Bundesamt für Sicherheit in der Informationstechnik

M 2.546 Analyse der Anforderungen an neue Anwendungen

Verantwortlich für Initiierung: Fachverantwortliche

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter Organisation

Bevor eine neue Anwendung geplant und projektiert wird, sollten die Rahmenbedingungen für den Einsatz geklärt werden, also beispielsweise

  • welche Geschäftsprozesse sie wie unterstützen soll,
  • welche Informationen mit welchem Schutzbedarf mit ihr verarbeitet werden sollen,
  • wer auf welche Teile der Anwendung zugreifen darf und soll,
  • welche rechtlichen Rahmenbedingungen einzuhalten sind (siehe M 2.547 Ermittlung und Dokumentation der Rechtsgrundlagen für Anwendungen ),
  • wie der Informationsverbund aussieht, in dem sie eingesetzt werden soll, also beispielsweise, wie die Netzstrukturen aussehen, und
  • welche IT-Komponenten für den Betrieb der Anwendung benötigt werden, also beispielsweise Hardware-Plattform, Betriebssysteme, Datenbanken).

Es empfiehlt sich, bereits bei der initialen Planung über Bedrohungen und Risiken zu diskutieren, die beim Betrieb der Anwendung relevant sein können. Hierzu sollte eine erste Analyse durchgeführt werden, um potenzielle Angriffe und andere Risiken für Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung frühzeitig zu identifizieren. Die dokumentierten Ergebnisse zu den Sicherheitsrisiken fließen dann in die detaillierte Risikoanalyse ein, die im Zuge der Erstellung des Lastenhefts durchgeführt wird (siehe M 2.548 Erstellung eines Lastenheftes ). Auch im späteren Projektverlauf sollten mögliche Bedrohungen regelmäßig betrachtet werden, sowohl seitens der Fachverantwortlichen als auch der Entwickler, damit alle sicherheitsrelevanten Anforderungen berücksichtigt werden. Darauf aufbauend können passende Sicherheitsmaßnahmen und Testanforderungen abgeleitet werden, die in die Sicherheitsarchitektur mit einfließen.

Wenn sich während des Betriebes einer Anwendung die Rahmenbedingungen wesentlich ändern, also beispielsweise neue Serverplattformen installiert werden, müssen die Sicherheitsmaßnahmen neu bewertet werden.

Daher müssen innerhalb des Sicherheitsmanagements Prozesse aufgebaut werden, um Anwendungen sicher zu entwickeln, zu installieren, zu betreiben, zu überwachen und zu warten sowie die Administratoren und Benutzer in deren sicherer Handhabung zu trainieren.

Im Rahmen dieser Prozesse müssen die Rollen, Verantwortlichkeiten und Aufgaben für Konzeption, Aufbau und Betrieb der jeweiligen Anwendungen festgelegt werden. Darauf aufbauend können die Berechtigungen in den verschiedenen Lebenszyklusphasen einer Anwendung geeignet festgelegt werden. Außerdem sollte im Rahmen des Rollenkonzepts festgehalten werden, welche Qualifikationen erforderlich sind, um die Rollen wahrnehmen zu können. So kann auch etwaiger Schulungsbedarf identifiziert und die jeweiligen Rolleninhaber gezielt zu ihrer Sicherheitsverantwortung sensibilisiert werden.

Prüffragen:

  • Wurden die Rahmenbedingungen für den Einsatz der betrachteten Anwendungen geklärt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK