M 2.531 Erarbeitung einer Sicherheitsrichtlinie für Web-Services

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Entwickler

Um ein angemessenes Sicherheitsniveau für einen Web-Service zu gewährleisten, muss entschieden werden, wie die erforderlichen Sicherheitsfunktionen konkret realisiert werden, und wer dafür verantwortlich ist. Um die Revisionsfähigkeit zu gewährleisten, müssen solche Entscheidungen nachvollziehbar dokumentiert sein. Diese Dokumentation erfolgt am besten in einer Sicherheitsrichtlinie, die sich in das Sicherheitsregelwerk der Institution einfügt (siehe auch M 2.338 Erstellung von zielgruppengerechten Sicherheitsrichtlinien).

Die Sicherheitsrichtlinie sollte Regelungen zu den folgenden Themen umfassen. Sofern Themenbereiche bereits in anderen Dokumenten verbindlich vorgegeben sind, genügt ein entsprechender Verweis.

Architektur und Plattformen

Übergreifende Aussagen zur Rolle von Web-Services im Rahmen der IT-Strategie

Festlegung der eingesetzten (service-orientierten) Architektur

Beschreibung der Komponenten der Architektur:

Festlegung der eingesetzten

Sicherheitsanforderungen an Web-Services

Einsatzzweck von Web-Services in der Institution

Ableitung von konkreten Anforderungen und Ausarbeitung von Vorgaben für

Management von Web-Services

Die Sicherheitsrichtlinie muss mit den beteiligten Stellen in der Institution abgestimmt und von einer dazu autorisierten Stelle offiziell in Kraft gesetzt sein. Die gültige Richtlinie muss allen betroffenen Personen bekannt und leicht zugänglich sein. Durch geeignete Prozesse und Verantwortlichkeiten muss sichergestellt werden, dass die Richtlinie bedarfsgerecht fortgeschrieben und aktualisiert wird.

Die Einhaltung der Vorgaben aus der Richtlinie muss, zum Beispiel im Rahmen von Revisionsprüfungen, regelmäßig überwacht werden.

Prüffragen: