4 Teil 5: V-Modell-Referenz Produkte

4.3 Produkte

4.3.12 IT-Organisation und Betrieb

4.3.12.4 Beitrag zum IT-Sicherheitskonzept

Vorgehensbaustein

Sinn und Zweck

Der Beitrag zum IT-Sicherheitskonzept beschreibt, inwiefern das IT-Sicherheitskonzept des jeweiligen Informationsverbundes durch die Inbetriebnahme des im Projekt entwickelten IT-Systems aktualisiert und fortgeschrieben werden muss. Dabei müssen grundsätzlich drei Fälle unterschieden werden:

Wird das entwickelte IT-System in einen bestehenden Informationsverbund integriert und existiert für diesen Informationsverbund bereits ein IT-Sicherheitskonzept, so beschreibt der Beitrag zum IT-Sicherheitskonzept die notwendigen Änderungen („Streiche X, setze Y, ergänze Z“).
Wird das entwickelte IT-System in einen bestehenden Informationsverbund integriert und existiert für diesen Informationsverbund noch kein IT-Sicherheitskonzept, so ist der Beitrag zum IT-Sicherheitskonzept ein unvollständiges IT-Sicherheitskonzept, das sich lediglich auf das neu entwickelte IT-System bezieht. Es liegt dann in der Verantwortung der Organisation (Informationssicherheitsverantwortlicher), das Produkt um die weiteren Bestandteile des Informationsverbundes zu ergänzen.
Stellt das entwickelte IT-System einen eigenen Informationsverbund dar, so ist der Beitrag zum IT-Sicherheitskonzept gleichzusetzen mit dem IT-Sicherheitskonzept dieses Informationsverbundes.

Damit umfasst der Beitrag zum IT-Sicherheitskonzept das gleiche inhaltliche Spektrum wie das IT-Sicherheitskonzept selbst. Er enthält alle an das zu entwickelnde System und den Betrieb gestellten IT-Sicherheitsanforderungen und die Maßnahmen zum Schutz der Informationen vor dem Verlust der

Integrität,
Vertraulichkeit und
Verfügbarkeit,

sowie die IT-Sicherheitsanforderungen und Maßnahmen zum Schutz der technischen Anlagen zur Informationsverarbeitung und -übermittlung.

Wann ist das Produkt entscheidungsrelevant?

Entscheidungspunkt

Systembetrieb freigegeben

Wer ist beteiligt?

Verantwortlich	Technikkoordinator
Mitwirkend	Es gibt keine weiteren Rollen, die bei der Erstellung des Produkts mitwirken.

Womit kann das Produkt erstellt werden?

Werkzeuge	GSTOOL
Methoden	Keine

Welche Vorlagen sind verfügbar?

Vorlagen	Produktvorlage wird generiert.
Beispielprodukte	Keine

Wie erstellt man das Produkt?

Aktivität

Beitrag zum IT-Sicherheitskonzept erstellen

Die Erstellung des Produkts Beitrag zum IT-Sicherheitskonzept erfolgt werkzeugunterstützt mit Hilfe des Werkzeugs GSTOOL.

Welche Abhängigkeiten hat das Produkt?

Erzeugt durch

Planung und Steuerung

Projekthandbuch (4.21)

Erzeugt

Das Produkt erzeugt keine weiteren Produkte.

Hängt inhaltlich ab von

Anforderungen und Analysen

Anforderungen (Lastenheft) (5.39;5.36)

IT-Organisation und Betrieb

Planung und Steuerung

Projekthandbuch (5.39;5.36)
Projektauftrag (5.39;5.36)

Prüfung

Prüfspezifikation Inbetriebnahme (5.46)

Systementwurf

SW-Architektur (5.39)
Systemarchitektur (5.39)

Systemspezifikationen

Gesamtsystemspezifikation (Pflichtenheft) (5.39)

4.3.12.4.1 Darstellung des Projekts, Einsatzumgebung

Das Thema enthält einen Überblick über das Projekt, den Einsatzzweck und die Einsatzumgebung des Systems sowie die Art und Weise, wie das erstellte System in den Informationsverbund integriert wird.

4.3.12.4.2 Schutzbedarf

Das Thema enthält die Ergebnisse der Risikobewertung und der Schutzbedarfsfeststellung für das zu entwickelnde System. Dies umfasst insbesondere eine Einstufung der verarbeiteten bzw. übermittelten Informationen hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

4.3.12.4.3 Anforderungen bei der Entwicklung des Systems

Das Thema enthält überblicksartig alle Anforderungen, die bei der Entwicklung des Systems berücksichtigt werden müssen, um die IT-Sicherheit zu gewährleisten. Diese Anforderungen leiten sich aus dem Schutzbedarf ab und werden im Thema IT-Sicherheitsanforderungen und Schutzbedarf der Anforderungen (Lastenheft) detailliert dargestellt.

4.3.12.4.4 Systemarchitektur aus Sicht der IT-Sicherheit

Die Systemarchitektur ist aus Sicht der IT-Sicherheit darzustellen. Die erforderliche Infrastruktur sowie organisatorische und personelle Rahmenbedingungen sind hierfür zu dokumentieren. Für die Inhalte des Themas können die Inhalte aus dem Thema Nachweis der IT-Sicherheit in der Systemarchitektur übernommen werden.

4.3.12.4.5 Anforderungen und Maßnahmen im Systembetrieb

In diesem Thema sind die erforderlichen IT-Sicherheitsmaßnahmen, unterteilt in

technische,
organisatorische,
personelle und
materielle IT-Sicherheitsmaßnahmen,

zu beschreiben.

4.3.12.4.6 Verbleibende Risiken

Das Thema beschreibt alle Risiken und Schwachstellen für die IT-Sicherheit, die trotz aller getroffenen Maßnahmen weiterhin bestehen.

4.3.12.4.7 Notfallplan

Die erforderlichen Notfallmaßnahmen sind in diesem Thema zu dokumentieren. Hierzu gehört insbesondere die detaillierte Beschreibung der Vorgehensweise zur Wiederherstellung der Systemfunktionalität nach einem Teil- oder Totalausfall des Systems.

4.3.12.4.8 Maßnahmen zur Überprüfung der Wirksamkeit der Maßnahmen

Dieses Thema dokumentiert Vorgaben zur Überprüfung der Wirksamkeit der Maßnahmen und zur Aufrechterhaltung der IT-Sicherheit. Hierzu zählen insbesondere auch Festlegungen zu erforderlichen Schulungs- und Sensibilisierungsmaßnahmen.