Tiêu chuẩn quốc gia TCVN 10607-3:2014 về Kỹ thuật phần mềm và hệ thống - Đảm bảo phần mềm và hệ thống - Phần 3

Phụ lục B
(tham khảo)

Ví dụ sử dụng Tiêu chuẩn

B.1. Giới thiệu

Phụ lục này đưa ra phác thảo một ví dụ lý thuyết của việc định nghĩa và sử dụng mức toàn vẹn. Phụ lục này nhằm hỗ trợ việc hiểu cách sử dụng Tiêu chuẩn này.

B.2. Tổng quan

Ví dụ này xem xét các lĩnh vực của máy trả lời tự động (ATM) được sử dụng cho lĩnh vực ngân hàng. Trong ngữ cảnh này, một ATM cung cấp các dịch vụ cho tiền gửi và rút tiền mặt từ các tài khoản khách hàng mà không cần nhân viên thu ngân. Thông tin tài khoản được đặt tại máy chủ trung tâm và các máy ATM kết nối tới máy chủ thông qua một mạng để tham chiếu và thay đổi thông tin. Khi việc thỏa mãn khách hàng dựa trên việc hoạt động của các máy ATM và chúng được dùng thường xuyên khi

các ngân hàng đóng cửa, khả năng sẵn có ở mức cao được yêu cầu. Hơn nữa, các máy ATM xử lý thông tin tài chính và cá nhân, độ tin cậy và an ninh mức cao cũng được yêu cầu. Để đơn giản hóa, các yêu cầu của một hệ thống ATM bao gồm bốn chức năng sau:

a) Một máy ATM có thể thực hiện gửi và rút tiền mặt từ các tài khoản khách hàng một cách chính xác.

...

...

...

c) Một máy ATM cung cấp dịch vụ 24 giờ một ngày.

d) Không thông tin cá nhân nào được tiết lộ không đúng cách.

Nhằm hiểu nhu cầu, các tập đa mức của các mức toàn vẹn để phù hợp với các máy ATM được nhắm

đến cho các người dùng khác nhau, xem xét hai loại máy ATM sau:

· Hệ thống X: một ATM chỉ xử lý một lượng nhỏ tiền mặt cho mỗi đơn vị giao dịch. Ví dụ: Các máy ATM được lắp đặt trong các trung tâm mua sắm hay sân bay để phục vụ khách hàng phổ thông.

· Hệ thống Y: một ATM xử lý một lượng lớn tiền mặt. Hệ thống này được giả định rằng các máy ATM này được lắp đặt ở các chi nhánh ngân hàng cho các khách hàng lớn. Sự khác nhau trong các tình huống dẫn tới các mức rủi ro khác nhau.

CHÚ THÍCH Các tiêu chuẩn và hướng dẫn liên quan tới các máy ATM không được nêu ra trong ví dụ này theo lĩnh vực của các máy ATM được chọn như một điều tương tự cho độc giả. Mục đích của ví dụ này nhằm hỗ trợ đơn giản cho việc hiểu biết tiêu chuẩn này và không hiểu về lĩnh vực thực tế của việc phát triển và sử dụng máy ATM.

B.3. Định nghĩa mức toàn vẹn (Điều 6)

Đầu tiên, khung mức toàn vẹn tương ứng với Điều 6 “Định nghĩa các mức toàn vẹn”, được áp dụng cho lĩnh vực của hệ thống máy ATM. Khung mức toàn vẹn bao gồm ba mục sau:

...

...

...

· Đòi hỏi mức toàn vẹn

· Yêu cầu mức toàn vẹn

Bộ định danh của ví dụ các mức toàn vẹn cho các máy ATM được thể hiện trong Bảng B.1

Bảng B.1 - Ví dụ các mức toàn vẹn

Tính sẵn có

Độ tin cậy

An ninh

a

A

...

...

...

b

B

II

c

C

III

Một tập các mức toàn vẹn cho mỗi thuộc tính được yêu cầu cho hệ thống ATM. Mức toàn vẹn của một hệ thống tổng thể (ATM) là một phần tử của ILA x IlR x ILS trong đó ILA = (a,b,c), ILR = (A,B,C) và ILS = (I,II,III). Tiếp đó, một đòi hỏi mức toàn vẹn sẽ tương ứng với mỗi mức toàn vẹn. Chính xác, cho mỗi tập mức toàn vẹn, ví dụ: tính sẵn có, độ tin cậy và an ninh, một tập các đòi hỏi mức toàn vẹn sẽ tương ứng.

Bảng B.2 - Ví dụ dải giá trị thông thường của các đòi hỏi mức toàn vẹn

Mức toàn vẹn

...

...

