EDUCATION · SYSTEMS ANALYSIS

🔍 Sistēmanalīze - vizuāli piemēri

Piecas sistēmanalīzes metodes ar diagrammām: SDLC fāzes, ieinteresētās puses, prasību hierarhija, Use Case un gap analīze. Piemēri ir izdomāti, paredzēti mācībām.

Programmatūras izstrādes dzīves cikls

SDLC - Septiņas fāzes (Waterfall vs Iterative)

SDLC seven phases Septiņas SDLC fāzes - planning, requirements, design, implementation, testing, deployment, maintenance. SDLC - Systems Development Life Cycle Septiņas fāzes ar Agile atgriezeniskās saites cilpu 1. Planning feasibility + scope 2. Requirements SRS · NFR use cases 3. Design architecture UI · data 4. Implementation coding code review 5. Testing unit · integ UAT 6. Deployment release rollout 7. Maintenance patches support ⇢ Agile / Iterative feedback loop ▶ Waterfall (lineārā secība) ⇢ Agile / Iterative (atgriezeniskā saite) ISO/IEC/IEEE 12207:2017

Pielietojums

Lai sakārtotu programmatūras izstrādes gaitu. Waterfall der, kad prasības ir skaidras un nemainīgas; Agile - kad prasības mainās un vērtību grib piegādāt pa daļām.

Atsauces

ISO/IEC/IEEE 12207:2017 · NIST SP 800-64 Rev. 2 · CMMI v2.0 · ISO/IEC/IEEE 15288:2023 (Systems life cycle).

Drošības integrācija

Par drošību jādomā jau 2. fāzē, ne tikai beigās. “Shift-Left” princips (Secure by Design, NIST SSDF) drošības pārbaudes iekļauj visās fāzēs.

Ieinteresēto pušu analīze

Stakeholder Power/Interest Matrix (Mendelow 1991)

Stakeholder power/interest matrix Mendelow 2x2 matrix mapping stakeholder power against interest level. Stakeholder Power / Interest Matrix Mendelow 2×2 sadalījums pēc varas un intereses līmeņa POWER · varas līmenis → INTEREST · intereses līmenis → KEEP SATISFIED augsta vara · zema interese MANAGE CLOSELY augsta vara · augsta interese MONITOR zema vara · zema interese KEEP INFORMED zema vara · augsta interese Padome / Sponsori Regulators (CERT.LV) Projekta vadītājs Galvenais klients Plašā sabiedrība Gala lietotāji Domēna eksperti Mendelow A. (1991) - Stakeholders of the Organization · saskaņots ar PMI PMBOK 6 (13.1.2.6) un IIBA BABOK v3 (10.7).

Pielietojums

Projekta sākumā, pirms prasību vākšanas. Pārskata atkārtoti, kad mainās organizācija vai prioritātes.

Atsauces

PMI PMBOK Guide v6 (13. nodaļa) · ISO 21500:2021 (Project management) · IIBA BABOK Guide v3 (10.7 Stakeholder List).

Drošības stakeholders

DPO, CERT.LV un regulators parasti ir “Keep Satisfied” stūrī - liela ietekme, bet ikdienā maz iesaistās. Tos formāli informē pie izmaiņām (NIS2: paziņošana 24/72 h).

Prasību hierarhija

Functional vs Non-Functional Requirements (IEEE 830)

Requirements hierarchy pyramid 4-layer pyramid: Business → User → Functional → Non-Functional, with cyb3r.help examples. Prasību hierarhija IEEE 830-1998 · ISO/IEC/IEEE 29148:2018 · 4 abstrakcijas līmeņi Business User Requirements Functional Requirements Non-Functional (NFR) FURPS+ · ISO/IEC 25010 Kāpēc? Kam? Ko? Cik labi? PIEMĒRS · cyb3r.help Business Atvieglot drošības speciālistu atrašanu User Meklēšana pēc kategorijas un reģiona Functional Atslēgvārds → 20 rezultāti/lpp. Non-Functional <300ms · 99.9% uptime · MFA · NIS2 FURPS+ (Grady 1992) · ISO/IEC 25010:2023 papildina ar Security · Compatibility · Portability. NIS2 21. p.: drošība (auth · šifrēšana · audit) - explicit NFR prasību fāzē, ne pēc deploy.

Pielietojums

Veidojot prasību dokumentu (SRS) pirms arhitektūras. Hierarhija dod kopēju valodu biznesam, lietotājiem un izstrādātājiem.

