CompliantDesk

A.8 Technologische Maßnahmen

A.8.27

Sichere Systemarchitektur und Entwicklungsprinzipien

ISO 27001TISAXBSI

Prinzipien für die Entwicklung sicherer Systeme müssen festgelegt, dokumentiert, gepflegt und auf alle Entwicklungsaktivitäten angewendet werden.

Was fordert dieses Control?

Prinzipien für die Entwicklung sicherer Systeme müssen festgelegt, dokumentiert, gepflegt und auf alle Entwicklungsaktivitäten angewendet werden.

Warum ist das wichtig?

Sichere Architekturprinzipien wie Defense in Depth und Least Privilege sorgen dafür, dass Systeme grundsätzlich robust entworfen werden, nicht erst nachträglich abgesichert.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX5.2.4Direkt
BSICON.8Direkt

Was der Auditor erwartet

  1. 1Dokumentierte sichere Architekturprinzipien
  2. 2Anwendung auf Entwicklungs- und Integrationsprojekte
  3. 3Pflege der Prinzipien bei neuen Bedrohungen

Audit-Checkliste

Dokumente

  • Architektur-/Entwicklungsprinzipien

    Prinzipien wie Defense in Depth, Least Privilege, Fail Secure

Nachweise

  • Architekturentscheidungen

    Anwendung der Prinzipien in konkreten Systemen

Interviews

  • Architekten / Entwickler

    Kenntnis und Anwendung der Prinzipien

Praxis-Tipps zur Umsetzung

1

Defense in Depth

Mehrere Schutzschichten statt einer einzigen Verteidigungslinie.

2

Sichere Defaults

Systeme im Auslieferungszustand sicher konfigurieren (Secure by Default).

3

Prinzipien pflegen

Architekturprinzipien an neue Bedrohungen und Technologien anpassen.

Häufige Fehler

Sicherheit aufgesetzt

Architektur ohne Sicherheitsprinzipien, Schutz wird nachträglich angeflanscht.

Prinzipien veraltet

Vorgaben werden nie aktualisiert und passen nicht zur aktuellen Bedrohungslage.

Häufig gestellte Fragen

Was sind typische sichere Architekturprinzipien?

Defense in Depth, Least Privilege, Fail Secure, Secure Defaults und Minimierung der Angriffsfläche.

Gilt das nur für Eigenentwicklung?

Primär dafür, aber die Prinzipien sollten auch bei Integration und Konfiguration beschaffter Systeme leiten.

Wie dokumentiert man das?

Über ein gepflegtes Set an Architektur- und Entwicklungsprinzipien, auf das Projekte verbindlich Bezug nehmen.

So hilft CompliantDesk bei A.8.27

Hinterlegen Sie Ihre sicheren Architekturprinzipien als Richtlinie und verknüpfen Sie sie mit dem sicheren Entwicklungslebenszyklus.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.8.25

Sicherer Entwicklungslebenszyklus

A.8.26

Anforderungen an die Anwendungssicherheit

A.8.28

Sichere Programmierung