4 Teil 5: V-Modell-Referenz Produkte
4.3 Produkte
4.3.12 IT-Organisation und Betrieb
4.3.12.4 Beitrag zum IT-Sicherheitskonzept
Vorgehensbaustein |
Sinn und Zweck
Der Beitrag zum IT-Sicherheitskonzept beschreibt, inwiefern das IT-Sicherheitskonzept des jeweiligen Informationsverbundes durch die Inbetriebnahme des im Projekt entwickelten IT-Systems aktualisiert und fortgeschrieben werden muss. Dabei müssen grundsätzlich drei Fälle unterschieden werden:
- Wird das entwickelte IT-System in einen bestehenden Informationsverbund integriert und existiert für diesen Informationsverbund bereits ein IT-Sicherheitskonzept, so beschreibt der Beitrag zum IT-Sicherheitskonzept die notwendigen Änderungen („Streiche X, setze Y, ergänze Z“).
- Wird das entwickelte IT-System in einen bestehenden Informationsverbund integriert und existiert für diesen Informationsverbund noch kein IT-Sicherheitskonzept, so ist der Beitrag zum IT-Sicherheitskonzept ein unvollständiges IT-Sicherheitskonzept, das sich lediglich auf das neu entwickelte IT-System bezieht. Es liegt dann in der Verantwortung der Organisation (Informationssicherheitsverantwortlicher), das Produkt um die weiteren Bestandteile des Informationsverbundes zu ergänzen.
- Stellt das entwickelte IT-System einen eigenen Informationsverbund dar, so ist der Beitrag zum IT-Sicherheitskonzept gleichzusetzen mit dem IT-Sicherheitskonzept dieses Informationsverbundes.
Damit umfasst der Beitrag zum IT-Sicherheitskonzept das gleiche inhaltliche Spektrum wie das IT-Sicherheitskonzept selbst. Er enthält alle an das zu entwickelnde System und den Betrieb gestellten IT-Sicherheitsanforderungen und die Maßnahmen zum Schutz der Informationen vor dem Verlust der
- Integrität,
- Vertraulichkeit und
- Verfügbarkeit,
sowie die IT-Sicherheitsanforderungen und Maßnahmen zum Schutz der technischen Anlagen zur Informationsverarbeitung und -übermittlung.
Wann ist das Produkt entscheidungsrelevant?
Entscheidungspunkt |
Wer ist beteiligt?
Verantwortlich |
|
Mitwirkend |
Es gibt keine weiteren Rollen, die bei der Erstellung des Produkts mitwirken. |
Womit kann das Produkt erstellt werden?
Werkzeuge |
|
Methoden |
Keine |
Welche Vorlagen sind verfügbar?
Vorlagen |
Produktvorlage wird generiert. |
Beispielprodukte |
Keine |
Wie erstellt man das Produkt?
Aktivität |
Beitrag zum IT-Sicherheitskonzept erstellen |
Die Erstellung des Produkts Beitrag zum IT-Sicherheitskonzept erfolgt werkzeugunterstützt mit Hilfe des Werkzeugs GSTOOL.
Welche Abhängigkeiten hat das Produkt?
Erzeugt durch |
Planung und Steuerung |
Erzeugt |
Das Produkt erzeugt keine weiteren Produkte. |
Hängt inhaltlich ab von |
Anforderungen und Analysen IT-Organisation und Betrieb
Planung und Steuerung Prüfung Systementwurf Systemspezifikationen |
4.3.12.4.1 Darstellung des Projekts, Einsatzumgebung
Das Thema enthält einen Überblick über das Projekt, den Einsatzzweck und die Einsatzumgebung des Systems sowie die Art und Weise, wie das erstellte System in den Informationsverbund integriert wird.
4.3.12.4.2 Schutzbedarf
Das Thema enthält die Ergebnisse der Risikobewertung und der Schutzbedarfsfeststellung für das zu entwickelnde System. Dies umfasst insbesondere eine Einstufung der verarbeiteten bzw. übermittelten Informationen hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.
4.3.12.4.3 Anforderungen bei der Entwicklung des Systems
Das Thema enthält überblicksartig alle Anforderungen, die bei der Entwicklung des Systems berücksichtigt werden müssen, um die IT-Sicherheit zu gewährleisten. Diese Anforderungen leiten sich aus dem Schutzbedarf ab und werden im Thema IT-Sicherheitsanforderungen und Schutzbedarf der Anforderungen (Lastenheft) detailliert dargestellt.
4.3.12.4.4 Systemarchitektur aus Sicht der IT-Sicherheit
Die Systemarchitektur ist aus Sicht der IT-Sicherheit darzustellen. Die erforderliche Infrastruktur sowie organisatorische und personelle Rahmenbedingungen sind hierfür zu dokumentieren. Für die Inhalte des Themas können die Inhalte aus dem Thema Nachweis der IT-Sicherheit in der Systemarchitektur übernommen werden.
4.3.12.4.5 Anforderungen und Maßnahmen im Systembetrieb
In diesem Thema sind die erforderlichen IT-Sicherheitsmaßnahmen, unterteilt in
- technische,
- organisatorische,
- personelle und
- materielle IT-Sicherheitsmaßnahmen,
zu beschreiben.
4.3.12.4.6 Verbleibende Risiken
Das Thema beschreibt alle Risiken und Schwachstellen für die IT-Sicherheit, die trotz aller getroffenen Maßnahmen weiterhin bestehen.
4.3.12.4.7 Notfallplan
Die erforderlichen Notfallmaßnahmen sind in diesem Thema zu dokumentieren. Hierzu gehört insbesondere die detaillierte Beschreibung der Vorgehensweise zur Wiederherstellung der Systemfunktionalität nach einem Teil- oder Totalausfall des Systems.
4.3.12.4.8 Maßnahmen zur Überprüfung der Wirksamkeit der Maßnahmen
Dieses Thema dokumentiert Vorgaben zur Überprüfung der Wirksamkeit der Maßnahmen und zur Aufrechterhaltung der IT-Sicherheit. Hierzu zählen insbesondere auch Festlegungen zu erforderlichen Schulungs- und Sensibilisierungsmaßnahmen.