5 Teil 5: V-Modell-Referenz Produkte

5.3 Produkte

5.3.7 Anforderungen und Analysen

5.3.7.9 Informationssicherheitskonzept

Vorgehensbaustein: Sicherheit (AN)

Verantwortlich: Informationssicherheitsbeauftragter (bei Verwendung des Vorgehensbausteins Sicherheit (AN))

Aktivität: Informationssicherheitskonzept erstellen

Produktattribute: initial

Sinn und Zweck

Das Informationssicherheitskonzept ist in jedem IT-Projekt sowie in Projekten mit IT-Anteil zu erstellen.

Das projektbezogene Informationssicherheitskonzept enthält alle an das zu entwickelnde System verbindlich gestellten Informationssicherheitsanforderungen und die Informationssicherheitsmaßnahmen zum Schutz der Informationen vor Verlust der Integrität, Verbindlichkeit, Vertraulichkeit und Verfügbarkeit sowie die Informationssicherheitsanforderungen und Informationssicherheitsmaßnahmen zum Schutz der technischen Anlagen zur Informationsverarbeitung und Informationsübermittlung.

Im Rahmen der Erstellung und Fortschreibung des Informationssicherheitskonzepts sind seine Inhalte auf Korrektheit, Konsistenz und Vollständigkeit zu überprüfen und ggf. anzupassen.

Während der Nutzung ist das Informationssicherheitskonzept bei technischen Änderungen, Vorschriftenänderungen, Änderungen der Gefährdungslage, Erweiterung der Funktionalität sowie Baumaßnahmen fortzuschreiben.

Für die Erstellung des Informationssicherheitskonzepts ist der »Informationssicherheitsbeauftragter Projekt verantwortlich.

Wird erzeugt von

Implementierungs-, Integrations- und Prüfkonzept SW, SW-Architektur (siehe Produktabhängigkeit 4.18)

HW-Architektur, Implementierungs-, Integrations- und Prüfkonzept HW (siehe Produktabhängigkeit 4.7)

Implementierungs-, Integrations- und Prüfkonzept SW, SW-Architektur (siehe Produktabhängigkeit 4.19)

Implementierungs-, Integrations- und Prüfkonzept SW, SW-Architektur (siehe Produktabhängigkeit 4.17)

HW-Architektur, Implementierungs-, Integrations- und Prüfkonzept HW (siehe Produktabhängigkeit 4.8)

HW-Architektur, Implementierungs-, Integrations- und Prüfkonzept HW (siehe Produktabhängigkeit 4.6)

Implementierungs-, Integrations- und Prüfkonzept System, Unterstützungs-Systemarchitektur (siehe Produktabhängigkeit 4.16)

Implementierungs-, Integrations- und Prüfkonzept Unterstützungssystem, Unterstützungs-Systemarchitektur (siehe Produktabhängigkeit 4.24)

Implementierungs-, Integrations- und Prüfkonzept Unterstützungssystem, Unterstützungs-Systemarchitektur (siehe Produktabhängigkeit 4.5)

Implementierungs-, Integrations- und Prüfkonzept Unterstützungssystem, Unterstützungs-Systemarchitektur (siehe Produktabhängigkeit 4.21)

Implementierungs-, Integrations- und Prüfkonzept System, Systemarchitektur (siehe Produktabhängigkeit 4.15)

Implementierungs-, Integrations- und Prüfkonzept System, Systemarchitektur (siehe Produktabhängigkeit 4.23)

Implementierungs-, Integrations- und Prüfkonzept System, Systemarchitektur (siehe Produktabhängigkeit 4.4)

Implementierungs-, Integrations- und Prüfkonzept System, Systemarchitektur (siehe Produktabhängigkeit 4.20)

Gesamtsystemspezifikation (Pflichtenheft) (siehe Produktabhängigkeit 4.25)

Gesamtsystemspezifikation (Pflichtenheft) (siehe Produktabhängigkeit 4.26)

Hängt inhaltlich ab von

Projekthandbuch, Datenschutzkonzept, Sicherheitsanalyse (siehe Produktabhängigkeit 5.46)

Projekthandbuch, Gesamtsystemspezifikation (Pflichtenheft), Datenschutzkonzept (siehe Produktabhängigkeit 5.47)

5.3.7.9.1 Darstellung des Projekts, Einsatzumgebung

Neben einem allgemeinen Überblick über das Projekt sind Einsatzzweck und Einsatzumgebung grob zu beschreiben.

