Betroffene Basis-Ziele
Konkretes Ziel
Sicherstellung, dass Informationssicherheit im Rahmen des Entwicklungszyklus von Informationssystemen konzipiert und implementiert wird.
Maßnahme
Es müssen Regeln für die Entwicklung von Software und Systemen festgelegt und bei Entwicklungen innerhalb der Organisation angewandt werden.
Umsetzung
Entsprechende Regelungen finden sich in der Leitlinie für sichere Entwicklung (Wiki).
Maßnahme
Die Umsetzung von Änderungen muss einem formalen Änderungskontrollverfahren unterliegen.
Umsetzung
Änderungskontrollverfahren sind in der Änderungsmanagement-Richtlinie beschrieben.
Maßnahme
Bei einem Wechsel der Betriebsplattform müssen geschäftskritische Anwendungen geprüft und getestet werden, um sicherzustellen, dass keine negativen Auswirkungen auf die Betriebstätigkeit oder die Sicherheit der Organisation gibt.
Umsetzung
Ein Wechsel der Betriebsplattform wird durch die Geschäftsführung in enger Absprache mit der IT-Leitung eingeleitet. Essentielle Voraussetzung für den Wechsel ist die Kompatibilität der neuen Betriebsplattform mit allen relevanten Anwendungen. Dies wird vor der Einführung durch individuelle Tests und Überprüfungen verifiziert. Außerdem wird vor einem Wechsel auch die Erfordernis einer Anpassung des Business Continuity Plans evaluiert.
Ein Wechsel der Betriebsplattform von Arbeitsplatz-Rechnern wird ebenfalls zunächst nur auf einem Rechner durchgeführt und getestet. Erst dann findet der Rollout auf allen relevanten Arbeitsplatz-Rechnern statt.
Maßnahme
Von Änderungen an Software-Paketen ist abzuraten. Falls doch Änderungen vorgenommen werden, müssen diese auf das Notwendige beschränkt sein und in jeden Fall streng kontrolliert werden.
Umsetzung
Programmiertechnische Änderungen an von anderen Herstellern bezogenen Software-Paketen sind nicht existent und nicht beabsichtigt.
Maßnahme
Es sind Grundsätze für die Entwicklung sicherer Systeme festzulegen, zu dokumentieren, aufrechtzuerhalten und bei jedem Systementwicklungsvorhaben anzuwenden.
Umsetzung
Grundsätze für die Entwicklung sicherer Systeme sind in die Leitlinie für sichere Entwicklung (Wiki) eingearbeitet.
Maßnahme
Organisationen müssen eine sichere Entwicklungsumgebung für Systementwicklungen und Integrationsvorhaben, die den gesamten Zyklus der Systementwicklung abdeckt, herstellen und angemessen schützen.
Umsetzung
Die Entwicklungsumgebung besteht aus den Mitarbeitern der IT-Abteilung und den bei der Entwicklung eingesetzten Technologien und Prozessen. All diese Komponenten werden hinsichtlich ihrer Sicherheit bereits in anderen Maßnahmen und Richtlinien beschrieben. Für die Technologien und Prozesse ist vor allem die Leitlinie für sichere Entwicklung (Wiki) heranzuziehen. Für die Mitarbeiter gelten entsprechend die Maßnahmen im Bereich Personal.
Maßnahme
Die Organisation muss ausgelagerte Systementwicklungstätigkeiten beaufsichtigen und überwachen.
Umsetzung
Die grundsätzliche Zielsetzung ist Entwicklungsarbeiten primär intern stattfinden zu lassen. Sollten externe Entwicklungsdienste in Anspruch genommen werden, so gilt:
Maßnahme
Während der Entwicklung müssen die Sicherheitsvorkehrungen auf Funktion geprüft werden.
Umsetzung
Die Vertraulichkeit der Informationssysteme ist durch die Anmeldeverfahren CAS und Spring Security gewährleistet. Dessen grundsätzliche, kontinuierliche Funktionstüchtigkeit wird im Buildprozess durch Jenkins geprüft. Bei der Entwicklung neuer Features / Anwendungen sind Entwickler dazu angehalten, den CAS passend zu implementieren (siehe Leitlinie für sichere Entwicklung im Wiki).
Maßnahme
Für neue Informationssysteme, Upgrades und neue Versionen sind Abnahmeprüfungsprogramme und dazugehörige Kritierien festzulegen.
Umsetzung
Bei größeren Änderungen (in Bezug auf die Architektur, den Inhalt oder die Technologie) wird die neue Umgebung zunächst auf einem Beta-System bzw. im Parallelbetrieb auf dem Produktivsystem getestet.
Reviewdatum: 12.11.2024, Johannes Imhof