(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Bei ausgelagerter oder ausgegliederter Entwicklung werden Entwicklungsaufgaben ganz oder teilweise an externe Parteien vergeben. Dabei entstehen zusätzliche Risiken für die Informationssicherheit, insbesondere durch unzureichende Kontrolle, fehlende Transparenz oder unklare Verantwortlichkeiten. Dieses Control stellt sicher, dass Informationssicherheit auch bei ausgegliederter Entwicklung wirksam umgesetzt wird.

Zweck des Controls

A 8.30 soll gewährleisten, dass ausgelagerte Entwicklungsaktivitäten die Informationssicherheitsanforderungen der Organisation erfüllen. Ziel ist es, Risiken durch externe Entwicklungsparteien zu minimieren und sicherzustellen, dass entwickelte Systeme und Software den definierten Sicherheitsstandards entsprechen.

Anforderungen und Maßnahmen

1. Festlegung von Sicherheitsanforderungen für ausgegliederte Entwicklung

Organisationen müssen Sicherheitsanforderungen für ausgegliederte Entwicklungsaktivitäten definieren, insbesondere:

• Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
• Vorgaben für Entwicklungsprozesse und -methoden
• Sicherheitsanforderungen an eingesetzte Werkzeuge und Umgebungen
• Verantwortlichkeiten und Zuständigkeiten

Die Anforderungen müssen dokumentiert sein.

2. Vertragliche Regelungen mit externen Entwicklern

Sicherheitsanforderungen müssen vertraglich festgelegt werden:

• Vertraulichkeits- und Geheimhaltungsvereinbarungen
• Regelungen zu geistigem Eigentum
• Vorgaben zu Sicherheitsprüfungen und Audits
• Meldepflichten bei Sicherheitsvorfällen

Verträge bilden die Grundlage der Steuerung.

3. Auswahl und Bewertung externer Entwicklungsparteien

Externe Entwicklungsparteien müssen sorgfältig ausgewählt werden:

• Bewertung der Sicherheitskompetenz
• Prüfung von Referenzen oder Zertifizierungen
• Einschätzung von Risiken
• Dokumentation der Auswahlentscheidung

So werden geeignete Partner gewählt.

4. Kontrolle des Zugriffs auf Informationen und Systeme

Der Zugriff externer Entwickler muss kontrolliert werden:

• Zugriff nur auf notwendige Informationen
• zeitliche Begrenzung von Zugriffsrechten
• Nutzung sicherer Zugangswege
• Trennung von Entwicklungs- und Produktivsystemen

Dies reduziert Missbrauchsrisiken.

5. Überwachung und Steuerung der Entwicklungsaktivitäten

Ausgegliederte Entwicklungsaktivitäten müssen überwacht werden:

• regelmäßige Status- und Sicherheitsreviews
• Nachverfolgung von Sicherheitsanforderungen
• Kontrolle der Einhaltung definierter Prozesse
• Dokumentation der Ergebnisse

So bleibt die Entwicklung unter Kontrolle.

6. Sicherheitsprüfungen und Abnahmen

Ergebnisse ausgegliederter Entwicklung müssen geprüft werden:

• Durchführung von Sicherheits- und Qualitätstests
• Überprüfung des Quellcodes
• formale Abnahmeprozesse
• Dokumentation der Freigaben

Dies stellt sichere Ergebnisse sicher.

7. Umgang mit Sicherheitsvorfällen und Schwachstellen

Der Umgang mit Vorfällen muss geregelt sein:

• Melde- und Reaktionspflichten
• Zusammenarbeit bei der Analyse
• zeitnahe Behebung von Schwachstellen
• Nachverfolgung der Maßnahmen

So werden Risiken wirksam behandelt.

8. Dokumentation und kontinuierliche Verbesserung

Regelungen zur ausgegliederten Entwicklung müssen dokumentiert und überprüft werden:

• Sicherheitsanforderungen und Verträge
• Nachweise über Prüfungen und Kontrollen
• Bewertung von Vorfällen
• Anpassung der Steuerungsmechanismen

Die Dokumentation unterstützt Audits und Weiterentwicklung.

Zusammenfassung

A 8.30 fordert, dass Organisationen ausgegliederte Entwicklungsaktivitäten systematisch absichern. Durch klare Sicherheitsanforderungen, vertragliche Regelungen, kontrollierten Zugriff, kontinuierliche Überwachung sowie umfassende Prüf- und Abnahmeprozesse wird sichergestellt, dass externe Entwicklungspartner keine Schwachstelle der Informationssicherheit darstellen. Das Control ist ein zentraler Bestandteil sicherer Softwareentwicklung im Informationssicherheitsmanagementsystem.