Frågor och svar
Inledning
Referenser och akronymer 
Processer
Programvarusäkerhet som disciplin ­ är inte det att tillämpa systemsäkerhetsverksamhet på programvara?
Vad är syftet med en programvarusäkerhetsverksamhet?
Vilka tekniker skall man använda för att uppnå Programvarusäkerhet

Vilka systemsäkerhetsanalysmetoder är speciellt lämpade för programvarusystem vid olika skeden i systemutvecklingen?
På vilket vis kan dessa bidra till att identifiera de olika typer av riskkällor, som kan föreligga i ett system?

Vilka systemsäkerhetsanalysmetoder är mest effektiva då det gäller att finna blottor i systemsäkerheten hos kommunikationssystem samt system baserade på bl a PLC och COTS?
Vilka programvarusäkerhetsaspekter är relevanta i samband med ILS?
I ett system med säkerhetskritisk programvara – hur upptäcks fel och hur tas dessa om hand?
Vilka säkerhetskrav skall man ställa på säkerhetskritisk programvara?
Hur skall den satta risktoleransen på systemets toppnivå mappas på programvarunivå?
Hur hantera krav på felsannolikheter i storleksordningen 10-5 eller t.o.m ned mot 10-9 per drifttimme (eller antal driftstillfällen etc) för en viss programvarudel?
Hur bestämmer man programvarans kritikalitet?
Om en anpassning av H ProgSäk redan gjorts i ett tidigare projekt, kan jag använda detta i mitt nästa projekt?
När kan det vara svårt att anpassa H ProgSäk?
Finns sätt att underlätta återanvändning av ett säkerhetskritiskt delsystem i annat system?
Vilka överväganden är väsentliga inför anskaffning av delsystem till ett nytt säkerhetkritiskt system?
Vilka projektgemensamma förberedelser kan en leverantör utföra, för att lättare kunna möta säkerhetskraven i framtida programvaruprojekt?
Hur bemöter man påståenden som:
1: ”Det spelar ingen roll vad mitt system gör, det är inte där riskerna finns”.
2: a) ”Riskkällorna ligger utanför mitt programvarusystem” alternativt:
b)
” Det finns inga riskkällor i mitt system” eller:
c)
” Eftersom säkerhetsanalys alltid startar med PHL är det inte meningsfullt att analysera mitt system”.
3: ”Systemsäkerhetsarbetet skall utgå från vad som händer om något går fel och inte orsaken till detta. Mitt program skall kunna göra vad som helst, det går ändå aldrig att få en felfri programvara”.
4: ”Vi behöver inte någon lista över programvaruriskkällor eller HAZOPs ledord för att söka avvikelser i vår systemdel. Vi har redan enhetstestat”
5: ”Vi skall alltså analysera allt ?! ”
Produkt
Programvaruspecifika egenskaper
Återanvändbar programvara
-
Allmänt
-
OS
Nyutvecklad programvara
-
System- och Programvaruarkitektur
-
Systemsäkerhetsinriktade konstruktionsprinciper
-
Riskreduktion
Produktionsmiljö
Programvaruverktyg
Standarder – Handböcker