Sichere Software-Entwicklung mit ISO 27034-1

Neuer ISO-Standard für die Entwicklung sicherer Cloud-Anwendungen

| Autor / Redakteur: Michael Matzer / Florian Karlstetter

1) Organizational Normative Framework (ONF)

Das ONF umfasst sogenannte "Container" für alle Komponenten von Best Practices hinsichtlich Anwendungssicherheit, die von einer Organisation bzw. einem Unternehmen katalogisiert und genutzt werden. Dazu gehören der geschäftliche, der rechtliche und der technische Kontext mit allen Spezifikationen, Rollen und Prozessen. Wer darf sich beispielsweise überhaupt mit dem Thema Anwendungssicherheit befassen? Wohl kaum die Putzkolonne, sondern vielmehr qualifiziertes und streng überwachtes Personal, das weiß, was es tut.

Eine Application Security Control (ASC) Library dient als Repository für die grundlegenden Spezifikationen der ONF-Container. Das Mapping eines Anwendungssicherheits-Lifecycle- Referenzmodells auf die Lifecycle-Modelle eines Unternehmens ist im Framework enthalten. Das erleichtert seine Einbindung in die IT-Architektur des Unternehmens.

2) Application Normative Framework (ANF)

Das ANF kann man sich als Ableitung des ONF für eine spezifische Anwendung vorstellen. Wenn also eine Anwendung, die wesentlich für die Verarbeitung und Weitergabe vertraulicher, weil personenbezogener Daten ist, sicher sein soll, dann ist das ANF anzuwenden, um die nötige Sicherheitsfreigabe zu erreichen. Weil eine Organisation in der Regel nicht nur eine Anwendung betreibt, liegt meist eine Eins-zu-vielen-Beziehung zwischen dem ONF und den ANF-Implementierungen vor.

Jede ANF muss verwaltet werden. Dazu dient der vordefinierte Application Security Management Process (ASMP). Er umfasst fünf Schritte oder Phasen:

  • 1. Das Festlegen der Anforderungen an eine Anwendung und ihre Umgebung;
  • 2. das Einschätzen der Sicherheitsrisiken für eine Anwendung;
  • 3. das Erstellen und Pflegen des entsprechenden ANF;
  • 4. das Provisionieren und Betreiben der Anwendung;
  • 5. das Auditieren der Sicherheit einer Anwendung.

Mit Hilfe eines ONF-Management-Prozesses lässt sich das Rahmenwerk selbst laufend iterativ verbessern. Diese Verbesserungen werden automatisch an die ANFs vererbt. Aber auch Verbesserungen, die auf ANF-Ebene erzielt werden, können an das Mutter-ONF geliefert werden.

Um die allgemeine Anwendbarkeit des Standards 27034-1 sicherzustellen, vermeidet die ISO jede Vorschrift oder Empfehlung, was den Einsatz bestimmter Technologien, bestimmte Sicherheitskontrollen im Entwicklungszyklus oder die Anwendung auf bestimmte Wirtschaftszweige anbelangt. Weil es sich also um einen universellen und unabhängigen Standard handelt, kann jeder IT-Experte mit der ISO 27034 sowohl die Qualität als auch die Vollständigkeit seines eigenen Anwendungssicherheitsprogramm beurteilen.

Andersherum wird jedoch der ISO 27034-1-Standard zum Maßstab für die Bewertung und Zertifizierung aller Softwareentwicklungszyklen, die wenigstens die ISO 27011-Norm erfüllen wollen bzw. sollen. ISO 27023-1 umfasst nämlich bereits die Umsetzungsvorschriften des ISO 27002 und kann daher für ganz hemdsärmelige, handlungsorientierte Verfahren zur Qualitätssicherung eingesetzt werden.

Die Rolle Microsofts

Wie sich herumgesprochen haben dürfte, startete Bill Gates 2002 mit einem internen Memorandum Microsofts Initiative "Trustworthy Computing". Es dauerte bis 2007, bis die Richtlinien für einen Secure Development Lifecycle (SDL) veröffentlicht werden konnten, so dass Partner in der Lage waren, sie zu übernehmen und anzuwenden. ((Bild 4)) Daher verwundert es wenig, wenn dieser SDL heute im Anhang 1 des ISO 27034-1 als erstes Beispiel für die Anwendung des Standards genannt wird. Tatsächlich hat sich Microsoft am 13. Mai 2013 als konform mit dem ISO 27034-1 erklärt, um, wie Microsofts Partner Director Steve Lipner sagte, "ein Beispiel zu geben". Ein Mapping des Microsoft-SDL auf das ONF des ISO 27034-1 weist zahlreiche Parallelen auf.

Die Bedeutung des Standards

Sowohl Softwarehersteller als auch Kunden profitieren vom neuen Standard. Sie sprechen nun die gleiche Sprache, verfügen über die gleichen Qualitätskriterien und die gleichen Handlungsempfehlungen. Kunden sehen sich endlich in der glücklichen Position, die Sicherheitsniveaus der ihnen angebotenen Produkte vergleichen und bewerten zu können, BEVOR sie sie einführen. Und wenn ein Hersteller keine Zertifizierung nach ISO 27034-1 vorweisen kann, ist er sofort im Nachteil.

Da beratende Gremien wie SAFEcode, die Cloud Security Alliance (CSA) sowie die Vorschriften des PCI/DSS (Payment Card Industry/Data Security Standard) den neuen Standard unterstützen und teils übernehmen, ist es nur eine Frage der Zeit, bis sich ISO 27034-1 als branchenweite Mindestanforderung für Informations- und Anwendungssicherheit durchsetzt. Jeder Sicherheitsvorfall, der sich ereignet, erhöht den Druck auf die Betroffenen (d.h. ein Unternehmen und seine Softwarelieferanten), sich konform zum ISO 27034-1 aufzustellen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39940250 / Recht und Datenschutz)