M 2.546 Analyse der Anforderungen an neue Anwendungen

Verantwortlich für Initiierung: Fachverantwortliche

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter Organisation

Bevor eine neue Anwendung geplant und projektiert wird, sollten die Rahmenbedingungen für den Einsatz geklärt werden, also beispielsweise

Es empfiehlt sich, bereits bei der initialen Planung über Bedrohungen und Risiken zu diskutieren, die beim Betrieb der Anwendung relevant sein können. Hierzu sollte eine erste Analyse durchgeführt werden, um potenzielle Angriffe und andere Risiken für Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung frühzeitig zu identifizieren. Die dokumentierten Ergebnisse zu den Sicherheitsrisiken fließen dann in die detaillierte Risikoanalyse ein, die im Zuge der Erstellung des Lastenhefts durchgeführt wird (siehe M 2.548 Erstellung eines Lastenheftes). Auch im späteren Projektverlauf sollten mögliche Bedrohungen regelmäßig betrachtet werden, sowohl seitens der Fachverantwortlichen als auch der Entwickler, damit alle sicherheitsrelevanten Anforderungen berücksichtigt werden. Darauf aufbauend können passende Sicherheitsmaßnahmen und Testanforderungen abgeleitet werden, die in die Sicherheitsarchitektur mit einfließen.

Wenn sich während des Betriebes einer Anwendung die Rahmenbedingungen wesentlich ändern, also beispielsweise neue Serverplattformen installiert werden, müssen die Sicherheitsmaßnahmen neu bewertet werden.

Daher müssen innerhalb des Sicherheitsmanagements Prozesse aufgebaut werden, um Anwendungen sicher zu entwickeln, zu installieren, zu betreiben, zu überwachen und zu warten sowie die Administratoren und Benutzer in deren sicherer Handhabung zu trainieren.

Im Rahmen dieser Prozesse müssen die Rollen, Verantwortlichkeiten und Aufgaben für Konzeption, Aufbau und Betrieb der jeweiligen Anwendungen festgelegt werden. Darauf aufbauend können die Berechtigungen in den verschiedenen Lebenszyklusphasen einer Anwendung geeignet festgelegt werden. Außerdem sollte im Rahmen des Rollenkonzepts festgehalten werden, welche Qualifikationen erforderlich sind, um die Rollen wahrnehmen zu können. So kann auch etwaiger Schulungsbedarf identifiziert und die jeweiligen Rolleninhaber gezielt zu ihrer Sicherheitsverantwortung sensibilisiert werden.

Prüffragen: