Ein Überblick über Anhang A.14: Systemerwerb, Entwicklung und Wartung

Was ist Anhang A.14?

Anhang A.14 enthält nicht nur Maßnahmen für den Anschaffungsprozess neuer Systeme, sondern stellt außerdem Kriterien für den Test neuer Systeme vor deren Einsatz in der Organisation bereit. Diese Maßnahmen sollen zudem gewährleisten, dass die Sicherheitsanforderungen des neuen Systems beurteilt, bestimmt und gemessen werden.

Bei der Entwicklung eines neuen Produkts ist es üblich, dass Organisationen die funktionsbezogenen und nicht funktionsbezogenen Anforderungen eines neuen Systems ermitteln. Anhang A.14 fasst die Erwartungen einer Organisation an die Gestaltung und die Funktionen des Systems zusammen. Durch einen Abgleich mit den Systemspezifikationen können Organisationen schon vor dem Erwerb oder der Erstellung eines neuen Systems überprüfen, dass es ihre Bedürfnisse erfüllt. An diesem Punkt sollten Sie ermitteln, welche Art von Sicherheitsmaßnahmen Sie benötigen. 

Anhang A.14 enthält drei übergeordnete Maßnahmen, und jede davon hat eine Zielsetzung, welche die Einrichtung eines erfolgreichen ISMS und die Erlangung der ISO 27001-Zertifizierung ermöglichen soll.

Was ist das Ziel von Anhang A.14?

Im Großen und Ganzen geht es in Anhang A.14 darum, die Informationssicherheit in jede Phase des Lebenszyklus eines Systems zu integrieren. Dazu enthält jede Maßnahme die folgenden Zielsetzungen:

Anhang A.14.1: Sicherheitsanforderungen an Informationssysteme

Ein wichtiges Ziel dieses Kapitels von Anhang A ist die Einbindung der Informationssicherheit in den gesamten Lebenszyklus des Systems. Dies umfasst auch die Normen für Informationssysteme, die Dienste über öffentliche Netze anbieten.

Aus diesem Grund müssen Sie prüfen, ob die Informationssicherheit in jede Phase Ihrer Systeme integriert ist.

Anhang A.14.2: Sicherheit in Entwicklungs- und Unterstützungsprozessen

Ziel des zweiten Abschnitts ist es, dafür zu sorgen, dass das Thema Sicherheit bei der Erstellung all Ihrer Informationssysteme berücksichtigt wird. Systemdesign und -entwicklung sind feste Bestandteile der Arbeit Ihrer Organisation. Daher kann es einige Zeit dauern, bis Ihre Organisation ihre Arbeit an dieses Kapitel angepasst hat.

Ihre Verfahren müssen vom Beginn der Entwicklung bis zum Ende der Veröffentlichung erfasst werden. Suchen Sie anschließend nach Schwachstellen im Sicherheitssystem.

Gemäß der Norm müssen Sie unter anderem folgende Bereiche prüfen: 

• Sichere Entwicklungsrichtlinie
• Kontrollverfahren für Systemänderungen
• Technische Überprüfung von Anwendungen nach der Änderung von Betriebsplattformen
• Einschränkungen für Änderungen an Softwarepaketen
• Prinzipien für die Analyse sicherer Systeme
• Sichere Entwicklungsumgebung
• Ausgelagerte Entwicklung
• Sicherheitstests des Systems
• Akzeptanztests des Systems

Anhang A.14.3: Testdaten

Ziel des dritten und letzten Kapitels ist die Gewährleistung des Schutzes der Testdaten.

Was ist Systemerwerb, Entwicklung und Wartung?

Informationssysteme sind aufgrund ihrer Vorteile und der hohen Ausgaben ein wichtiges Asset für Organisationen. Auf den Erwerb von Informationssystemen und -diensten zur Unterstützung ihrer Geschäftsziele sollten sich Organisationen langfristig vorbereiten. Kritische Anwendungen und Projektprioritäten sollten auf Grundlage langfristiger Unternehmensstrategien und der Bedürfnisse aller Beteiligten (von den Mitarbeitern, die direkt mit den Daten arbeiten, bis hin zum CEO) erstellt werden.

