1 Einleitung
ISO/IEC 27034
Die ISO/IEC 27034 widmet sich der Applikations- bzw. Anwendungssicherheit. Sie besteht aus mehreren Teilen, deren erster einen Überblick über die verschiedenen Teile gibt und die Konzepte vorstellt. Dieser Kurzhinweis geht insbesondere auf die ISO/IEC 27034-1 und die dortigen Grundlagen ein. Außerdem gibt er einen kurzgefassten Einblick in die weiteren Standards dieser Reihe.
Die ISO/IEC 27034 widmet sich der Applikations- bzw. Anwendungssicherheit. Sie besteht aus mehreren Teilen, deren erster einen Überblick über die verschiedenen Teile gibt und die Konzepte vorstellt. Dieser Kurzhinweis geht insbesondere auf die ISO/IEC 27034-1 und die dortigen Grundlagen ein. Außerdem gibt er einen kurzgefassten Einblick in die weiteren Standards dieser Reihe.
2 ISO/IEC 27034-1
Anwendungssicherheit
Im November 2011 veröffentlichte die ISO den Standard ISO/IEC 27034-1 Information technology – Security techniques – Application security, Part 1: Overview and concepts [1]. Die ISO/IEC 27034 unterstützt Organisationen dabei, Sicherheit in jene Prozesse zu integrieren, die sie zum Management ihrer Anwendungen nutzt. Teil 1 des Standards gibt einen Überblick über die Anwendungssicherheit. Er stellt Definitionen, Konzepte, Prinzipien und Prozesse vor.
Im November 2011 veröffentlichte die ISO den Standard ISO/IEC 27034-1 Information technology – Security techniques – Application security, Part 1: Overview and concepts [1]. Die ISO/IEC 27034 unterstützt Organisationen dabei, Sicherheit in jene Prozesse zu integrieren, die sie zum Management ihrer Anwendungen nutzt. Teil 1 des Standards gibt einen Überblick über die Anwendungssicherheit. Er stellt Definitionen, Konzepte, Prinzipien und Prozesse vor.
Aufbau
Die Anfangskapitel des Standards gehen nach der umfangreichen Einleitung wie üblich auf den Geltungsbereich des Standards sowie normative Referenzen ein und enthalten Begriffe und deren Definitionen sowie Abkürzungen. An den Überblick über die Struktur des Standards schließen sich die folgenden Kapitel an:
Die Anfangskapitel des Standards gehen nach der umfangreichen Einleitung wie üblich auf den Geltungsbereich des Standards sowie normative Referenzen ein und enthalten Begriffe und deren Definitionen sowie Abkürzungen. An den Überblick über die Struktur des Standards schließen sich die folgenden Kapitel an:
| • | Einführung in die Anwendungssicherheit |
| • | Übergreifende Prozesse |
| • | Konzepte |
| • | Anhänge A–C |
Einleitung
Die Einleitung stellt den Zweck des Standards, dessen Zielgruppen sowie Prinzipien und die Beziehung zu anderen ISO-Standards dar. Die Autoren des Standards führen aus, dass Unternehmen ihre Informationen und ihre technische Infrastruktur traditionell auf der IT-Ebene schützen, indem sie Perimeter und Komponenten der technischen Infrastruktur schützen.
Die Einleitung stellt den Zweck des Standards, dessen Zielgruppen sowie Prinzipien und die Beziehung zu anderen ISO-Standards dar. Die Autoren des Standards führen aus, dass Unternehmen ihre Informationen und ihre technische Infrastruktur traditionell auf der IT-Ebene schützen, indem sie Perimeter und Komponenten der technischen Infrastruktur schützen.
Dies reicht jedoch nicht aus. Zunehmend schützen sich Organisationen auf der Governance-Ebene, indem sie Information-Security-Management-Systeme (ISMS) betreiben. Gleichzeitig entsteht der Bedarf, sich auf Anwendungsebene zu schützen, damit Anwendungen das tolerierte Risikoniveau nicht überschreiten.
