C Referenz Produkte

C.1 Produkte

C.1.14 IT-Organisation und Betrieb

C.1.14.4 Beitrag zum IT-Sicherheitskonzept

Der Beitrag zum IT-Sicherheitskonzept beschreibt, inwiefern das IT-Sicherheitskonzept des jeweiligen Informationsverbundes durch die Inbetriebnahme des im Projekt entwickelten IT-Systems aktualisiert und fortgeschrieben werden muss. Dabei müssen grundsätzlich drei Fälle unterschieden werden:

Wird das entwickelte IT-System in einen bestehenden Informationsverbund integriert und existiert für diesen Informationsverbund bereits ein IT-Sicherheitskonzept, so beschreibt der Beitrag zum IT-Sicherheitskonzept die notwendigen Änderungen ("Streiche X, setze Y, ergänze Z").
Wird das entwickelte IT-System in einen bestehenden Informationsverbund integriert und existiert für diesen Informationsverbund noch kein IT-Sicherheitskonzept, so ist der Beitrag zum IT-Sicherheitskonzept ein unvollständiges IT-Sicherheitskonzept, das sich lediglich auf das neu entwickelte IT-System bezieht. Es liegt dann in der Verantwortung der Organisation (Informationssicherheitsverantwortlicher), das Produkt um die weiteren Bestandteile des Informationsverbundes zu ergänzen.
Stellt das entwickelte IT-System einen eigenen Informationsverbund dar, so ist der Beitrag zum IT-Sicherheitskonzept gleichzusetzen mit dem IT-Sicherheitskonzept dieses Informationsverbundes.

Damit umfasst der Beitrag zum IT-Sicherheitskonzept das gleiche inhaltliche Spektrum wie das IT-Sicherheitskonzept selbst. Er enthält alle an das zu entwickelnde System und den Betrieb gestellten IT-Sicherheitsanforderungen und die Maßnahmen zum Schutz der Informationen vor dem Verlust der

Integrität,
Vertraulichkeit und
Verfügbarkeit,

sowie die IT-Sicherheitsanforderungen und Maßnahmen zum Schutz der technischen Anlagen zur Informationsverarbeitung und -übermittlung.

Verantwortlich

Technikkoordinator

Hilfsmittel

Beitrag zum IT-Sicherheitskonzept erstellen (Aktivität), Tools zum IT-Grundschutz (Werkzeug), Beitrag zum IT-Sicherheitskonzept(.odt|.doc)

Erzeugt durch

Anbahnung und Organisation:

Projekthandbuch (Abstimmung mit IT-Organisation und Betrieb)

Inhaltlich abhängig

Anbahnung und Organisation:

Projektauftrag (C.2.1.23; C.2.1.12), Projekthandbuch (C.2.1.23; C.2.1.12)

IT-Organisation und Betrieb:

Beitrag zum Datenschutzkonzept (C.2.1.12), Betriebliche Freigabeerklärung (C.2.1.22), IT-Sicherheitskonzept (C.2.1.23; C.2.1.22)

Qualitätssicherung:

Prüfspezifikation Inbetriebnahme (C.2.1.22)

Systemanalyse:

Anforderungen (Lastenheft) (C.2.1.23; C.2.1.12)

Systementwurf:

SW-Architektur (C.2.1.23), Systemarchitektur (C.2.1.23)

Systemspezifikation:

Gesamtsystemspezifikation (Pflichtenheft) (C.2.1.23)

Entscheidungsrelevant bei

Systembetrieb freigegeben

C.1.14.4.1 Darstellung des Projekts, Einsatzumgebung

Das Thema enthält einen Überblick über das Projekt, den Einsatzzweck und die Einsatzumgebung des Systems sowie die Art und Weise, wie das erstellte System in den Informationsverbund integriert wird.

C.1.14.4.2 Schutzbedarf

Das Thema enthält die Ergebnisse der Risikobewertung und der Schutzbedarfsfeststellung für das zu entwickelnde System. Dies umfasst insbesondere eine Einstufung der verarbeiteten bzw. übermittelten Informationen hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

C.1.14.4.3 Anforderungen bei der Entwicklung des Systems

Das Thema enthält überblicksartig alle Anforderungen, die bei der Entwicklung des Systems berücksichtigt werden müssen, um die IT-Sicherheit zu gewährleisten. Diese Anforderungen leiten sich aus dem Schutzbedarf ab und werden im Thema IT-Sicherheitsanforderungen und Schutzbedarf der Anforderungen (Lastenheft) detailliert dargestellt.

C.1.14.4.4 Systemarchitektur aus Sicht der IT-Sicherheit

Die Systemarchitektur ist aus Sicht der IT-Sicherheit darzustellen. Die erforderliche Infrastruktur sowie organisatorische und personelle Rahmenbedingungen sind hierfür zu dokumentieren. Für die Inhalte des Themas können die Inhalte aus dem Thema Nachweis der IT-Sicherheit in der Systemarchitektur übernommen werden.

C.1.14.4.5 Anforderungen und Maßnahmen im Systembetrieb

In diesem Thema sind die erforderlichen IT-Sicherheitsmaßnahmen, unterteilt in

technische,
organisatorische,
personelle und
materielle IT-Sicherheitsmaßnahmen,

zu beschreiben.

C.1.14.4.6 Verbleibende Risiken

Das Thema beschreibt alle Risiken und Schwachstellen für die IT-Sicherheit, die trotz aller getroffenen Maßnahmen weiterhin bestehen.

C.1.14.4.7 Notfallplan

Die erforderlichen Notfallmaßnahmen sind in diesem Thema zu dokumentieren. Hierzu gehört insbesondere die detaillierte Beschreibung der Vorgehensweise zur Wiederherstellung der Systemfunktionalität nach einem Teil- oder Totalausfall des Systems.

C.1.14.4.8 Maßnahmen zur Überprüfung der Wirksamkeit der Maßnahmen

Dieses Thema dokumentiert Vorgaben zur Überprüfung der Wirksamkeit der Maßnahmen und zur Aufrechterhaltung der IT-Sicherheit. Hierzu zählen insbesondere auch Festlegungen zu erforderlichen Schulungs- und Sensibilisierungsmaßnahmen.