Sissejuhatus

Seoses Interneti ja hajussüsteemide üha laialdasema levikuga on tarkvara turvalisusel aina suurem roll. Kahjuks ei arvesta paljud tarkvaraarendajad turvanõuetega enne hiliseid arendusetappe. Turvalisuse integreerimisega süsteemi arhitektuuri tuleb aga peale hakata juba arenduse varajastes etappides.

Tänapäeva protsessimudelites (Unified Process) vaadeldakse turvalisusaspekte mitte­funktsionaalsete nõuetena. Eelkõige osutatakse realiseerimisel tähelepanu funktsionaalsetele nõuetele ja seetõttu jääb turvalisus tihti tahaplaanile ning sellega tegelemine nihkub arenduse hilisemasse etappi. Turvanõuded võivad endaga kaasa tuua uut funktsionaalsust ning uusi nõudeid, mida on keeruline olemasolevasse arhitektuuri lisada. Tulemuseks võib olla läbi­mõtlemata disain või kogu süsteemi ümbertegemine, sest turvalisuskihi süsteemi peale ase­tamisest ei piisa – see tuleb integreerida süsteemi arhitektuuri. Hilisema lisamisega võib kaas­neda süsteemi komponentide vaheliste ühenduste ebaturvalisus. Nii muutub terve süsteem haavatavaks ning avatuks rünnetele.

Käesoleva töö esimene peatükk on referatiivne ning sisaldab kokkuvõtet Ruth Breu', Klaus Burgeri, Michael Hafneri ning Gerhard Poppi poolt pakutavast lahendusest turvalise tarkvara süstemaatilise arenduse probleemile.

Töö teises peatükis tuuakse ära küsimustik, mida tavaarendaja saab nõuete analüüsis juht­nöörina kasutada. Alati ei oodata tarkvaralt sellist turvakriitilisust kui näiteks e-valimiste süs­teemilt, aga turvalisusega on siiski tarvis arvestada. Sellisel juhul saab arendaja kasutada väljatöötatud küsimustikku (turvaanalüüsi raamistikku) turvanõuete lisamiseks nõuete analüüsi käigus. Küsimustele on lisatud selgitused ning illustreerivad näited, mis lihtsustavad arendatava süsteemi turvaprobleemide väljatoomist.

Lisana esitatakse näidetes kasutatud fiktiivse organisatsiooni protsesside kirjeldus. Ära on toodud Eestis kehtivad turvaklassid, rollitabeli ja ohtude tabeli näidised.