Turvanõuete analüüs

Turvanõuete analüüsimine tarkvara arendamisel
Liina Kamm, Tartu Ülikool 2005

Sisukord:
Tiitel
Sisukord
Sissejuhatus
Arendusprotsess
Küsimustik
Selgitused/näited
Kokkuvõte
English summary
Allikad
Lisad

PDF küsimustik

PDF täisversioon

Tagasi kodulehele

2.1 Küsimustik

Organisatsiooni nõuded
- Kuidas on organisatsiooni protsessid seotud turvanõuetega?
- Kuidas on töötajate omavaheline suhtlemine seotud turvanõuetega?
- Kuidas on töötajate suhtlemine organisatsiooniväliste isikutega seotud turvanõuetega?
- Millised turvanõuded tulenevad seadustest, millega organisatsiooni tööprotsesside puhul arvestada tuleb?
- Millised turvanõuded tulenevad standarditest, millele organisatsiooni protsessid vastavad?
- Kas organisatsiooni protsesse on vaja turvalisuse tagamiseks muuta?
Juurdepääsu nõuded
- Kellel on süsteemile ning andmetele juurdepääs? Kuidas juurdepääsu kontrollitakse?
- Kas kõrge juurdepääsuga süsteemile kaasneb sama juurdepääs ka andmetele?
- Millise pääsupoliitika rakendamist oodatakse?
- Milline on juurdepääsu kirjeldav õiguste tabel (rollitabel)?
- Kas süsteemi võib asutusest väljastpoolt kasutada? Kui jah, siis milliste kanalite kaudu?
- Kas arendajal on juurdepääs andmetele?
- Kellel on ligipääs riistvarale?
Töötlemisnõuded
- Kas tuleb arvestada andmete turvanõuete ja/või ohutusküsimustega?

Kas vaadeldava funktsionaalsusega kaasneb turvanõudeid?
Kas vaadeldava funktsionaalsusega kaasnevad turvanõuded toovad endaga kaasa uusi funktsionaalseid nõudeid?

Moodulitevaheliste liideste nõuded
- Kas üleminekul ühelt moodulilt teisele on vaja rakendada turvanõudeid?
Välisliideste nõuded
- Millised on süsteemi seosed ümbritseva maailmaga, sõltuvused ümbritsevast maailmast?
- Milliseid turvanõudeid esitatakse välisliidestele?
- Kui usaldatavad peavad olema välisliidesed, sisemised ja välimised ülekandekanalid?

Ohutus- ja turvanõuded
- Millised võivad olla tüüpilised ründed ja ohud süsteemile?
- Kuidas peaks süsteem rünnetele reageerima, kuidas vastu pidama?

Kas ilmnenud rünnete takistamiseks on tarvis lisafunktsionaalsust või lisaseadmeid?

Kas võib juhtuda, et teatud aspekti ohutuse tagamiseks on tarvis eirata teatud turvanõudeid?
Millal peab süsteem olema kättesaadav?
Kui palju tõrkeid aastas on süsteemile lubatud?

Andmete defineerimise ja andmebaasinõuded
- Kas andmed on defineeritud korrektselt, et vältida ületäitumist? Kas andmete sisestamisel andmebaasi on arvestatud vormingute piirangute ning muude andmebaasile suunatud rünnetega?
- Kas käideldavatele andmetele on esitatud turvanõudeid?
- Kuidas tagada andmebaasi turvalisus?
- Kuidas tagada andmebaasiühenduste turvalisus?
Legaalsus- ja eetilisusküsimused
- Kas arendatavat tarkvara on vaja kaitsta illegaalse kopeerimise ning pöördarendamise vastu?
- Kas arendatavas süsteemis on tarvis jälgida ettenähtud riistvara peal töötamist?
- Kas süsteemi arendamisel kasutatavad meetodid ja algoritmid on patenteeritud või litsentseeritud?

Paigaldamise ja dokumenteerimise nõuded
- Kes paigaldab süsteemi?
- Kas on koheselt paigaldamisel vaja kanda üle tundlikke andmeid?
- Kui avalik on süsteemi dokumentatsioon? Kas igal kasutajal on õigus näha infot kogu funktsionaalsuse kohta, mida süsteem sisaldab?
- Kellel on ligipääs turvalisusmudelile, kasutatud vahendite kirjeldusele, lähtekoodile?
Juurutamisnõuded
- Kas juurutamisega tegeleval isikul on ligipääs tundlikele andmetele?
- Kas töötajatele tuleks õpetada ka turvalisusele mõtlemist?
Hooldus- ja ekspluatatsiooninõuded
- Kui palju on süsteemi hooldajal ligipääsu tundlikele andmetele?
- Kas andmed ja süsteem peavad ka hoolduse ajal olema kättesaadavad?
- Milliste õigustega isik vastutab varukoopiate eest?
- Kas varukoopiate tegemisel arvestatakse turvanõuetega?

Riistvaranõuded
- Kas riistvara on piisav turvanõuete tagamiseks?
- Kas on turvanõuete rahuldamiseks on tarvis mingit spetsiaalset riistvara?
Testimisnõuded
- Kas süsteemis testitakse ka turvalisust?