Genormte und zertifizierte Anwendungen

Macht Standardisierung nach ISO/IEC 27001 eine Software wirklich sicher?

10.06.2011 | Autor / Redakteur: Juan Ceballos, CISSP / Stephan Augsten

Auch im Software-Entwicklungszyklus ist ISO 27001 ein durchaus nützlicher Security-Standard.
Auch im Software-Entwicklungszyklus ist ISO 27001 ein durchaus nützlicher Security-Standard.

Kann ISO 27001 die Software-Sicherheit gewährleisten?

Die Sicherheit von Softwareprodukten ist nicht ohne geeignete Kontrollmaßnahmen zu haben. Die konsequente Implementierung von Kontrollmaßnahmen stellt aber gerade im Softwarelebenszyklus eine große Herausforderung dar. Aus diesem Grund werden Zertifizierungen für Softwareprodukte und deren Entwicklungsprozesse nur sehr zögerlich eingesetzt. Trotzdem findet man einige Hersteller, die behaupten, sichere Software anhand ISO 27001-Prozesse zu entwickeln.

Dazu muss gesagt werden, dass es nicht verpflichtend ist den Anwendungsbereich der Zertifizierung zu veröffentlichen. Die Beschränkung auf einen Prozess, ein System oder einen Standort macht es einem Unternehmen natürlich einfacher, eine Zertifizierung erfolgreich einzuführen. So kann es auch vorkommen, dass sich die Anwendungsbereiche der Zertifizierung nicht auf die Produktherstellung beziehen, sondern auf Dienstleistungen, IT- oder Beratungsprozesse.

Wie sich ISO 27001 und S-SDLC ergänzen

Beim Secure Software Development Lifecycle (S-SDLC) handelt es sich um eine Methode der Software-Entwicklung, die die Sicherheit eines Produktes bereits während der Konzeption berücksichtigt. Deshalb ergänzen sich S-SDLC und ISO-Kontrollmaßnahmen optimal, da ISO-Kontrollen als Teil des S-SDLC strukturiert werden können.

Das ISMS wird als Ergänzung des bestehenden Qualitätsmodells implementiert und unabhängig von der Entwicklungsmethode definiert. ISO erfordert dabei hauptsächlich eine klare Dokumentation der folgenden Aspekte:

  • ISMS-Definition und Festlegung
  • Verantwortlichkeiten
  • Interne ISMS-Audits
  • Management des ISMS
  • Verbesserung des ISMS
  • Interne Organisation
  • Management von externen Dienstleistungen

Seite 3: ISO 27001 in der Software-Entwicklung

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2051870 / Security Best Practices)