Sobald die Notwendigkeit für ein spezifisches Informationssystem erkannt wurde, sollte ein solches erworben werden. In den meisten Fällen ist dies im Zusammenhang mit dem Aufbau der Informationssystemarchitektur der Organisation der Fall. Der Weg zum Informationssystem führt entweder über Auslagerung, interne Entwicklung oder Anpassung. Ist das Bedürfnis für ein spezifisches System einmal erkannt worden, kann die Systementwicklung beginnen.

Bei der Systementwicklung wird eine neue Software-Anwendung oder ein Programm bestimmt, erstellt, getestet und eingeführt. Individuell angepasste Lösungen können intern entwickelt oder von externen Entwicklern erworben werden. Schon während der Systementwicklung sollten Sie die Sicherheit in alle Phasen integrieren, von Projektbeginn bis zur Bereitstellung. Das ist die wirksamste Strategie für die Sicherung von Daten und Informationssystemen.

Das System muss während seiner gesamten Lebensdauer kontinuierlich gewartet werden. Zweck der Wartung ist es, die Funktionalität des Systems aufrechtzuerhalten, um den gewünschten Dienst bereitzustellen. In diesem Verfahren wird die Fähigkeit des Systems geprüft, Dienste zu liefern, Probleme werden zu Analysezwecken erfasst, Maßnahmen zur Verbesserung, Anpassung, Optimierung und Vorbeugung werden ergriffen und die Wiederherstellung der Funktionalität wird bestätigt.

Jetzt haben Sie einen Überblick über den Inhalt von Anhang A.14. Schauen wir uns nun die einzelnen Maßnahmen an:

Was sind die Maßnahmen (Controls) in Anhang A.14?

Anhang A.14 listet 13 Maßnahmen auf, die Sie bei dem Erwerb, der Entwicklung und der Wartung Ihres Informationssicherheitssystems unterstützen sollen.

A.14.1.1 Analyse und Spezifikation von Informationssicherheitsanforderungen

Für die Entwicklung von neuen oder Änderungen an bestehenden Systemen ist eine Risikobewertung unerlässlich, um die Geschäftsanforderungen für Sicherheitsmaßnahmen festzulegen. Diese sollte vor der Auswahl einer Lösung oder zu Beginn der Entwicklung einer Lösung umgesetzt werden. Sicherheitserwägungen sollten so früh wie möglich einsetzen, da Sie nur so dafür sorgen können, dass die relevanten Anforderungen schon vor Beginn des Auswahlprozesses feststehen.

In jeder Phase des Projekts wird der Auditor gewährleisten wollen, dass Sicherheitserwägungen Teil aller Entscheidungen waren. Im Vorfeld der Auswahl oder Entwicklung erwartet der Auditor außerdem, dass Vertraulichkeit, Ehrlichkeit und Verfügbarkeit berücksichtigt werden.

A.14.1.2 Sicherung von Anwendungsdiensten in öffentlichen Netzen

Informationen, die in Anwendungsdiensten über öffentliche Netze übertragen werden, müssen vor Betrug, rechtlichen Streitigkeiten und unberechtigter Offenlegung und Veränderung geschützt sein. Für Dienste, die über ein öffentliches Netz wie das Internet bereitgestellt werden, müssen die Risikostufe und die Geschäftsanforderungen für den Schutz der Informationen verstanden werden. Auch hier sind Datenschutz, Integrität und Verfügbarkeit von höchster Bedeutung.

Wenn finanzielle Transaktionen oder vertrauliche personenbezogene Informationen Teil des Dienstes sind, ist Sicherheit von äußerster Wichtigkeit, um das Betrugsrisiko zu verringern. Verschlüsselung und andere Maßnahmen, wie sie in der DSGVO gefordert werden, sind die minimalen Anforderungen. Im Betrieb müssen Systeme regelmäßig auf Angriffe oder unerwünschte Aktivitäten überprüft werden. Der Auditor prüft, „wie sicher“ Anwendungsdienste über öffentliche Netze sein müssen, je nach Risikobewertung und rechtlichen, regulatorischen und vertraglichen Kriterien.