...

a

MTTR được yêu cầu là một ngày hoặc ít hơn

b

MTTR được yêu cầu là một giờ hoặc ít hơn

c

A

MTTR được yêu cầu là 10 phút hoặc ít hơn

MTBF được yêu cầu là một tháng hoặc nhiều hơn

B

...

...

...

I

MTBF được yêu cầu là 6 tháng hoặc nhiều hơn

MTBF được yêu cầu là một năm hoặc nhiều hơn

EAL1 được yêu cầu hoặc cao hơn

II

III

EAL4 được yêu cầu hoặc cao hơn

EAL7 được yêu cầu

Trong Bảng B.2, MTTR nghĩa là thời gian thực để sửa, MTBF nghĩa là thời gian thực giữa các lỗi và EAL nghĩa là một mức đảm bảo đánh giá của lĩnh vực phổ biến cho việc đánh giá an ninh thông tin được định nghĩa trong ISO/IEC 15408. Cho mỗi đòi hỏi mức toàn vẹn, phạm vi áp dụng và độ không xác định cho phép được đưa ra như sau:

...

...

...

· Độ không xác định cho phép: 10% cho cả MTTR và MTBF, ví dụ: trong các thuật ngữ xác suất, xác suất 0.90 là các giá trị trong các phạm vi được đòi hỏi.

Danh sách yêu cầu mức toàn vẹn nằm trong Bảng B.3

Bảng B.3 - Ví dụ yêu cầu mức toàn vẹn và bằng chứng tương ứng

Mức toàn vẹn

Yêu cầu mức toàn vẹn và bằng chứng tương ứng

a

Thông tin lỗi được truy xuất

Bằng chứng: đặc tả của chức năng ghi lại, tài liệu: kết quả thử nghiệm cho chức năng, việc thiết lập chức năng.

b

...

...

...

Bằng chứng: đặc tả của hệ thống nhắc báo tự động, tài liệu: kết quả thử nghiệm cho chức năng, việc thiết lập chức năng.

c

Bổ sung cho yêu cầu bên trên, một vài hệ thống chịu lỗi phải được đính kèm

Bằng chứng: đặc tả của hệ thống chịu lỗi, kết quả thử nghiệm, việc thiết lập

A

Lập kế hoạch, triển khai thử nghiệm và đánh giá cho cả việc thiết kế và thiết lập

Bằng chứng: tài liệu: kết quả thử nghiệm và đánh giá

B

Bổ sung cho yêu cầu bên trên, việc thiết kế theo ngôn ngữ đặc tả hình thức

...

...

...

C

Bổ sung cho yêu cầu bên trên, việc thiết lập phải được chứng minh hình thứcn nhằm thể hiện rằng nó thỏa mãn đặc tả

Bằng chứng: tài liệu chứng minh

I

Tuân theo các hoạt động được xây dựng trong EAL1

II

III

Tuân theo các hoạt động được xây dựng trong EAL4

Tuân theo các hoạt động được xây dựng trong EAL7

...

...

...

B.4. Sử dụng khung mức toàn vẹn (Điều 7 và 8)

Trong mục phụ này, một quy trình nhằm xác định một mức toàn vẹn cho một máy ATM sử dụng khung mức toàn vẹn của một máy ATM được định nghĩa trong mục phụ trước đó đã được thể hiện. Theo mục phụ của Điều 8.1, quy trình bắt đầu với việc định nghĩa một tính toán tiêu chí rủi ro cho việc đánh giá hệ thống. Giả định đầu tiên là một tình huống mà một ngân hàng A cung cấp các dịch vụ thông qua các hệ thống ATM của cả loại X và Y. Lý tưởng hơn, tầm quan trọng của các rủi ro cho ngân hàng A được đánh giá bởi, ví dụ: việc kết hợp của ba khía cạnh sau:

(1) Phá hủy cơ sở vật chất: phá hủy bất kỳ cơ sở vật chất nào bao gồm chính hệ thống ATM đó.

(2) Tổn hại do sự bồi thường thất thoát của khách hàng: tổn hại bởi sự bồi thường thất thoát của tài khoản khách hàng do bất kỳ lỗi phần mềm hay sự rò rỉ thông tin cá nhân nào của máy ATM.

(3) Tổn hại danh tiếng ngân hàng: tổn hại danh tiếng do bất kỳ tai nạn nào, ví dụ: do một lỗi hệ thống

Khi khó khăn để xử lý và nhấn mạnh các đo lường trực tiếp bên trên, trong ví dụ này, nó được giả định rằng cách thức tính toán các giá trị theo các đo lường bên trên từ các tác động sau cho mỗi rủi ro đã được thiết lập.

