Baustein B ovvi.1 "Software Entwicklung"

Beschreibung

Dieser Baustein befasst sich mit der Software Entwicklung, die den Aufbau eines Projektes erfordert.
Software die als Nebenprodukt des Tagesgeschäfts, unter Umständen ohne Projekt-Team erstellt wird, ist nicht Ziel dieses Bausteins. Dafür gibt es zum Beispiel die Maßnahme M 2.379 "Software-Entwicklung durch Endbenutzer" des Bausteins B 1.10 "Standardsoftware".

Diese Baustein ist eine Fortentwicklung des Bausteins B 1.10 "Standardsoftware". Er befasst sich definierter mit den Phasen des Software-Lebenszyklus`, anders als der Baustein B 1.10.
Daher ähnelt dieser Baustein B ovvi.1 dem Baustein B 1.10 und wird durch einige Maßnahmen aus den IT-Grundschutz Katalogen und durch neue ovvi-Maßnahmen ergänzt. Für diesen Baustein irrelevante Maßnahmen sind entfernt worden. Um deutlich zu machen, dass es sich dabei nicht um den Baustein B 1.10 handelt, sind teilweise in dem Baustein B ovvi.1 übernommenen IT-Grundschutz Maßnahmen entsprechend umbenannt bzw. die Einstufungen (A/B/C/Z) angepasst worden. Maßgablich ist dabei das Ordnungsmerkmal der Maßnahmennummer.
Neue ovvi-Maßnahmen erhalten eine entsprechend erkennbar bislang nicht vergebene Maßnahmennummer.

Gefährdungslage

Für den IT-Grundschutz von Software Entwicklungs-Projekten werden die folgenden typischen Gefährdungen betrachtet:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
G 2.7 Unerlaubte Ausübung von Rechten
G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.28 Verstöße gegen das Urheberrecht
G 2.29 Softwaretest mit Produktionsdaten
G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten

Menschliche Fehlhandlungen

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.17 Kein ordnungsgemäßer PC-Benutzerwechsel

Technisches Versagen

G 4.7 Defekte Datenträger
G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.9 Unberechtigte IT-Nutzung
G 5.21 Trojanische Pferde
G 5.23 Schadprogramme
G 5.43 Makro-Viren

Maßnahmenempfehlungen

In einem Software Entwicklungsprozess sind zunächst einmal die Phasen bis zur Fertigstellung des Produktes zu betrachten.
Wenn das dann erstellte Software Produkt das Haus verlässt, ist die Verantwortung für das Produkt in der Regel noch nicht abgelegt.

Sobald ein Kunde das Software Produkt abnimmt oder wenn das Software Produkt im eigenen Haus verwendet werden soll, bestehen Erwartungen an die Qualität. Da es dann immer auch mindestens um die Verfügbarkeit und Integrität geht, ist in jedem Fall auch die Sicherheit betroffen.
Für Software Produkte, die vertrauliche, beziehungsweise personenbezogene Daten erheben, verarbeiten oder nutzen, ist darüber hinaus auch die Vertraulichkeit ein zu schützendes Kriterium.

Selbst freie Software Produkte werden in der Regel mit einem Ansprechpartner veröffentlicht, der sich um Mängelbehebung bemüht. Wenn der Software Hersteller dann mit Support oder anderer Dienstleistung Geld verdienen möchte, geht die Verantwortung über die Fertigstellung des Produktes ebenfalls hinaus.
Dann ist der komplette Software Development Life Cycle, von der Planung, über die Umsetzung, Betrieb und Aussonderung zu betrachten.

Es gibt mehrere Modelle, einen Software Development Life Cycle sicher zu stellen.
Dieser Baustein nimmt keine Rücksicht auf spezielle Modelle, sondern betrachtet die Phasen des Software Development Life Cycle generell.

Planung und Konzeption

Von der ersten Maßnahmen des Software Entwicklungsprojektes muss sichergestellt werden, ob das Unternehmen grundsätzlich dazu in der Lage ist. Dazu wird im ersten Schritt eine Machbarkeitsstudie nach Maßnahme M ovvi.10 "Machbarkeitsstudie" erforderlich.
Diese Machbarkeitsstudie muss sich in einem ersten Schritt bereits mit einer Anforderungsanalyse befassen, die jedoch erst einmal generisch gestaltet ist. Eine nachfolgende Anforderungsanalyse nach Maßnahme M 2.80 "Erstellen eines Anforderungslatalogs" befasst sich dann mit den Interessentengruppen und nimmt dazu unter Umständen weitere Erhebungen auf.

Bereits in der Planung sind die Rahmenbedingungen für einen durchzuführenden Testplan (Maßnahme M 2.80 "Erstellen eines Anforderungskatalogs"), für den Entwicklungsprozess (Maßnahme M 2.378 "System-Entwicklung") und etwaige Verschlüsselungen (Maßnahme M 4.34 "Einsatz von Verschlüsselung, Checksummen oder Digitale Signaturen") zu entwerfen. Zudem ist eine Information Security Awareness für das Entwicklungs-Team nach Maßnahme M ovvi.2 "Information Security Awareness für das Entwicklungs-Team" sicher zu stellen.