A.14.1.3 Schutz von Transaktionen im Zusammenhang mit Anwendungsdiensten

Die unberechtigte Modifikation und Übertragung von Nachrichten, die unberechtigte Offenlegung von Nachrichten sowie die unberechtigte Vervielfältigung und Wiedergabe von Nachrichten sind mögliche Konsequenzen ungeschützter Transaktionen über Anwendungsdienste. Transaktionen über Anwendungsdienste sind möglicherweise sicherer, wenn für sie zusätzliche Sicherheitsmaßnahmen vorliegen (nicht notwendigerweise nur finanzielle Transaktionen). Denken Sie außerdem über sichere Verfahren wie die Verwendung elektronischer Signaturen und Verschlüsselung nach. Solche Transaktionen müssen kontinuierlich in Echtzeit überwacht werden.

A.14.2.1 Sichere Entwicklungsrichtlinie

Die Entwicklung von Software und Systemen innerhalb einer Organisation sollte durch ein Richtlinienpaket geregelt sein. Entwickeln und implementieren Sie Systeme und Systemverbesserungen in einer Umgebung, in der sicherheitsbewusstes Programmieren und Entwicklungstechniken durch das Aufstellen einer sichere Entwicklungsrichtlinie gefördert werden.

Mit der Norm konforme Richtlinien umfassen:

• Sicherheitskontrollpunkte während der gesamten Entwicklung,
• sichere Repositorys,
• Sicherheit bei der Versionskontrolle,
• Kenntnisse zur Anwendungssicherheit und
• die Fähigkeit der Entwickler, Schwachstellen vorzubeugen und bei eventuellem Auftreten zu erkennen und zu beheben.

Auditoren möchten sehen, dass die Sicherheitserwägungen im Einklang mit den Risiken des Systems, das entwickelt oder aktualisiert werden soll, stehen. Außerdem möchten sie wissen, ob an der Entwicklung beteiligte Mitarbeiter sich bewusst sind, wie wichtig die Einbeziehung von Sicherheitserwägungen in jede Phase ihrer Arbeitsprozesse ist.

A.14.2.2 Kontrollverfahren für Systemänderungen

Veränderungen an Systemen im Entwicklungsprozess benötigen strenge Kontrollverfahren. Eine Systemänderungsmaßnahme sollte Betriebsänderungsmaßnahmen entsprechen und diese unterstützen. Formale Verwaltungsverfahren begrenzen die Möglichkeit für unabsichtliche oder absichtliche Schwachstellen, die bei der Einführung von Änderungen die Systeme beeinträchtigen können. Laut den Systemänderungsmaßnahmen müssen die Systeminhaber wissen, welche Änderungen vorgenommen werden, warum diese vorgenommen werden und von wem. Sie müssen gewährleisten, dass ihre Systeme nicht durch mangelhafte oder böswillige Entwicklung beeinträchtigt werden.

Daher sollten Sie Regeln für die Autorisierung sowie für Vorab-Tests und die Validierung aufstellen. Audit-Protokolle müssen exakt aufzeigen, welche Änderungsverfahren angewandt werden. ISO 27002 umfasst zahlreiche Bereiche für die Änderungskontrolle, von einfacher Dokumentation bis zur Bereitstellungszeit zur Verhinderung negativer Geschäftsauswirkungen. Wie andere A.14-Maßnahmen folgt auch A.12.1.2 einem vorbestimmten Verfahren. 

