Rekomendacja D w zakresie testowania oprogramowania – analiza

May 13, 2013 Joanna Ambrozik

Na początku 2013 roku Komisja Nadzoru Finansowego wydała skierowaną do banków Rekomendację D. Dokument dotyczy bezpieczeństwa obszaru teleinformatycznego, a opisane w nim zmiany banki powinny wprowadzić do końca 2014 roku.

Specjaliści skupieni wokół Quality in IT, a więc PGS Software, testerzy.pl oraz Securing, zwrócili szczególną uwagę na wytyczne komisji odnośnie testowania oprogramowania zawarte w punkcie VII rekomendacji.

Na początek warto zaznaczyć, że rekomendacje wydawane przez KNF nie narzucają sztywnych ram prawnych, ale są zbiorem dobrych praktyk. Jednak niedostosowanie się do zaleceń komisji może doprowadzić do interwencji nadzorcy.

Rekomendacja D wynika z dynamicznego rozwoju bankowości elektronicznej i systemów teleinformatycznych w bankach. Rozwój ten skutkuje również nowymi zagrożeniami, które można zminimalizować stosując zawarte w dokumencie wytyczne.
PGS Software wraz z partnerami zapewnia usługi testowania oprogramowania, dlatego szczególnie interesujące są dla nas wytyczne odnośnie testowania aplikacji wytwarzanych w bankach i dla banków.

Punkt dotyczący bezpieczeństwa systemów można podsumować krótko stwierdzeniem, że jakość oprogramowania zaczyna się od jakości wymagań. Niskiej jakości wymagania skutkują nie tylko obniżeniem jakości kodu i scenariuszy testowych, ale co za tym idzie, zagrażają bezpieczeństwu systemu i wydłużają czas realizacji projektu. Dokument mówi też o innych elementach, na które banki powinny zwrócić uwagę. Są to: projektowanie systemu, analiza ryzyk, wewnętrzny i zewnętrzny rozwój oprogramowania, testowanie, wdrożenie oraz wycofanie oprogramowania. Punkty te, to nic innego jak opis cyklu życia oprogramowania.

Jeśli chodzi ściśle o samą metodologię testowania to składa się na nią siedem etapów.
1) Planowanie
2) Strategia testowania (dobór lub definicja)
3) Zdefiniowanie miar jakości oprogramowania
4) Kryterium odbioru oprogramowania
5) Wytworzenie scenariuszy i danych w oparciu o wymagania.
6) Uruchomienie testów
7) Raportowanie

Rekomendacja D potwierdza tylko propagowaną przez partnerów w ramach Quality in IT ideę, że testowanie nie tylko opłaca się firmom, ale jest wręcz niezbędne z punktu widzenia bezpieczeństwa danych.
Szczegółową analizę Rekomendacji D można przeczytać na poniższej prezentacji.

Opracowanie zostało przygotowane przez autorów związanych z Qualityin.IT:
Radosław Smilgin, 21CN (testerzy.pl) – definiowanie metodologii (procesów) testowania
Radoslaw.Smilgin@testerzy.pl
Wojciech Dworakowski, SecuRing – audyt i testowanie bezpieczeństwa systemów teleinformatycznych
Wojciech.Dworakowski@securing.pl
Tomasz Watras, PGS Software S.A. – outsourcing wytwarzania i testowania
TWatras@pgs-soft.com

Last posts