(i) Tầm quan trọng của khách hàng do tài khoản bị ảnh hưởng bởi hệ quả tiêu cực tương ứng (ví dụ: một tai nạn do một rủi ro)

(ii) Thời gian phục hồi của hệ quả tiêu cực tương ứng

(iii) Tần suất của hệ quả tiêu cực tương ứng

...

...

...

Nhằm đơn giản hóa, chỉ các rủi ro sau cho phần mềm ATM được xem xét:

· Các vấn đề mạng không mong muốn

· Các tấn công nguy hại

· Các lỗi trong xử lý dữ liệu

Cho mỗi rủi ro, các hệ quả tiêu cực được minh họa bên dưới:

· Vấn đề mạng không mong muốn: Hãy xem xét hai trường hợp: kết nối mạng bị phá vỡ và một vài dữ liệu được bao gồm trong một máy ATM bị phá hủy bởi sự phá vỡ các kết nối. Trường hợp đầu do một vài lỗi dịch vụ của máy ATM nên khả năng sẵn có có liên quan. Trường hợp sau có thể do các lỗi thông tin trong giao dịch và có thể ảnh hưởng tới độ tin cậy.

· Các tấn công nguy hại: Khi tấn công nguy hại có thể dẫn tới việc rò rỉ thông tin cá nhân và cũng điều chỉnh dữ liệu tài khoản, khi đó an ninh và độ tin cậy được liên quan.

· Các lỗi trong việc xử lý dữ liệu: Khi một lỗi xử lý dữ liệu có thể gây ra một lỗi giao dịch thông tin, độ tin cậy là liên quan.

Các rủi ro hệ thống được phân tích dẫn đến các yêu cầu liên quan cho phần mềm.

...

...

...

Trường hợp của Hệ thống X: (1) Các dịch vụ ATM có thể bị ngắt phụ thuộc các vấn đề mạng không mong muốn hoặc các lý do khác. Loại ATM này được mong đợi cho việc sử dụng thường xuyên bởi các khách hàng phổ thông nên việc phục hồi trong hai ngày là hợp lý. (2) Các sai sót liên quan tới thông tin giao dịch cũng khả thi. Tuy nhiên, khi giới hạn lượng tiền mặt cho mỗi giao dịch được thiết lập một giá trị thấp, thậm chí nếu một sai sót phát sinh và ngân hàng trả bồi hoàn cho giao dịch sai sót mà không vì lý do gì, tổn thất của nhân hàng vẫn thấp. Do đó, có MTBF là sáu tháng là hợp lý. (3) Các tấn công nguy hại có thể thỏa hiệp an ninh dẫn tới thông tin cá nhân có thể bị rò rỉ. Mặc dù mỗi giao dịch xử lý một lượng nhỏ tiền mặt, lượng tài khoản khách hàng và lượng thông tin nhạy cảm là lớn. Như một hệ quả, các hoạt động và bằng chứng EAL7 tương ứng được yêu cầu.

Trường hợp của Hệ thống Y: (1) Các dịch vụ ATM có thể bị ngắt. Khi người dùng tiềm năng của loại ATM là các khách hàng lớn, các lỗi dịch vụ lớn hơn mười phút có thể dẫn tới việc phá hủy nghiêm trọng cho khách hàng và các mối quan hệ của ngân hàng với họ và do vậy phải được phòng tránh. (2) Các vấn đề mạng với việc phá hủy dữ liệu và sai sót xử lý thông tin có thể dẫn tới các sai sót thông tin giao dịch. Lượng giao dịch của loại ATM này có thể lớn và do đó MTBF được đòi hỏi ít nhất là một năm. (3) An ninh cũng được yêu cầu mức đảm bảo chặt chẽ nhất.

Dựa trên các giới hạn được được yêu cầu nêu trên, mức toàn vẹn của mỗi loại hệ thống có thể được xác định tuân theo:

· Mức toàn vẹn của hệ thống X: (a, B, III)

· Mức toàn vẹn của hệ thống Y: (c, C, III)

Các mức toàn vẹn có thể được sử dụng không chỉ bởi các nhà đặt hàng máy ATM, mà còn bởi các người khách hàng có kiến thức hay người dùng máy ATM nhằm đưa ra các quyết định liên quan tới ngân hàng nào đặt tài khoản. Một người dùng có thể thu thập thông tin về các rủi ro của các máy ATM.

