Bundesamt für Sicherheit in der Informationstechnik

M 2.486 Dokumentation der Architektur von Webanwendungen und Web-Services

Verantwortlich für Initiierung: Verantwortliche der einzelnen Anwendungen, Leiter Entwicklung

Verantwortlich für Umsetzung: Administrator, Entwickler

Das Verständnis der Software-Architektur einer Webanwendung beziehungsweise eines Web-Service ist notwendig, um diese effizient und fehlerfrei zu warten, zu entwickeln und zu erweitern. Neben der systemspezifischen Dokumentation (siehe zum Beispiel M 2.25 Dokumentation der Systemkonfiguration , M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile und M 2.34 Dokumentation der Veränderungen an einem bestehenden System ) sind bei der Dokumentation von Webanwendungen und Web-Services einige Besonderheiten zu berücksichtigen.

Die Dokumentation muss alle Bestandteile berücksichtigen. Dabei sollten mindestens folgende Punkte durch die spezifische Dokumentation abgedeckt werden:

  • Alle Abhängigkeiten (zum Beispiel zu Frameworks, Bibliotheken, Betriebssystemen, Hardware) und Schnittstellen (zum Beispiel zu Hintergrundsystemen) sollten dokumentiert werden. Bei Web-Services muss auch die Interaktion mit anderen Web-Services dokumentiert werden.
  • Für den Betrieb notwendige Komponenten, die nicht Bestandteil der Webanwendung oder des Web-Service sind, müssen als solche gekennzeichnet werden (zum Beispiel Hintergrundsysteme wie eine Datenbank).
  • Aus der Dokumentation muss hervorgehen, welche Komponenten Sicherheitsmechanismen umsetzen. Im Folgenden sind die Sicherheitsfunktionen von Webanwendungen und Web-Services aufgeführt, die mindestens berücksichtigt werden sollten:
    • Benutzermanagement,
    • Rollen- und Berechtigungskonzept,
    • Authentisierung,
    • Autorisierung,
    • Session-Management,
    • Protokollierung und
    • Transportsicherheit.
  • Die Integration in eine gegebenenfalls bestehende Netzinfrastruktur muss in der Dokumentation behandelt werden. Hierbei ist die Maßnahme M 5.169 Systemarchitektur einer Webanwendung zu beachten.
  • Die eingesetzten kryptographischen Funktionen und Verfahren müssen dokumentiert sein, siehe Baustein B 1.7 Kryptokonzept .

Die Dokumentation sollte während des Projektverlaufs aktualisiert und angepasst werden, sodass sie schon während der Entwicklungstätigkeit genutzt werden kann und Entscheidungsfindungen dokumentiert sind.

Prüffragen:

  • Ist die Software-Architektur der Webanwendung beziehungsweise des Web-Service mit allen Bestandteilen und Abhängigkeiten dokumentiert?

  • Werden für den Betrieb notwendige Komponenten, die nicht Bestandteil der Webanwendung beziehungsweise des Web-Service sind, als solche gekennzeichnet?

  • Ist eine Zuordnung umgesetzter Sicherheitsmechanismen zu den Komponenten der Webanwendung beziehungsweise des Web-Service dokumentiert?

  • Berücksichtigt die Dokumentation eine Integration der Webanwendung beziehungsweise des Web-Service in bestehende Netzinfrastruktur?

  • Sind die eingesetzten kryptographischen Funktionen und Verfahren dokumentiert?

  • Erfolgt die Dokumentation der Architektur einer Webanwendung beziehungsweise eines Web-Service bereits während der Entwicklungstätigkeit?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK