Bundesamt für Sicherheit in der Informationstechnik

M 2.556 Planung und Umsetzung von Test und Freigabe von Anwendungen

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Fachverantwortliche

Für einen geordneten Betriebsübergang einer Anwendung und bei wesentlichen Änderungen ist ein geeignetes Vorgehen bei Test und Freigabe erforderlich. Für die Planung und Umsetzung von Tests sowie der darauf basierenden Freigabe sind üblicherweise vier Ebenen zu berücksichtigen, bei denen jeweils andere Funktionsträger mit ihrer fachlichen Perspektive einzubeziehen sind:

  • die fachliche Ebene (Vertreten durch Fachverantwortliche)
  • die Ebene des IT-Betriebs (Vertreten durch den IT-Leiter)
  • die Ebene der Informationssicherheit (Vertreten durch den IT-Sicherheitsbeauftragten)
  • die Ebene des Datenschutzes (Vertreten durch den Datenschutzbeauftragten)

Je nach Art und Komplexität einer Anwendung können noch weitere Funktionsträger benötigt werden, z. B. die Personalvertretung.

Für alle genannten Ebenen sind Test- und Überprüfungsszenarien sowie Kriterien für die Freigabe zu entwickeln. Hierbei sollte Berücksichtigung finden:

  • Auf der fachlichen Ebene sollten die Maßnahmen M 2.62 Software-Abnahme- und Freigabe-Verfahren und M 2.83 Testen von Standardsoftware (diese Maßnahme ist auch auf Individualsoftware anwendbar) angewendet werden, die ein Vorgehen für Tests, Abnahme und Freigabe beschreiben.
  • Der IT-Betrieb sollte sicherstellen, dass die Anwendung in die IT-Infrastruktur und die IT-Betriebsabläufe integriert werden kann.
  • Die Anwendungskonzeption und der Anwendungsbetrieb müssen konform mit dem Regelwerk (Leitlinien, Richtlinien), den Konzepten (z. B. Kryptokonzept) und den Best Practices (z. B. OWASP ) zur Informationssicherheit sein. Es ist insbesondere darauf zu achten, dass die benötigten Sicherheitsfunktionen umgesetzt wurden und einwandfrei funktionieren.
  • Es muss geplant werden, dass, sofern notwendig, eine datenschutzrechtliche Freigabe eingeholt wird (siehe M 2.509 Datenschutzrechtliche Freigabe ).

Die Ergebnisse der Tests bzw. Prüfungen sind zu dokumentieren und zu bewerten. Beispielsweise können Abweichungen und Fehler in drei Kategorien hinsichtlich ihrer Kritikalität (z. B. niedrig, mittel, hoch) bewertet werden. Auf Grundlage dieser Bewertung entscheidet der Freigabeverantwortliche über die Freigabe. Der Freigabeverantwortliche ist üblicherweise die Institutionsleitung oder ein von ihr beauftragter Funktionsträger. Die Freigabe ist geeignet zu dokumentieren, insbesondere sind rechtliche Vorgaben, z. B. zur Schriftform, zu berücksichtigen (siehe auch M 2.85 Freigabe von Standardsoftware ).

Prüffragen:

  • Sind die zur Freigabe von Anwendungen durchgeführten Tests dokumentiert und die Ergebnisse bewertet?

Stand: 14. EL Stand 2014