Wskaźniki operacyjne SPI w dynamicznych assurance case

Assurance case stosowane są nie tylko w fazie rozwoju systemu, ale też jego eksploatacji. Dla wielu systemów stosowane są wtedy wskaźniki bezpieczeństwa – Safety Performance Indicators (SPI). Wskaźniki te służą do monitorowania i oceny poziomu bezpieczeństwa systemu w czasie jego eksploatacji. Pomagają one określić, czy cele bezpieczeństwa są osiągane i dostarczają wczesnych sygnałów ostrzegawczych o pojawiających się zagrożeniach. Są również przydatne w identyfikacji słabych punktów w systemie zarządzania bezpieczeństwem.

Argumentacje bezpieczeństwa systemów nie powinny ignorować SPI, ponieważ są one istotnym źródłem informacji o bezpieczeństwie systemu w trakcie jego eksploatacji. Charakter tych wskaźników jest jednak inny, niż zwykłe dowody w argumentacji assurance case. Wartości wskaźników SPI są zmienne i argumentacja musi być w stanie tę zmienność obsłużyć. Potrzebujemy dynamicznych przypadków zapewnienia bezpieczeństwa, które mogą reagować na zmiany raportowanego SPI.

Proces przetwarzania SPI a assurance case

Proces ten składa się z trzech kroków, które mogą być wykonywane automatycznie:

  1. Transfer danych SPI. Przeniesienie danych z systemu pomiaru SPI do uzasadnienia do elementów argumentacji odwołań do dowodów. Dane SPI są przechowywane jako dynamiczne dowody w ramach argumentacji. Oznacza to, że dane w argumentacji mogą być aktualizowane codziennie lub częściej, w razie potrzeby. W systemie PREMIS stosowany jest prosty, ogólny format danych dla wartości SPI, który może reprezentować dowolne wartości, w tym informacje tekstowe i liczbowe.
  2. Interpretacja danych SPI. Aktualizacja ocen postulatów wspieranych bezpośrednio przez dowody SPI. System PREMIS umożliwia zdefiniowanie warunków dla wartości SPI w celu określenia wynikowej oceny postulatu. Wskaźniki SPI mogą mieć trzy możliwe statusy: OK (akceptowalny poziom ryzyka), Ostrzeżenie (ryzyko wkrótce) i Alert (zagrożone).
  3. Propagacja informacji. Mechanizm propagacji ocen w PREMIS automatycznie aktualizuje oceny w argumentacji. W zależności od jej struktury, zmiany wartości wskaźników SPI mogą wpływać na oceny zależnych postulatów, łącznie z postulatem najwyższego poziomu (top claim). Przekroczenie progu pojedynczego krytycznego wskaźnika SPI może nawet skutkować odrzuceniem postulatu najwyższego poziomu.

Proces ten działa w pełni automatycznie, gdy wykonane jest połączenie argumentacji w PREMIS do źródłowych systemów, które dostarczają wartości SPI. Może to być jeden system, który integruje wszystkie wskaźniki SPI, ale może to być wiele systemów źródłowych raportujących poszczególne wskaźniki. Jednym z tych systemów może być na przykład Jira. Może to być dowolny system, który udostępnia dostęp sieciowy do swoich danych lub posiada możliwości przekazywania w dowolny sposób, choćby przesyłając maile.

Dynamiczne dowody, takie jak dowody SPI, zmieniają sposób pracy z argumentacją. Taki wskaźnik może zmienić swoją wartość czasem zmieniać swoją rolę na kontr-dowód. Dzieje się tak wtedy, gdy wartość wskaźnika wskazuje, że jakieś wymagania bezpieczeństwa nie są spełnione. Argumentacja bezpieczeństwa systemu może mieć status zaakceptowanej tylko wtedy, gdy dane z pomiarów będą potwierdzały, że faktycznie system spełnia cele bezpieczeństwa. Gdy jakiś dowód dynamiczny wskazuje, że tak się nie dzieje, to wymagane jest reakcja, ale nie poprzez zmiany w argumentacji, jak to ma miejsce dla defeater’ów, ale przez doprowadzenie do zmiany wartości dowodu, czyli w tym przypadku wskaźnika SPI. Naprawa jest więc wykonywana poza argumentacją, bo sama argumentacja jest poprawna. Ale oczywiście, jeżeli naprawa pociąga za sobą zmiany projektowe lub wydanie nowej wersji systemu, to odpowiednie części argumentacji też powinny zostać uaktualnione. Niezależnie od powiązanych zmian argumentacji konieczne jest, aby dowód dynamiczny został przywrócony do akceptowanego stanu wartości SPI i przestał pełnić rolę kontr-dowodu.

Jak to działa w praktyce?

Prostym przykładem wskaźnika bezpieczeństwa (SPI) jest liczba otwartych zgłoszeń dotyczących bezpieczeństwa w Jira. Możemy mieć epik w Jira dla gromadzenia zgłoszeń dotyczących bezpieczeństwa w jednym miejscu lub filtr do wybierania zgłoszeń objętych wskaźnikiem. Załóżmy, że mamy epik bezpieczeństwa i wszystkie zgłoszenia objęte wskaźnikiem powinny być z nim powiązane jako podzgłoszenia. Niektóre zgłoszenia mogą być nieistotne i definiujemy SPI jako liczbę otwartych zgłoszeń dotyczących bezpieczeństwa o priorytecie wysokim lub krytycznym. Jeśli wartość wskaźnika przekroczy zero, powinien został zgłoszony ALARM. Można to przedstawić za pomocą następujących reguł w PREMIS:

assurance case script for processing SPI data

W niektórych przypadkach możemy chcieć dodać stan OSTRZEŻENIA (WARNING), który ma był zgłaszany, gdy wartość wskaźnika zbliży się do limitu, ale limit nie został jeszcze przekroczony.

assurance case script for processing SPI data

W zależności od ustawień argumentacji, wynik weryfikacji wartości SPI może wpływać na status wspieranego postulatu oraz innych wspieranych elementów, aż do postulatu najwyższego poziomu. Poniższy diagram przedstawia przykład, w którym pomiar SPI zaimplementowany jako dowód argumentacji dał w wyniku status OSTRZEŻENIA dla wspieranego postulatu, co następnie jest propagowane aż do postulatu najwyższego poziomu. Postulat najwyższego poziomu może zostać zaakceptowany tylko wtedy, gdy wszystkie wskaźniki SPI zgłoszą status OK.

Assurance case supported by SPI evidence

Chociaż argumentacje assurance case nie służą do śledzenia problemów z bezpieczeństwem i zarządzania ich rozwiązywaniem, powinny one utrzymywać informacje o aktualnym stan bezpieczeństwa systemu. Assurance case to żywe artefakty, a jednym z aspektów jest wykorzystanie dynamicznych dowodów, takich jak wskaźniki SPI.

Dynamiczne dowody, w tym wskaźniki SPI, są wspierane przez PREMIS. Skontaktuj się z nami, aby uzyskać więcej informacji o stosowaniu dynamicznych dowodów w assurance case.