Bundesamt für Sicherheit in der Informationstechnik

M 2.552 Erstellung eines Pflichtenheftes

Verantwortlich für Initiierung: Fachverantwortliche, Leiter Organisation

Verantwortlich für Umsetzung: Fachverantwortliche

Ein Pflichtenheft beschreibt, wie das Lastenheft technisch umgesetzt werden soll. In der Regel gibt der Auftraggeber, also z. B. die verantwortliche Fachabteilung, das Lastenheft vor. Darauf aufbauend erarbeitet die (interne oder externe) Entwicklungsabteilung, die die Anwendung erstellen soll, das Pflichtenheft, in dem die technische Umsetzung der Anforderungen des Lastenhefts ausformuliert wird. Das Pflichtenheft muss vom Auftraggeber daraufhin überprüft werden, ob alle Anforderungen aus dem Lastenheft so abgebildet werden, dass die angestrebten Entwicklungsziele erreicht werden können. Es ist sinnvoll, dabei das Sicherheitsmanagement mit einzubinden, um zu gewährleisten, dass die auch die formulierten Sicherheitsziele erreicht werden.

Dabei sind mindestens die folgenden Aspekte zu berücksichtigen:

Beschreibung der fachlichen Anforderungen

Es ist detailliert zu beschreiben, wie die fachlichen Anforderungen umgesetzt werden sollen ( z. B. Workflows, Dialoge, Bearbeitungsmasken, Datenstrukturen).

Einbettung in den Informationsverbund

Es sollte im Pflichtenheft ausgearbeitet werden, wie sich die Anwendung in den Informationsverbund einpassen wird bzw. welche Anpassungen durchzuführen sind. Dazu ist beispielsweise zu klären, welche und wie viele Betriebsumgebungen (Entwicklung, Test, Qualitätssicherung, Produktion etc.) benötigt werden und wie sie infrastrukturell umgesetzt werden sollen (z. B. unter Nutzung virtueller Maschinen (VM) oder Terminalserver-Dienste).

Planung der Einführung einer Anwendung

Die Einführung der neuen Anwendung ist zu planen. Hierfür sind im Pflichtenheft unter anderem folgende Punkte zu berücksichtigen:

  • Bevor eine Anwendung in den Echtbetrieb übernommen werden darf, muss sie getestet und freigegeben werden. Im Pflichtenheft sind mindestens die geplanten Abläufe und Kriterien für die Tests und Freigaben zu nennen. Es hat sich als zweckmäßig erwiesen, im Pflichtenheft zumindest die für eine erfolgreiche Freigabe kritischen Testszenarien zu beschreiben (siehe Test und Freigabe, M 2.83 Testen von Standardsoftware und M 2.62 Software-Abnahme- und Freigabe-Verfahren ).
  • Migration: Wenn durch die neue Anwendung eine bestehende Anwendung abgelöst wird, müssen Geschäftsprozesse und die IT-Umgebung angepasst und Datenbestände in die neue Anwendung migriert werden. Die Migrationsphase ist erfahrungsgemäß immer besonders sicherheitskritisch und muss sorgfältig vorbereitet und durchgeführt werden. Gegen Ende der Migrationsphase müssen auch die zugehörigen Daten in die neue Anwendung und die dort verwendeten Datenformate übertragen werden. Weitere Hinweise finden sich auch in M 2.319 Migration eines Servers . Wertvolle Hinweise zur Planung des Vorgehens bei der Migration von Anwendungen gibt der Migrationsleitfaden der Beauftragten der Bundesregierung für Informationstechnik.

Sicherheitsfunktionen in der Anwendung:

Es muss festgelegt werden, welche Sicherheitsfunktionen die Anwendung enthalten soll und wie diese realisiert werden sollen (siehe auch M 4.42 Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung ). Diese können beinhalten:

Des Weiteren sind die Anforderungen an Form, Sprache, Tiefe und ggf. auch die Auslieferungszeitpunkte der Quellcodedokumentation sowie an Aufbau, Inhalt und Format (Papier, PDF-Dokument, Online-Hilfe) der Handbücher zu formulieren.

Dabei ist zu beschreiben, welche der an der Einführung der neuen Anwendung beteiligten Institutionen (Auftraggeber, Dienstleister etc.) welche der beschriebenen Aufgaben wahrnimmt.

Außerdem sollte ein Protokollierungskonzept erstellt werden, in dem festgelegt wird, welche Ereignisse in der Anwendung auf welche Art protokolliert werden sollen und wie mit den Protokolldaten umgegangen wird (siehe M 2.500 Protokollierung von IT-Systemen ). Dabei sind unter anderem die folgenden Aspekte zu berücksichtigen:

  • Welche Ereignisse sollen wie protokolliert werden?
  • Wie wird die Löschung nicht mehr benötigter Protokolldaten umgesetzt?
  • Wie soll der Zugriff auf die Protokolldaten abgesichert werden? Ist eine revisionssichere Speicherung erforderlich?
  • Sollen zur Unterstützung der Auswertung standardisierte Reports eingesetzt werden?
  • Sollen bei bestimmten, protokollierten Ereignissen in der Anwendung weitere Ereignisse ausgelöst werden (Einsatz von Security Incident und Event Monitoring, SIEM)?

Da bei der Protokollierung immer auch personenbezogene Daten anfallen, müssen hierbei auch die Vorgaben des Datenschutzes berücksichtigt werden (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ).

Prüffragen:

  • Wurden bei der Erstellung des Pflichtenheftes fachliche Anforderungen sowie Vorgaben hinsichtlich der Architektur und IT-Infrastruktur, Vorgaben zur Einführung der Anwendungen und benötigte Sicherheitsfunktionen ausreichend berücksichtigt?

Stand: 14. EL Stand 2014