Zarówno bezpieczeństwo (safety), jak i zabezpieczenia (security) systemu to krytyczne cele, ale nie zawsze są ze sobą zgodne. Wytyczne opublikowane przez SCSC w marcu tego roku zalecają framework współzapewnienia dla safety oraz security assurance case. Główna zasada dotyczy określania jawnie punktów synchronizacji między zapewnieniem bezpieczeństwa a zabezpieczeniami. Poradnik proponuje Safety-Security Assurance Framework (SSAF), które obejmują ryzyka techniczne i społeczno-techniczne w cyklu życia systemu i procesie zarządzania assurance case.
SSAF obejmuje swoim zakresem ryzyka techniczne i społeczno-techniczne związane z bezpieczeństwem i zabezpieczeniami w całym cyklu życia systemu. To szeroki temat i skupimy się na samej argumentacji assurance case. Krótko mówiąc, SSAF zaleca opracowanie trzech podstaw argumentacji w assurance case systemu: jednej, która uwzględnia ryzyka związane z bezpieczeństwem (safety), drugiej dotyczącej ryzyka związanego z zabezpieczeniami i ostatniej dotyczącej ryzyka ich interakcji. Poniższy diagram ilustruje tę koncepcję.
Wszystkie gałęzie argumentacji są wspierane przez dowody wykazującymi spełnienie wymagań. Istnieją trzy zestawy wymagań: te wspierające bezpieczeństwo systemu (safety), zabezpieczenia systemu (security) oraz wspierające zgodność bezpieczeństwa i zabezpieczeń. Wymagania są tworzone w każdym etapie cyklu życia systemu, od fazy koncepcyjnej, poprzez projektowanie, wdrażanie, testowanie aż po eksploatację. Niezależnie od zastosowanego cyklu życia systemu, każda faza musi obejmować synchronizację bezpieczeństwa i ochrony. W każdej fazie wykonywane są działania zgodnie z następującymi krokami:
- Planowanie, w tym ustalenie wspólnego kontekstu, terminologii i punktów synchronizacji. Nie jest konieczne uzgodnienie pełnego kontekstu i terminologii dla bezpieczeństwa i zabezpieczeń, ale tylko wspólnych elementów.
- Działania inżynieryjne specyficzne dla danej fazy wykonywane oddzielnie dla bezpieczeństwa oraz zabezpieczeń, wymiana informacji związanych z ryzykiem w uzgodnionych punktach synchronizacji.
- Opracowanie przyrostu argumentacji assurance case dla wdrożonych działań fazy oddzielnie dla bezpieczeństwa i zabezpieczeń.
- Opracowanie argumentacji zgodności (co-assurance) i wykonanie synchronizacji zapewnienia bezpieczeństwa i zabezpieczeń dla danej fazy w cyklu życia systemu. Obejmuje to weryfikację i walidację wyników fazy.
- Propagacja wpływu zgodności bezpieczeństwa i zabezpieczeń. Aktualizacja modeli bezpieczeństwa i zabezpieczeń, artefaktów i celów na podstawie wyników synchronizacji. Aktualizowana jest też odpowiednio argumentacja zgodności.
Proces powinien być przeprowadzany zgodnie z sześcioma podstawowymi zasadami SSAF, które zapewniają opracowanie jasnej i przekonującej argumentacji zgodności bezpieczeństwa i zabezpieczeń. Jedna z podstawowych zasad mówi, że należy zdefiniować jawne punkty synchronizacji, aby zapewnić zgodność bezpieczeństwa i zabezpieczeń w każdym etapie cyklu życia systemu. To jest kluczowy punkt. Wszystkie współzależności należy wyraźnie określić i zarządzać w argumencji zgodności (co-assurance).
Podejście proponowane przez SCSC jest pragmatyczne i daje duże szanse na skuteczne zarządzanie bezpieczeństwem i zabezpieczeniami. Inżynierowie safety i security pracują samodzielnie w swoich obszarach, a komunikują się ze sobą w określonych punktach synchronizacji w każdej fazie cyklu życia systemu. Wyniki synchronizacji są dokumentowane w argumentacji co-assurance. Sukces całego projektu zależy od sposobu organizacji synchronizacji i współpracy zaangażowanych stron. Przyjęta zasada jawnego określania zależności pomiędzy safety a security daje duże szanse na skuteczność podejścia w praktyce.
Pełny opis Safety-Security Assurance Framework (SSAF) znajdziesz w dokumencie SCSC “Through-Life Co-Assurance of System Safety and Cyber Security”.