A.14.2.3 Technische Überprüfung von Anwendungen nach der Änderung von Betriebsplattformen

Bei Änderungen an Betriebssystemen müssen kritische Geschäftsanwendungen begutachtet und überprüft werden, um sicherzustellen, dass die Änderungen sich nicht negativ auf den Betrieb oder die Sicherheit der Organisation auswirken. Nach dem Umstieg auf ein neues Betriebssystem ist es nicht ungewöhnlich, dass bei einigen Anwendungen Kompatibilitätsprobleme auftreten. Aus diesem Grund ist es notwendig, Aktualisierungen des Betriebssystems in einer Entwicklungs- oder Testumgebung auszuwerten, bevor sie tatsächlich eingeführt werden. Kontroll- und Testverfahren für Änderungen an Betriebssystemen sollten den anerkannten Verwaltungsverfahren für Änderungen folgen.

A.14.2.4 Einschränkungen für Änderungen an Softwarepaketen

Änderungen an Softwarepaketen sollten nicht gefördert, sondern beschränkt werden und einer strikten Kontrolle unterliegen. Bei Paketen von Drittanbietern liegt der Fokus eher auf einem breiten Anwendungsgebiet als auf individueller Anpassung. Die möglichen Anpassungen beschränken sich üblicherweise auf Funktionen innerhalb eines vorgegebenen Rahmens, weitere Anpassungen sind meist nicht möglich. Open-Source-Software kann einfacher modifiziert werden, dies muss aber in einem beschränkten und kontrollierten Rahmen geschehen, damit die Änderungen die interne Integrität und Sicherheit des Produkts nicht gefährden.

A.14.2.5 Prinzipien für die Analyse sicherer Systeme

Die Aufstellung, Dokumentation und Umsetzung von Prinzipien für die Analyse sicherer Systeme ist für den Erfolg jeglicher Informationssysteminstallationen unerlässlich. Es müssen sowohl allgemeine als auch plattformspezifische Prinzipien für die sichere Softwareentwicklung aufgestellt werden. Überlegungen zur Auswahl und Anwendung dieser Prinzipien sollten unabhängig vom Ort der Entwicklung angestellt werden. Außerdem sollten sie dokumentiert und durchgesetzt werden. Um sicherzustellen, dass die Verwendung von Systemanalyseprinzipien gegen erkannte Risiken abgewogen wird, verlangt der Auditor Nachweise für die getroffenen Entscheidungen.

A.14.2.6 Sichere Entwicklungsumgebung

Sichere Entwicklungsumgebungen, die den gesamten Lebenszyklus des Systems abdecken, von der anfänglichen Designphase bis zur endgültigen Bereitstellung, sind für Organisationen unabdingbar. Entwicklungsumgebungen müssen geschützt werden, um die böswillige oder unabsichtliche Entwicklung und Aktualisierung von Code zu verhindern, welche die Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen könnten. Zur Erlangung des erforderlichen Sicherheitsniveaus sollten Risikobewertung, Geschäftsanforderungen sowie weitere interne und externe Anforderungen wie Gesetze, Bestimmungen, vertragliche Vereinbarungen oder Richtlinien hinzugezogen werden. Für Entwicklungsumgebungen sollten zum Schutz jeglicher Live-Daten besondere Vorsichtsmaßnahmen ergriffen werden.

A.14.2.7 Ausgelagerte Entwicklung

Organisationen müssen ihre ausgelagerte Systementwicklung beaufsichtigen und überwachen. Wenn die System- und Softwareentwicklung an Dritte vergeben wird, müssen die Sicherheitskriterien deutlich in dem Vertrag oder der Vereinbarung angegeben werden, die an das Projekt gekoppelt ist. Hierbei sind Anhang A.15.1 und A.13.2.4 über Geheimhaltung und Vertraulichkeit entscheidend.

Der Auditor prüft, ob die Organisation vor, während und nach der Auslagerung an den externen Partner seiner Sorgfaltspflicht nachkam, darunter die Beachtung von Bestimmungen für die Informationssicherheit bei Auslagerung.

