4 Teil 5: V-Modell-Referenz Produkte

4.3 Produkte

4.3.12 IT-Organisation und Betrieb

4.3.12.4 Beitrag zum IT-Sicherheitskonzept

Vorgehensbaustein

IT-Sicherheit

Sinn und Zweck

Der Beitrag zum IT-Sicherheitskonzept beschreibt, inwiefern das IT-Sicherheitskonzept des jeweiligen Informationsverbundes durch die Inbetriebnahme des im Projekt entwickelten IT-Systems aktualisiert und fortgeschrieben werden muss. Dabei müssen grundsätzlich drei Fälle unterschieden werden:

Damit umfasst der Beitrag zum IT-Sicherheitskonzept das gleiche inhaltliche Spektrum wie das IT-Sicherheitskonzept selbst. Er enthält alle an das zu entwickelnde System und den Betrieb gestellten IT-Sicherheitsanforderungen und die Maßnahmen zum Schutz der Informationen vor dem Verlust der

sowie die IT-Sicherheitsanforderungen und Maßnahmen zum Schutz der technischen Anlagen zur Informationsverarbeitung und -übermittlung.

Wann ist das Produkt entscheidungsrelevant?

Entscheidungspunkt

Systembetrieb freigegeben

Wer ist beteiligt?

Verantwortlich

Technikkoordinator

Mitwirkend

Es gibt keine weiteren Rollen, die bei der Erstellung des Produkts mitwirken.

Womit kann das Produkt erstellt werden?

Werkzeuge

GSTOOL

Methoden

Keine

Welche Vorlagen sind verfügbar?

Vorlagen

Produktvorlage wird generiert.

Beispielprodukte

Keine

Wie erstellt man das Produkt?

Aktivität

Beitrag zum IT-Sicherheitskonzept erstellen

Die Erstellung des Produkts Beitrag zum IT-Sicherheitskonzept erfolgt werkzeugunterstützt mit Hilfe des Werkzeugs GSTOOL.

Welche Abhängigkeiten hat das Produkt?

Erzeugt durch

Planung und Steuerung

Erzeugt

Das Produkt erzeugt keine weiteren Produkte.

Hängt inhaltlich ab von

Anforderungen und Analysen

IT-Organisation und Betrieb

Planung und Steuerung

Prüfung

Systementwurf

Systemspezifikationen

4.3.12.4.1 Darstellung des Projekts, Einsatzumgebung

Das Thema enthält einen Überblick über das Projekt, den Einsatzzweck und die Einsatzumgebung des Systems sowie die Art und Weise, wie das erstellte System in den Informationsverbund integriert wird.

4.3.12.4.2 Schutzbedarf

Das Thema enthält die Ergebnisse der Risikobewertung und der Schutzbedarfsfeststellung für das zu entwickelnde System. Dies umfasst insbesondere eine Einstufung der verarbeiteten bzw. übermittelten Informationen hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

4.3.12.4.3 Anforderungen bei der Entwicklung des Systems

Das Thema enthält überblicksartig alle Anforderungen, die bei der Entwicklung des Systems berücksichtigt werden müssen, um die IT-Sicherheit zu gewährleisten. Diese Anforderungen leiten sich aus dem Schutzbedarf ab und werden im Thema IT-Sicherheitsanforderungen und Schutzbedarf der Anforderungen (Lastenheft) detailliert dargestellt.

4.3.12.4.4 Systemarchitektur aus Sicht der IT-Sicherheit

Die Systemarchitektur ist aus Sicht der IT-Sicherheit darzustellen. Die erforderliche Infrastruktur sowie organisatorische und personelle Rahmenbedingungen sind hierfür zu dokumentieren. Für die Inhalte des Themas können die Inhalte aus dem Thema Nachweis der IT-Sicherheit in der Systemarchitektur übernommen werden.

4.3.12.4.5 Anforderungen und Maßnahmen im Systembetrieb

In diesem Thema sind die erforderlichen IT-Sicherheitsmaßnahmen, unterteilt in

zu beschreiben.

4.3.12.4.6 Verbleibende Risiken

Das Thema beschreibt alle Risiken und Schwachstellen für die IT-Sicherheit, die trotz aller getroffenen Maßnahmen weiterhin bestehen.

4.3.12.4.7 Notfallplan

Die erforderlichen Notfallmaßnahmen sind in diesem Thema zu dokumentieren. Hierzu gehört insbesondere die detaillierte Beschreibung der Vorgehensweise zur Wiederherstellung der Systemfunktionalität nach einem Teil- oder Totalausfall des Systems.

4.3.12.4.8 Maßnahmen zur Überprüfung der Wirksamkeit der Maßnahmen

Dieses Thema dokumentiert Vorgaben zur Überprüfung der Wirksamkeit der Maßnahmen und zur Aufrechterhaltung der IT-Sicherheit. Hierzu zählen insbesondere auch Festlegungen zu erforderlichen Schulungs- und Sensibilisierungsmaßnahmen.