5.3.7.9.2 Schutzbedarf

Die verarbeiteten bzw. übermittelten Informationen mit ihrer Einstufung bezüglich Vertraulichkeit und ihrer Bewertung bezüglich Integrität, Verbindlichkeit und Verfügbarkeit sind anzugeben.

5.3.7.9.3 Systemarchitektur aus Sicht der Informationssicherheit

Die Systemarchitektur ist aus Sicht der Informationssicherheit darzustellen. Die erforderliche Infrastruktur sowie organisatorische und personelle Rahmenbedingungen sind anzugeben.

5.3.7.9.4 Informationssicherheitsanforderungen

Die Informationssicherheitsanforderungen, unterteilt in technische, organisatorische, personelle und materielle Informationssicherheitsanforderungen, sind anzugeben.

5.3.7.9.5 Informationssicherheitsmaßnahmen

Die erforderlichen Informationssicherheitsmaßnahmen, unterteilt in technische, organisatorische, personelle und materielle Informationssicherheitsmaßnahmen, sind zu beschreiben. Für die Realisierung der Informationssicherheitsmaßnahmen vorgesehene Produkte sind anzugeben.

5.3.7.9.6 Verbleibende Risiken

Sofern Informationssicherheitsanforderungen durch die Informationssicherheitsmaßnahmen nicht voll abgedeckt werden können, sind die verbleibenden Risiken zu beschreiben.

5.3.7.9.7 Notfallplan

Die erforderlichen Notfallmaßnahmen sind zu erarbeiten. Hierzu gehört insbesondere die detaillierte Beschreibung der Vorgehensweise zur Wiederherstellung der Systemfunktionalität nach einem Teil- oder Totalausfall des Systems.

5.3.7.9.8 Vorgaben zur Überprüfung der Wirksamkeit der Maßnahmen

Vorgaben zur Überprüfung der Wirksamkeit der Maßnahmen und zur Aufrechterhaltung der Informationssicherheit sind festzuschreiben. Hierzu zählen insbesondere auch Festlegungen zu erforderlichen Schulungs- und Sensibilisierungsmaßnahmen.

Teil 1: Grundlagen des V-Modells
Teil 2: Eine Tour durch das V-Modell
Teil 3: V-Modell-Referenz Tailoring
Teil 4: V-Modell-Referenz Rollen
Teil 5: V-Modell-Referenz Produkte
Einleitung
Überblick über das Produktmodell des V-Modells
Produkte
Angebots- und Vertragswesen
Planung und Steuerung
Berichtswesen
Konfigurations- und Änderungsmanagement
Prüfung
Ausschreibungs- und Vertragswesen
Anforderungen und Analysen
Vorschlag zur Einführung und Pflege eines organisationsspezifischen Vorgehensmodells
Projektvorschlag
Lastenheft Gesamtprojekt
Bewertung Lastenheft Gesamtprojekt
Anforderungen (Lastenheft)
Anforderungsbewertung
Anwenderaufgabenanalyse
Datenschutzkonzept
Informationssicherheitskonzept
Darstellung des Projekts, Einsatzumgebung
Schutzbedarf
Systemarchitektur aus Sicht der Informationssicherheit
Informationssicherheitsanforderungen
Informationssicherheitsmaßnahmen
Verbleibende Risiken
Notfallplan
Vorgaben zur Überprüfung der Wirksamkeit der Maßnahmen
Sicherheitsanalyse
Altsystemanalyse
Marktsichtung für Fertigprodukte
Make-or-Buy-Entscheidung
Systemelemente
Systemspezifikationen
Systementwurf
Logistikelemente
Logistische Konzeption
Prozessverbesserung
Erzeugende Produktabhängigkeiten
Inhaltliche Produktabhängigkeiten
Produktindex (nach Disziplinen)
Produktindex (alphabetisch)
Abbildungsverzeichnis
Teil 6: V-Modell-Referenz Aktivitäten
Teil 7: V-Modell-Referenz Konventionsabbildungen
Teil 8: Anhang
Teil 9: Vorlagen