(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Sicherheitslücken entstehen häufig während der Entwicklung oder bleiben aufgrund unzureichender Tests unerkannt. Werden Anwendungen oder Systeme ohne angemessene Sicherheitsprüfungen in Betrieb genommen, können Schwachstellen ausgenutzt werden und zu erheblichen Sicherheitsvorfällen führen. Dieses Control stellt sicher, dass Sicherheitsprüfungen integraler Bestandteil von Entwicklungs- und Testprozessen sind.

Zweck des Controls

A 8.29 soll gewährleisten, dass Sicherheitsanforderungen während der Entwicklung und vor der Inbetriebnahme systematisch geprüft werden. Ziel ist es, Schwachstellen frühzeitig zu erkennen, Risiken zu reduzieren und sicherzustellen, dass entwickelte Systeme die definierten Sicherheitsanforderungen erfüllen.

Anforderungen und Maßnahmen

1. Festlegung von Sicherheitsprüfungsanforderungen

Organisationen müssen Anforderungen an Sicherheitsprüfungen definieren, insbesondere:

• Art und Umfang der Sicherheitsprüfungen
• Prüfpunkte im Entwicklungslebenszyklus
• Kriterien für erfolgreiche Prüfungen
• Verantwortlichkeiten für Durchführung und Freigabe

Die Anforderungen müssen dokumentiert sein.

2. Integration von Sicherheitsprüfungen in den Entwicklungsprozess

Sicherheitsprüfungen müssen fester Bestandteil der Entwicklung sein:

• Einbindung in frühe Entwicklungsphasen
• regelmäßige Prüfungen bei Änderungen
• Berücksichtigung sicherheitsrelevanter Komponenten
• Integration in CI/CD-Prozesse, sofern vorhanden

So werden Schwachstellen frühzeitig erkannt.

3. Durchführung unterschiedlicher Prüfarten

Geeignete Prüfmethoden müssen eingesetzt werden, zum Beispiel:

• statische Codeanalysen
• dynamische Anwendungstests
• manuelle Sicherheitsreviews
• automatisierte Sicherheitsprüfungen

Die Auswahl muss risikoorientiert erfolgen.

4. Prüfung von Sicherheitsanforderungen und -funktionen

Sicherheitsprüfungen müssen überprüfen:

• Umsetzung definierter Sicherheitsanforderungen
• Wirksamkeit von Zugriffskontrollen
• Schutz sensibler Daten
• ordnungsgemäße Protokollierung und Überwachung

So wird sichergestellt, dass Sicherheitsfunktionen korrekt arbeiten.

5. Umgang mit identifizierten Schwachstellen

Gefundene Schwachstellen müssen systematisch behandelt werden:

• Dokumentation der Ergebnisse
• Bewertung des Risikos
• Priorisierung der Behebung
• Nachverfolgung bis zur Schließung

Dies stellt eine wirksame Risikoreduktion sicher.

6. Sicherheitsfreigabe vor Produktivsetzung

Vor der Inbetriebnahme muss eine Sicherheitsfreigabe erfolgen:

• Prüfung der Testergebnisse
• Bewertung verbleibender Restrisiken
• formale Freigabe durch zuständige Stellen
• Dokumentation der Entscheidung

So werden unsichere Systeme nicht produktiv gesetzt.

7. Einsatz externer Prüfungen

Externe Sicherheitsprüfungen können ergänzend eingesetzt werden:

• unabhängige Sicherheitsbewertungen
• Penetrationstests bei erhöhtem Risiko
• Überprüfung durch spezialisierte Dienstleister
• Nutzung externer Expertise

Dies erhöht die Prüftiefe und Objektivität.

8. Dokumentation und kontinuierliche Verbesserung

Sicherheitsprüfungen müssen dokumentiert und ausgewertet werden:

• Prüfberichte und Testergebnisse
• Nachweise über Behebung von Schwachstellen
• Erkenntnisse für zukünftige Entwicklungen
• regelmäßige Anpassung der Prüfverfahren

So wird der Prüfprozess kontinuierlich verbessert.

Zusammenfassung

A 8.29 fordert, dass Organisationen Sicherheitsprüfungen systematisch in Entwicklungs- und Testprozesse integrieren. Durch klar definierte Prüfanforderungen, regelmäßige und risikoorientierte Sicherheitsprüfungen, strukturierte Behandlung von Schwachstellen sowie formale Sicherheitsfreigaben wird sichergestellt, dass Systeme vor der Inbetriebnahme den erforderlichen Sicherheitsstandards entsprechen. Das Control ist ein zentraler Bestandteil sicherer Software- und Systementwicklung im Informationssicherheitsmanagementsystem.