A.14.2.8 Sicherheitstests des Systems

Während der Entwicklung ist es unbedingt erforderlich, die Sicherheitsfunktionen des Systems zu testen. Bei Neuentwicklungen müssen die Sicherheitstests von einem kompetenten Sicherheitsexperten durchgeführt und überprüft werden. Im Vorfeld der Sicherheitstests sollten die erwarteten Ergebnisse dokumentiert werden. Diese sollten auf den Sicherheitsanforderungen des Unternehmens gründen. Der Auditor wird Nachweise dafür verlangen, dass für jegliche sicherheitsrelevante Entwicklung sicherheitsspezifische Tests durchgeführt wurden.

A.14.2.9 Akzeptanztests des Systems

Für das Testen und die Genehmigung von neuen Systemen, Aktualisierungen und neuen Versionen bestehender Systeme müssen Verfahren vorhanden sein. Die Tests und Kriterien zum Nachweis eines erfolgreichen Tests sollten im Vorfeld der Durchführung von Akzeptanztests auf Grundlage der Geschäftsbedürfnisse festgelegt werden. Auch Sicherheitstests sollten Teil des Akzeptanztestverfahrens sein. Gemäß den Anforderungen von Auditoren sollten Sicherheitsakzeptanztests in allen Akzeptanztestkriterien und -verfahren inbegriffen sein.

A.14.3.1 Schutz von Testdaten

Die sorgfältige Auswahl, Speicherung und Überwachung von Testdaten sind von höchster Wichtigkeit. Im Idealfall sollten allgemeine Testdaten erstellt werden, die keine Verbindung zu den Live-Daten des Systems haben. Es ist jedoch weithin anerkannt, dass in vielen Fällen wirkliche Daten für exakte Tests erforderlich sind. Diese sollten, soweit möglich, anonymisiert, sorgfältig ausgewählt und nach der Testphase sicher gelöscht werden. Die Nutzung von Echtzeitdaten muss im Vorhinein genehmigt, protokolliert und überwacht werden. Bei Tests mit Live-Daten prüft der Auditor, welche Mechanismen zur Gewährleistung der Sicherheit dieser Daten vorliegen.

Warum sind der Erwerb, die Entwicklung und die Wartung von Systemen für Ihre Organisation wichtig?

Im Zuge der voranschreitenden Digitalisierung sind der Erwerb, die Entwicklung und die Wartung von Informationssicherheitssystemen von höchster Bedeutung. Mit einem professionellen Informationssystem ist es einfach, Betriebsdaten, die Änderungshistorie, Kommunikationsprotokolle und Dokumente zu speichern. Da außerdem Cyberangriffe und Cyberkriminalität immer häufiger vorkommen, unterstützt Sie ein gut gewartetes Informationssystem mit Sicherheitsmaßnahmen dabei, Ihre Informationen vor unterschiedlichen Bedrohungen zu schützen.

Für jede Organisation ist das Vertrauen von Kunden und Lieferanten ein wichtiger Grundstein für die Geschäftstätigkeit. Die Anwendung der Maßnahmen in Anhang A.14 stärkt Ihre vertrauensvollen Beziehungen und untermauert Ihre Reputation als sicherer Dienstleister.

Fazit

Informationssicherheit ist ein nicht wegzudenkender Teil des Lebenszyklus eines Informationssystems. Von der Entscheidung für den Erwerb eines neuen Systems bis hin zur Entwicklung und Wartung desselben sollten Sie auf die Einhaltung der Informationssicherheitsmaßnahmen achten. Sie helfen Ihnen bei der Entwicklung sicherer Geschäftspraktiken und schützen Ihre wertvollen Informationen.

Bei DataGuard arbeiten Sie mit Branchenexperten zusammen, die Sie auf Ihrer Reise zu einer ISO 27001-Zertifizierung unterstützen. Von dem Erwerb eines Systems für Ihre Organisation bis hin zur Entwicklung und Wartung stehen wir an Ihrer Seite.

Benötigen Sie Hilfe mit Ihrer ISO 27001-Zertifizierung? Vereinbaren Sie jetzt einen Termin!