CompliantDesk

A.8 Technologische Maßnahmen

A.8.26

Anforderungen an die Anwendungssicherheit

ISO 27001TISAXBSI

Informationssicherheitsanforderungen müssen bei der Entwicklung oder Beschaffung von Anwendungen identifiziert, spezifiziert und genehmigt werden.

Was fordert dieses Control?

Informationssicherheitsanforderungen müssen bei der Entwicklung oder Beschaffung von Anwendungen identifiziert, spezifiziert und genehmigt werden.

Warum ist das wichtig?

Sicherheitsanforderungen, die früh definiert werden, lassen sich gezielt umsetzen und testen. Fehlen sie, entstehen Lücken, die später teuer zu beheben sind.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX5.2.4Direkt
BSICON.8Direkt

Was der Auditor erwartet

  1. 1Definierte Sicherheitsanforderungen je Anwendung
  2. 2Berücksichtigung bei Entwicklung und Beschaffung
  3. 3Genehmigung der Anforderungen

Audit-Checkliste

Dokumente

  • Anforderungskataloge

    Sicherheitsanforderungen für Anwendungen, z.B. an Authentisierung und Transaktionen

Nachweise

  • Spezifikationen / Abnahmen

    Berücksichtigte und genehmigte Anforderungen

Praxis-Tipps zur Umsetzung

1

Standardkatalog nutzen

Wiederverwendbare Sicherheitsanforderungen, etwa angelehnt an OWASP ASVS.

2

Auch bei Einkauf

Sicherheitsanforderungen auch an beschaffte Software stellen.

3

Transaktionen schützen

Besonders Authentisierung, Autorisierung und schützenswerte Transaktionen abdecken.

Häufige Fehler

Nur funktional

Es werden nur Features spezifiziert, keine Sicherheitsanforderungen.

Einkauf ungeprüft

Beschaffte Anwendungen werden ohne Sicherheitsanforderungen übernommen.

Häufig gestellte Fragen

Gilt das auch für gekaufte Software?

Ja, auch bei Beschaffung müssen Sicherheitsanforderungen definiert und geprüft werden.

Woran orientiert man Sicherheitsanforderungen?

An anerkannten Katalogen wie OWASP ASVS und am Schutzbedarf der verarbeiteten Daten.

Wann werden die Anforderungen definiert?

Möglichst früh, bereits in der Anforderungs- und Designphase.

So hilft CompliantDesk bei A.8.26

Führen Sie Sicherheitsanforderungen je Anwendung als Kontrollen und verknüpfen Sie sie mit Risiken und Tests im Entwicklungsprozess.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.8.25

Sicherer Entwicklungslebenszyklus

A.8.27

Sichere Systemarchitektur und Entwicklungsprinzipien

A.8.29

Sicherheitstests in Entwicklung und Abnahme