Nói chung, một hệ thống có một vài giao diện và các mức toàn vẹn có thể tương ứng cho mỗi giao diện riêng lẻ. Trong trường hợp này, bộ phận mạng của máy chủ trung tâm và giao diện người dùng đồ họa cho người dùng là hai ví dụ về giao diện. Do bản chất của các rủi ro trong trường hợp này, tất cả các giao diện của máy ATM được xem xét để gán cho cùng mức toàn vẹn

B.5. Mức toàn vẹn phần tử hệ thống (Điều 9)

Được thiết lập tập tập mức toàn vẹn của các giao diện, hệ thống đáng quan tâm phải được phân tách khi mỗi phần tử hệ thống (hoặc các giao diện phần tử khác nhau) tương ứng với một mức toàn vẹn. Quy trình này được lặp lại. Trong khi Điều 9 có thể nêu ra một phần lợi ích đáng kể được rút ra từ tiêu chuẩn này, chi tiết hóa một thiết kế nhiều mức cho các ATM và việc gán các mức toàn vẹn tương ứng với các phần tử hệ thống vượt ra ngoài phạm vi của ví dụ này.

...

...

...

Ví dụ này minh họa một vài đặc trưng của việc sử dụng các mức toàn vẹn và lợi ích của chúng.

a) Lợi ích đầu tiên là các mức toàn vẹn có thể là một phương tiện kết nối các rủi ro của các hệ thống giữa các bên liên quan. Dựa trên các mức toàn vẹn tương ứng, bên liên quan có thể thảo luận về quan hệ thỏa hiệp giữa các rủi ro, kinh phí và có thể quyết định một kinh phí tương ứng để tránh hay giảm thiểu rủi ro. Như một hệ quả, việc phát triển hệ thống được mong đợi nhằm tránh các đầu tư không cần thiết.

b) Ví dụ này cũng thể hiện rằng khung mức toàn vẹn có thể được sử dụng chỉ vượt ra ngoài mức an toàn liên quan tới các đặc tính. Các mức toàn vẹn an toàn được sử dụng rộng rãi trong khi các mức khác thì không.

Mặc dù trong ví dụ này, các biện minh hàm ý của các yêu cầu mức toàn vẹn cho đòi hỏi mức toàn vẹn được thừa nhận, có một đặc trưng quan trọng cho việc đưa ra các quyết định chắc chắn về hệ thống bởi các bên liên quan tương ứng.

Thư mục tài liệu tham khảo

[1] IEC 300-3-9, Risk Analysis of Technological Systems

[2] IEC 60300, Dependability management (nhiều phần)

[3] IEC 60812:2006, Analysis techniques for system reliability - Procedure for failure mode and effects analysis (FMEA)

...

...

...

[5] IEC 61511:2003, Functional safety - Safety instrumented systems for the process industry sector (ba phần)

[6] IEC 61882, Hazard and operability studies (HAZOP studies) - Application guide

[7] IEEE Std 1012-2004, IEEE Standard for Software Verification and Validation

[8] ISO 13849, Safety of machinery - Safety-related parts of control systems (tất cả các phần)

[9] ISO 14620, Space systems - Safety requirements (tất cả các phần)

[10] ISO/IEC 12207:2008, Systems and software engineering - Software life cycle processes

[11] ISO/IEC 15289:2006, Systems and software engineering - Content of systems and software life cycle process information products (Tài liệu)

[12] ISO/IEC 15288:2008, Systems and software engineering - System life cycle processes

[13] ISO/IEC 15504, Information technology - Process assessment (tất cả các phần)

...

...

...

[15] ISO/TR 18152:2010, Ergonomics of human-system interaction - Specification for the process assessment of human-system issues

[16] ISO 19706:2007, Guidelines for assessing the fire threat to people

[17] ISO/IEC 19770, Information technology - Software asset management (tất cả các phần)

[18] ISO/IEC 21827, Information technology - Systems Security Engineering - Capability Maturity Model (SSE-CMM)

[19] ISO/IEC 25010:2011, Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models

[20] ISO/TS 25238:2007, Health informatics - Classification of safety risks from health software

[21] ISO/IEC 27005, Information technology - Security techniques - Information security risk management

[22] ISO/IEC 42010:2007, Systems and software engineering - Recommended practice for architectural description of software-intensive systems

...

...

...

Lời nói đầu

1. Phạm vi áp dụng

2. Tài liệu viện dẫn

3. Thuật ngữ và định nghĩa

4. Khung mức toàn vẹn

5. Sử dụng tiêu chuẩn

6. Định nghĩa mức toàn vẹn

7. Sử dụng mức toàn vẹn

8. Xác định mức toàn vẹn hệ thống hay sản phẩm

...

...

...

10. Đáp ứng yêu cầu mức toàn vẹn

11. Thỏa thuận và phê duyệt

Phụ lục A (quy định) Đầu vào và đầu ra cho khung mức toàn vẹn

Phụ lục B (tham khảo) Ví dụ sử dụng Tiêu chuẩn

Thư mục tài liệu tham khảo