Beschaffung

Für eine fehlerfreie und verlustfreie Entwicklung, aber auch für die anschließend funktionsfähige Nutzung eines Software Produktes, ist die Lieferung einer vertrauensvollen Hardware und Software, wie Betriebssysteme und Middleware, gemäß Maßnahme M ovvi.7 "Einkauf funktionsfähiger und vertrauensvoller Hardware und Software" erforderlich.
Das betrifft neben der Sicherstellung der Vertraulichkeit und Integrität auch die der Verfügbarkeit.

Umsetzung

In der Umsetzungsphase ist sicherzustellen, dass das gewählte Software-Produkt gemäß den in der Konzeptionsphase geplanten Umsetzung auch gemäß Maßnahme M 2.87 "Installation und Konfiguration von Software" installiert und konfiguriert sowie die Tests gemäß der Maßnahme M 2.83 "Testen von Software" getestet und nach vereinbartem Prozess gemäß der Maßnahme M 2.85 "Freigabe von Software" freigegeben wird.

Betrieb

Im laufenden Betrieb ist die Einhaltung der Lizenz- und Versionskontrollen nach Maßnahme M 2.88 "Lizenzverwaltung und Versionskontrolle von Software" sicher zustellen.
Darüber hinaus ergeben sich im laufenden Betrieb Support-Anfragen oder Anforderungen für Anpassungen des Software-Produktes. Letztere haben unter Umständen ein erneutes Durchlaufen dieses Bausteins als Ablauf eines Management-Prozesses gemäß dem Demming Wheel zur Folge.
Alternativ könnten diese Anpassungen mit der Maßnahme M 2.379 "Software-Entwicklung durch Endbenutzer" des Bausteins B 1.10 "Standardsoftware" abgedeckt werden. Entscheidend für die Auswahl ist der Umfang der Anpassungen.

Support-Anfragen werden durch andere Bausteine oder Maßnahmen beteiligter Komponenten abgedeckt.

Aussonderung

Zum Auslaufen der Software ist eine rechtzeitige Bekanntgabe an alle Empfänger sicherzustellen.
Der Quellcode ist angemessen abzusichern und etwaige Urheberrechte zu beachten.

Planung und Konzeption

M ovvi.10 (C) Machbarkeitsstudie
M 2.79 (A) Festlegung der Verantwortlichkeiten im Bereich Software
M 2.198 (A) Sensibilisierung der Mitarbeiter für Informationssicherheit
M 3.26 (A) Einweisung des Personals in den sicheren Umgang mit IT
M 2.80 (A) Erstellung eines Anforderungskatalogs für Software
M 2.82 (B) Entwicklung eines Testplans für Software
M ovvi.11 (C) Isolieren der Test- oder Entwicklungsumgebung

Beschaffung

M 2.81 (A) Vorauswahl eines geeigneten Standardsoftwareproduktes
M ovvi.7 (Z) Einkauf sicherer Hardware und Software
M 2.90 (A) Überprüfung der Lieferung

Umsetzung

M 2.378 (A) System-Entwicklung
M 4.42 (C) Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung
M 4.34 (Z) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen
M 2.86 (C) Sicherstellen der Integrität von Software
M 2.83 (C) Testen von Software
M 2.84 (A) Entscheidung und Entwicklung der Installationsanweisung für Software
M 2.62 (A) Software-Abnahme- und Freigabe-Verfahren

Betrieb

M 3.4 (B) Schulung vor Programmnutzung
M 2.87 (A) Installation und Konfiguration von Software
M 2.88 (A) Lizenzverwaltung und Versionskontrolle von Software

Aussonderung

M ovvi.9 (C) Aussonderung von Software

Es gibt Taucher der repute Online-Apotheken. Doch nur wenige sind keine Drogerien. Ein Sortiment ist praktisch groß. Es gab nur einige Beispiele. Wenn Sie über sexuelle Wohlbefinden Problem betroffen sind, wissen Sie vielleicht über Kaufen Generisches zithromax und Kaufen Generisches Azithromycin. Dieser Artikel konzentriert sich auf die Bewertung der erektilen Dysfunktion und Azyter. Anderer Punkt sollten wir InfectoAzit sein. Während erektile Dysfunktion häufiger bei älteren Männern ist, das ist nicht etwas, mit dem man einfach nur leben muss. Während die Medizin mit Nervenschmerzen gutgeschrieben wird, kann es auch sexuelle Gesundheitsprobleme veranlassen. Aber nur dein Sextherapeut kann feststellen, ob Kamagra oder neu Medikamente für dich tauglich sind. Wegwerfen alle generischen, die nicht mehr benötigt wird. Zum Beispiel sollten die flüssigen Medikamente zur Präferenz an der kühlen Stelle gehalten anfangen, aber übrig vermögen bei Raumtemperatur gelagert beginnen.