Bundesamt für Sicherheit in der Informationstechnik

M 2.531 Erarbeitung einer Sicherheitsrichtlinie für Web-Services

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Entwickler

Um ein angemessenes Sicherheitsniveau für einen Web-Service zu gewährleisten, muss entschieden werden, wie die erforderlichen Sicherheitsfunktionen konkret realisiert werden, und wer dafür verantwortlich ist. Um die Revisionsfähigkeit zu gewährleisten, müssen solche Entscheidungen nachvollziehbar dokumentiert sein. Diese Dokumentation erfolgt am besten in einer Sicherheitsrichtlinie, die sich in das Sicherheitsregelwerk der Institution einfügt (siehe auch M 2.338 Erstellung von zielgruppengerechten Sicherheitsrichtlinien ).

Die Sicherheitsrichtlinie sollte Regelungen zu den folgenden Themen umfassen. Sofern Themenbereiche bereits in anderen Dokumenten verbindlich vorgegeben sind, genügt ein entsprechender Verweis.

Architektur und Plattformen

Übergreifende Aussagen zur Rolle von Web-Services im Rahmen der IT-Strategie

Festlegung der eingesetzten (service-orientierten) Architektur

Beschreibung der Komponenten der Architektur:

  • Beteiligte Systeme
  • Beteiligte Softwarekomponenten
  • Einsatz von Verzeichnissen (Registries und Repositories)
  • Einsatz eines Enterprise Service Bus
  • Einsatz von Sicherheitskomponenten ( XML -Firewalls, Protokollserver und ähnliches), Einbeziehung von Sicherheits-Diensten Dritter
  • Einsatz von Identitäts-Diensten und Authentisierungs- oder Autorisierungsdiensten

Festlegung der eingesetzten

  • Produkte,
  • Programmiersprachen und Ablaufumgebungen,
  • XML -Schemata,
  • Standards und
  • Protokolle.

Sicherheitsanforderungen an Web-Services

Einsatzzweck von Web-Services in der Institution

  • resultierende Anforderungen an die Vertraulichkeit, Verfügbarkeit und Integrität
  • gegebenenfalls Definition von verschiedenen Sicherheitsklassen je nach Schutzbedarf
  • Berücksichtigung der Sicherheitsanforderungen Dritter (zum Beispiel externer Consumer des Web-Service, siehe M 2.532 Anbieten von Web-Services für Dritte )

Ableitung von konkreten Anforderungen und Ausarbeitung von Vorgaben für

  • die Authentisierung (Authentisierungsverfahren, Einbindung Dritter, Föderation),
  • die Autorisierung,
  • die Datenhaltung und -integrität,
  • die Realisierung von Schnittstellen (Anbindung von Backend-Systemen, Einsatz eines Enterprise Service Bus, eingesetzte Protokolle)
  • die Verschlüsselung der Kommunikation/der XML -Nachrichten und der Datenhaltung
  • die Integritätssicherung der Kommunikation/der XML -Nachrichten und der Daten,
  • das Schlüssel- und Zertifikatsmanagement (Anbindung an PKI , Nutzung von Zertifikaten Dritter, Sicherung der kryptographischen Schlüssel)
  • die Orchestrierung und Choreographie der Web-Services zur Erfüllung übergreifender Geschäftsfunktionen,
  • die Datensicherung,
  • die Skalierbarkeit,
  • die Ausfallsicherheit,
  • die Protokollierung und
  • die Dokumentation.

Management von Web-Services

  • Entwicklungsvorgaben,
  • Test- und Freigabeverfahren,
  • Lebenszyklus-Management,
  • Klare Festlegung von Verantwortlichen für jeden Web-Service und jedes beteiligte System, klare Abgrenzung bei einer Verteilung der Verantwortung auf mehrere Bereiche oder Personen (zum Beispiel Entwicklung und Betrieb, Plattform und Web-Service),
  • Umsetzung des Benutzer- und Rechtemanagements (Abläufe, Zuständigkeiten, Dokumentation)
  • Schulung und Weiterbildung des eingesetzten Personals (Entwickler, Administratoren) einschließlich Sensibilisierungsmaßnahmen für die Sicherheit
  • Auswertung sicherheitsrelevanter Ereignisse
  • Durchführung von regelmäßigen Audits
  • Notfallplanung für Web-Services (siehe auch M 6.154 Notfallmanagement für Web-Services ).

Die Sicherheitsrichtlinie muss mit den beteiligten Stellen in der Institution abgestimmt und von einer dazu autorisierten Stelle offiziell in Kraft gesetzt sein. Die gültige Richtlinie muss allen betroffenen Personen bekannt und leicht zugänglich sein. Durch geeignete Prozesse und Verantwortlichkeiten muss sichergestellt werden, dass die Richtlinie bedarfsgerecht fortgeschrieben und aktualisiert wird.

Die Einhaltung der Vorgaben aus der Richtlinie muss, zum Beispiel im Rahmen von Revisionsprüfungen, regelmäßig überwacht werden.

Prüffragen:

  • Sind die in dieser Maßnahme aufgeführten Themenbereiche in einem geeigneten Dokument geregelt?

  • Sind die Vorgaben in der Institution verbindlich (Freigabe der Regelungen)?

  • Ist die Aktualisierung und Pflege der Regelungen in einem angemessenen Zyklus sichergestellt?

  • Wird die Einhaltung der Vorgaben regelmäßig in angemessener Form überprüft?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK