Путаница с таблицей нефункциональных требований для конфиденциальности данных

Question

Путаница с таблицей нефункциональных требований для конфиденциальности данных

У меня есть приведенная ниже таблица для анализа нефункциональных требований, и мне интересно, подходит ли приведенная ниже таблица для моего проекта. Предположим, что это очень важный качественный сценарий, и его следует рассматривать как NFR (раздел нефункциональных требований). Интересно, как тестер это проверит, так как допуск должен соответствовать требованиям для успеха проекта. Должен ли я переместить это в QA или NFR?

NFR_01: Безопасность: конфиденциальность данных пользователей PII

1. Описание: конфиденциальность личной информации пользователей, предпочтений и данных истории должна быть очень высокой. Система должна максимально защищать конфиденциальность данных.

2. Окружающая среда: система уже работает, происходит нежелательный доступ к конфиденциальным данным

3. Стимул: внешнее юридическое лицо или внутреннее неавторизованное юридическое лицо

4. Ответ: Система должна защищать конфиденциальность данных, и несанкционированный доступ должен быть запрещен.

5. Измерьте:[конфиденциальность данных PII пользователей] = [100 - [количество атак, совершенных атакующим] / [общее количество атак]]

6. Пособие:[конфиденциальность данных PII пользователей] >= 99,999

0

testing attributes qa software-quality

Источник

user1084174 05 фев '19 в 13:36

1 ответ

Решение

Другие вопросы по тегам testing attributes qa software-quality

user10435323 05 фев '19 в 14:11 2019-02-05 14:11 · Accepted Answer · 2019-02-05 14:11

Задача выглядит сложной и очень высокого уровня, без точных критериев приемлемости.

Во-первых, вам нужно выявить все уязвимости (я бы создал задачу для исследования QA, в идеале для этого вам понадобится специальный эксперт по безопасности).

Затем проанализируйте и оцените все проблемы, сгруппируйте их по необходимости, если необходимо. Это должно быть сделано экспертом по безопасности, разработчиком и продуктом. И затем каждый вопрос должен рассматриваться отдельно, следуя обычному процессу SDLC.

Мера: даже если есть уязвимости, чаще всего нет атак. Лично мне не нравится метрика, это просто еще один способ обмана. Но если вы действительно хотите произвести на кого-то впечатление - используйте сумму денег, которую можно потратить на оплату штрафов.
Допуск: Никакой контроль качества не может гарантировать отсутствие дефектов на 99%. Если я не ошибаюсь, лучшее, что может дать независимый аудит, - 95%, но это очень дорого и очень тщательное тестирование.