Näytä suppeat kuvailutiedot

dc.contributor.advisorSiponen, Mikko
dc.contributor.authorVäyrynen, Aino-Maria
dc.contributor.authorRäisänen, Elina
dc.date.accessioned2020-05-28T10:40:52Z
dc.date.available2020-05-28T10:40:52Z
dc.date.issued2020
dc.identifier.urihttps://jyx.jyu.fi/handle/123456789/69275
dc.description.abstractVaatimusmäärittelyprosessin tavoitteena on kerätä ja jalostaa ratkaisuiksi tuotteen tai palvelun sidosryhmiksi tunnistettujen osapuolten ajatuksia ja tarpeita. Näiden ratkaisujen avulla poistetaan asiakkaan liiketoiminnassa olevia ongelmia ja tuotetaan lisäarvoa. Ohjelmistokehityksessä on tällä hetkellä keskeistä erityisesti ohjelmistojen turvallisuus. Sitä on tutkittu paljon, mutta sen käytäntöön vieminen on usein ongelmallista ja puutteellista. Ohjelmistojen tietoturvallisuusuhkat ja -riskit lisääntyvät jatkuvasti ja ohjelmistojen kehityksessä muodostuneita haavoittuvuuksia paikallistetaan sekä hyväksi käytetään uusin tavoin. Ohjelmistokehityksen tulisi panostaa tietoturvallisuuden osalta vaatimusmäärittelyprosessin jatkuvaan kehittämiseen. Prosessin tulee kattaa koko tuotteen elinkaari, huomioiden myös lanseerauksen jälkeiset vaiheet, joissa markkinoilla olevaa tuotetta kehitetään. Vaatimuksia on kyettävä tarkentamaan iteratiivisesti, jolloin ne pysyvät ajantasaisina ja huomioivat muutokset ohjelmiston uhkissa ja riskeissä. Tutkimustehtävänä oli luoda toimeksiantajan (iso Suomalainen fyysisten turvallisuustuotteiden valmistaja) tarpeisiin sopiva malli, jonka avulla on mahdollista implementoida tietoturvallisuus kiinteäksi osaksi ohjelmistokehitystä ja turvallisempaa ohjelmiston tuottamista. Tutki-musongelman ratkaisussa hyödynnettiin käytännönläheisen toimintatutkimusmallin kahta ensimmäistä vaihetta. Tutkimuksen aluksi luotiin työn teoreettinen perusta vaatimusmäärittelystä ja tietoturvallisuudesta, sitten aloitettiin nykytila-analyysi. Siinä selvitettiin dokumentti analyysillä toimeksiantajan organisatorista toimintaympäristöä: keskittymällä vaatimusmäärittelyn prosessimalliin ja sitä hyödyntäviin sidosryhmiin. Saatujen tietojen pohjalta laadittiin suunnitelma haastatteluun, jonka avulla kartoitettiin vaatimusmäärittelyprosessin ongelmakohtia. Saadut tulokset analysoitiin codingilla ja teemoittelemalla. Toinen osa diagnoosia oli vertailututkimus, jota hyödynnettiin parhaiden käytänteiden selvittämiseen ja oikeiden elementtien muodostamiseen. Saadut muutosideat yhdistettiin kirjallisuuskatsauksesta nousseisiin, kohdeyrityksen liiketoimintaan sopiviin käytänteisiin. Tämä kombinaatio muodosti mallin tietoturvallisempaan vaatimusmäärittelyprosessiin, joka jalkautetaan kohdeorganisaatioon. Työn uutuusarvo on se, että malli yhdistää ketterää ohjelmistokehitystä riski- ja uhkamallinnus pohjaiseen ajatteluun, jota on tutkittu vielä vähän. Lisäksi molemmat komponentit toimivat lineaarisessa vaatimusmäärittelyprosessissa.fi
dc.description.abstractThe aim of the Requirements Engineering (RE) process is to elicit and refine into a solution the ideas and needs from identified stakeholders of a product or a service. These solve problems in customer business while bringing added value. Software development’s central theme is software’s security. It has been studied abundantly but its usage and implementation are often problematic and deficient. Software threats and risks evolve continuously, and vulnerabilities from software’s development are discovered and exploited in new ways. Software development should invest into information security as a part of requirements engineering processes’ continuous development. This process should encompass the entire product lifecycle and consider post-launch phases where the on-market product is further developed. Requirements should be reviewed iteratively to keep current and adapt to the changing threats and risks in the software. The research objective was to create a suitable model for the commissioner (a large manufacturer of physical security products in Finland) which would adapt information security as an integral part of the software development and thus produce more secure software. Two stages of action re-search were applied to problem solving. The first step was to create the theoret-ical background for requirements engineering and information security. After that, the current situation analysis was initiated, and document analysis was used to map out the organizational operating environment with a focus on the requirements engineering process model and the stakeholders utilizing it. These results formed the foundation for the interviews, where the problems of the requirements engineering process were surveyed. Results were analyzed with coding and categorizing. A second part of the diagnosis was a comparative study, which was utilized to discover suitable practices to form the needed elements for the model. The resulting change recommendations from the interviews were combined with suitable practices from the field. This combination formed a model for information security in RE process and it will be later implemented by the commissioner. The model has a novelty value because it merges agile development practices with the idea of threat and risk modelling, which is still an understudied subject. Additionally, both components work as a part of a linear RE process.en
dc.format.extent125
dc.format.mimetypeapplication/pdf
dc.language.isoen
dc.subject.othersecurity requirements
dc.subject.otherturvallisuusvaatimukset
dc.titleSecure software design and development : towards practical models for implementing information security into the requirements engineering process
dc.identifier.urnURN:NBN:fi:jyu-202005283532
dc.type.ontasotPro gradu -tutkielmafi
dc.type.ontasotMaster’s thesisen
dc.contributor.tiedekuntaInformaatioteknologian tiedekuntafi
dc.contributor.tiedekuntaFaculty of Information Technologyen
dc.contributor.laitosInformaatioteknologiafi
dc.contributor.laitosInformation Technologyen
dc.contributor.yliopistoJyväskylän yliopistofi
dc.contributor.yliopistoUniversity of Jyväskyläen
dc.contributor.oppiaineTietojenkäsittelytiedefi
dc.contributor.oppiaineComputer Scienceen
dc.rights.copyrightJulkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.fi
dc.rights.copyrightThis publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.en
dc.type.publicationmasterThesis
dc.contributor.oppiainekoodi601
dc.subject.ysovaatimusmäärittelyt
dc.subject.ysotietoturva
dc.subject.ysokyberturvallisuus
dc.subject.ysoohjelmistokehitys
dc.subject.ysovaatimustenhallinta
dc.subject.ysorequirement specifications
dc.subject.ysodata security
dc.subject.ysocyber security
dc.subject.ysosoftware development
dc.subject.ysorequirements engineering
dc.format.contentfulltext
dc.type.okmG2


Aineistoon kuuluvat tiedostot

Thumbnail

Aineisto kuuluu seuraaviin kokoelmiin

Näytä suppeat kuvailutiedot