Atsauces

IEEE 830-1998 · ISO/IEC/IEEE 29148:2018 (Requirements engineering) · ISO/IEC 25010:2023 (System quality model) · FURPS+ (Grady 1992).

NFR un drošība

Autentifikācija, šifrēšana un audit log ir nefunkcionālās prasības (NFR), ne funkcijas. Tās bieži aizmirst, bet NIS2 21. p. prasa skaidri pierakstīt.

Lietošanas gadījumu diagramma

UML Use Case - sludinājumu platformas piemērs

Use case diagram 3 actors with inheritance, 8 use cases inside system boundary. UML Use Case Diagram cyb3r.help - sludinājumu platformas aktori un to interakcijas cyb3r.help (sistēma) Apmeklētājs Reģistrēts lietotājs «extends» Admin Skatīt sludinājumus Meklēt pēc kategorijas Reģistrēties Publicēt sludinājumu Apmaksāt plānu Komentēt Vērtēt sniedzēju Moderēt saturu «include» stick → aktors · ellipse → use case · taisne → asociācija · ─▷ → «extends» (mantojums) · ─⬞→ «include» (atkarība)

Pielietojums

Vācot prasības, kad jānoskaidro, kas (aktori) un kā lieto sistēmu. Attēls ir saprotamāks par garu tekstu - vieglāk pārbaudīt ar lietotājiem.

Atsauces

UML 2.5.1 (OMG 2017) · Cockburn A. (2001) - Writing Effective Use Cases · Jacobson I. (2011) - Use Case 2.0 (slices, narratives).

Misuse cases

Diagrammu papildina ar “misuse cases” - kā uzbrucējs varētu sistēmu izmantot ļaunprātīgi. Tas ir drošības domāšanas pamats.

Gap analīze

Gap Analysis - pašreizējais (AS-IS) → vēlamais (TO-BE)

Gap analysis diagram 3 equal-width columns: AS-IS, GAP (actions + resources), TO-BE - with transition arrows. Gap Analysis - AS-IS → TO-BE Pašreizējā vs vēlamā stāvokļa salīdzinājums ar darbībām un resursiem plaisas slēgšanai AS-IS (pašreizējais stāvoklis) ✗ Manuāls Excel reģistrs ✗ Nav vienota kataloga ✗ MFA tikai 30% kontiem ✗ Bez audit log ✗ Maksājumi pa e-pastu ✗ Tikai LV valoda ✗ Backup 1×nedēļā ✗ Nav incidenta plāna ✗ Nav NIS2 atbilstības ✗ Sertifikāti manuāli GAP (plaisas slēgšanas plāns) ⚙ DARBĪBAS → Argon2id + MFA visiem → Auditlog (12 mēn. glabāš.) → Klix maksājumi (RSA paraksts) → NIS2 21. p. compliance plāns → Backup PITR + ikdienas 💰 RESURSI → Laiks: ~3 mēneši → 2 FTE inženieri → ~5 k EUR infra/gadā → 0.5 FTE apmācība/mēn. → ~3 k EUR audits → DPO outsource: ~2 k/gadā TO-BE (vēlamais stāvoklis) ✓ Wagtail CMS + DB ✓ Vienots LV/EN katalogs ✓ MFA 100% adminiem ✓ django-auditlog ✓ Klix maksājumi ✓ LV + EN (GT widget) ✓ Backup 1×dienā (PITR) ✓ IR runbook + Sentry ✓ NIS2 21. p. ievēroti ✓ Auto SSL renewal Saskaņots ar Lewin K. (1947) - Force Field Analysis · McKinsey 7S · SWOT · PEST. NIS2 atbilstības gap analīze: salīdzina kontroles pret 21. p. 2. punkta a)–j) apakšpunktiem.

Pielietojums

Plānojot stratēģiju vai gatavojoties auditam. Parāda, kas trūkst, kāpēc un cik resursu vajag, lai nokļūtu līdz vēlamajam stāvoklim.

Atsauces

IIBA BABOK Guide v3 (6.3 Strategy analysis) · ISO/IEC 27003:2017 (ISMS implementation) · McKinsey 7S · Lewin K. (1947) Force Field Analysis.

NIS2 atbilstība

Gap analīze salīdzina esošās kontroles ar NIS2 21. p. prasībām. Par neatbilstību var sodīt līdz 10 M EUR vai 2% no gada apgrozījuma.