Bundesamt für Sicherheit in der Informationstechnik

M 6.160 Notfallvorsorgekonzept für SOA-Umgebungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Fällt in einer serviceorientierten Architektur (SOA) zum Beispiel ein Service-Provider aus, kann sich das schwerwiegend auf die Geschäftsprozesse einer Institution auswirken. Dann geht es darum, schnellstmöglich den ordnungsgemäßen Betrieb wieder aufzunehmen und geeignete Sicherheitsmaßnahmen durchzuführen. Unter Berücksichtigung des übergreifenden Notfallmanagements (siehe B 1.3 Notfallmanagement sowie M 6.83 Notfallvorsorge beim Outsourcing ) ist ein geeignetes Notfallvorsorgekonzept für SOA-Umgebungen zu erstellen. Dafür sollten zunächst alle möglichen Risiken analysiert, bewertet und zusammen mit den jeweiligen Sicherheitsmaßnahmen dokumentiert werden.

Da in SOA-Umgebungen mitunter besondere Bedingungen vorliegen, müssen diese auch im Konzept berücksichtigt werden. So ist beispielsweise nicht nur die Verfügbarkeit sicherzustellen, sondern auch periodisch zu überprüfen, ob Dienste noch berechtigt registriert sind. Unberechtigte Dienste sind im Verzeichnis zu löschen.

Zudem sollte ein Betriebshandbuch erarbeitet werden, das auch den Notbetrieb in einem Business Continuity Plan regelt. Es berücksichtigt die Besonderheiten einer SOA-Umgebung, analysiert die Risiken für das Eintreten schwerwiegender Schäden und enthält Empfehlungen zu Notfallmaßnahmen.

Prüffragen:

  • Gibt es ein Notfallvorsorgekonzept für SOA-Umgebungen?

Stand: 15. EL Stand 2016