i minnes-, tids- eller avbrottshantering.

RIKTLINJER 13 (14) f) Delade resurser skall tilldelas oberoende programenheter, så att resursernas integritet bibehålls och programenheterna kan hållas separerade. 6. Stöd för isolerad exekvering skall ges av operativsystemet, genom att {HML} a) Maskinvaruresurser skall ej kunna användas av exekverande programenhet annat än via kärnan b) Kärnan och dess resurshantering skall ej kunna manipuleras från exekverande programenhet. c) Kärnan skall ha minimal funktionalitet och ej bryta fastställd separation. 2.19 Maskinutrustning Kap 4.5.3.2, pkt 1 i <H ProgSäk>. Vid ny version av maskinvaruutrustning, som exekverar kritisk programvara, skall information om ändringar i förhållande till tidigare version samt resultat från integrationsanalyser och test av den nya versionen tillställas berörda programvaruutvecklare.

RIKTLINJER 14 (14) 3 REFERENSER, DEFINITIONER, AKRONYMER, FÖRKORTNINGAR 3.1 Referenser <H ProgSäk> FMV. Handbok för Programvara i Säkerhetsmässiga Tillämpningar, PLAN 14910:44377/00 < DEV-HBK > KAB. Software Development Handbook, Folder 1-2. Document registration no. 0402.5000 3.2 Definitioner Definition Död kod Deaktiverad kod Betydelse Oavsiktlig kod, som ligger kvar Kod, som avsiktligt skall vara kvar, fast den ej används 3.3 Akronymer, förkortningar Akronym, förkortning CCB COTS CSCI ECP FAT FQT IS KAB LAN HAT HMI, MMI SAT ÅA Betydelse (Software) Change Control Board Commercial Off The Shelf Computer Software Configuration Item Engineering Change Proposal Factory Acceptance Test Formal Qualification Test Interface Specification Kockums AB Local Area Network Harbour Acceptance Test Human/Man Machine Interface Sea Acceptance Test Återanvändning

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss