Sicheres Leben: BSI veröffentlicht ein neuer Baustein für Software-Entwicklung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das IT-Grundschutz-Kompendium 2020 gerade veröffentlicht. Dieses Kompendium beschreibt auf 880 Seiten die IT-Grundschutz-Bausteine.

„Im Fokus des IT-Grundschutz-Kompendiums stehen die sogenannten IT-Grundschutz-Bausteine. In diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS).“

Die Struktur des Kompendiums ist in einer Mindmap sehr gut graphisch dargestellt.

Das Kompendium 2020 beinhaltet auch ein neuer Baustein - CON.8 Software-Entwicklung. Die Zielsetzung dieses Bausteines wird von BSI so definiert:

„...die Software-Entwicklung nimmt eine zentrale Rolle (in einer Institution) ein, indem aus den Anforderungen der Institution ein Programm-Code entwickelt bzw. angepasst wird. Hierbei ist es von essentieller Bedeutung, dass die Informationssicherheit über den gesamten Software-Entwicklungsprozess hinweg berücksichtigt wird, da nur auf diese Weise die Informationssicherheit der zu entwickelnden Software-Lösung und im Rahmen des Entwicklungsprojektes selbst gewährleistet werden kann.“

Der Baustein Software-Entwicklung beschreibt nur sehr allgemein sichere Rahmenbedingungen für sichere Software-Entwicklung. Der Gefährdungskatalog beschreibt die gängigen Gefahren in der Software-Entwicklung und die definierten Anforderungen helfen den Leiter der Software-Entwicklung alle notwendigen Regeln und Maßnahmen für sichere Entwicklung zu implementieren.

„Der Baustein stellt keine vollständige Anleitung oder generelle Vorgehensweise für die Entwicklung von Software dar, sondern er konzentriert sich auf die relevanten Aspekte der Informationssicherheit bei der Software-Entwicklung. Mit diesem Baustein wird der Baustein CON.5 Entwicklung und Einsatz von Individualsoftware um konkrete Aspekte zur Eigenentwicklung von Software erweitert. „

Es ist also ein typischer Management-Ansatz, welcher in der betrieblichen Praxis mit davon abgeleiteten technischen und organisatorischen Maßnahmen ergänzt werden muss. Die Liste der Anforderungen aus dem Baustein kann dabei als eine Checkliste dienen, um die Vollständigkeit der Umsetzung zu überprüfen.

Krzysztof Müller

Seit ich mich erinnern kann, wollte ich immer verstehen, wie die Welt funktioniert. Diese Neugier treibt mich nach wie vor. Gleich so wichtig wie Verstehen ist, glaube ich, dass Wissen mit anderen zu teilen.

Das werde ich eben diesem Blog tun. Basierend auf 30+ Jahren Erfahrung in IT und Information Security will ich über diese zwei Themen schreiben. Aber nicht nur. Auch über Wissenschaft und neue Technologien (und hier im speziellen AI und Genetik, weil das eine Mischung mit der Kraft für dramatische Veränderungen ist) werde ich schreiben.

Sicheres Leben

BSI veröffentlicht ein neuer Baustein für Software-Entwicklung

Keine Kommentare:

Kommentar veröffentlichen