Die ISO/IEC 27034 soll Unternehmen darbei unterstützen, Sicherheit in den Lebenszyklus von Anwendungen zu integrieren. Dazu stellt sie Konzepte, Prinzipien, Rahmenwerke, Komponenten, Prozesse und Richtlinien zur Verfügung. Der Standard unterstützt die allgemeinen Konzepte der ISO/IEC 27001 und stellt ein Rahmenwerk bereit, um die Security Controls der ISO/IEC 27002 und anderer Standards zu implementieren.
Zielgruppen
Zielgruppen der ISO/IEC 27034 sind Manager, die während des Lebenszyklus einer Anwendung in deren Management involviert sind, sowie die Entwicklungsmannschaft (Projektteam) und die Betriebsgruppen. Darüber hinaus wendet sich der Standard an Mitarbeiter des Einkaufs und Personen, die Produkte oder Dienstleistungen bereitstellen, sowie Auditoren und Nutzer.
Zielgruppen der ISO/IEC 27034 sind Manager, die während des Lebenszyklus einer Anwendung in deren Management involviert sind, sowie die Entwicklungsmannschaft (Projektteam) und die Betriebsgruppen. Darüber hinaus wendet sich der Standard an Mitarbeiter des Einkaufs und Personen, die Produkte oder Dienstleistungen bereitstellen, sowie Auditoren und Nutzer.
Prinzipien
Security ist Teil der Anforderungen an eine Anwendung und muss daher in jeder Phase des Application Life Cycle berücksichtigt werden. Die Anforderungen an die Anwendungssicherheit ergeben sich aus dem geschäftlichen, dem regulatorischen und dem technologischen Kontext. Die Investitionen in die Anwendungssicherheit sollten im Einklang mit dem angestrebten Level of Trust stehen. Zudem sollte die Anwendungssicherheit nachgewiesen werden.
Security ist Teil der Anforderungen an eine Anwendung und muss daher in jeder Phase des Application Life Cycle berücksichtigt werden. Die Anforderungen an die Anwendungssicherheit ergeben sich aus dem geschäftlichen, dem regulatorischen und dem technologischen Kontext. Die Investitionen in die Anwendungssicherheit sollten im Einklang mit dem angestrebten Level of Trust stehen. Zudem sollte die Anwendungssicherheit nachgewiesen werden.
Beziehung zu ISO-Standards
In der Abbildung 1, die an die Grafik 1 des Standards angelehnt ist, sind die Zusammenhänge mit anderen ISO-Standards veranschaulicht. Dabei gibt es drei Beziehungsarten: zum einen Standards, die Kontrollelemente als Basis für Application Security Controls (ASC) zur Verfügung stellen, zum zweiten solche, die die Implementierung unterstützen, und zum dritten Standards, die Sicherheitsprozesse und Aktivitäten bereitstellen. Zu letzteren gehören die ISO 12207 und die ISO 15288, die Software- bzw. System-Lebenszyklusprozesse behandeln.
In der Abbildung 1, die an die Grafik 1 des Standards angelehnt ist, sind die Zusammenhänge mit anderen ISO-Standards veranschaulicht. Dabei gibt es drei Beziehungsarten: zum einen Standards, die Kontrollelemente als Basis für Application Security Controls (ASC) zur Verfügung stellen, zum zweiten solche, die die Implementierung unterstützen, und zum dritten Standards, die Sicherheitsprozesse und Aktivitäten bereitstellen. Zu letzteren gehören die ISO 12207 und die ISO 15288, die Software- bzw. System-Lebenszyklusprozesse behandeln.
3 Struktur der ISO/IEC 27034
Status
Die ISO/IEC 27034-1:2011 gibt einen Überblick über die Teile der ISO/IEC 27034 im Stand 2011. Im Jahr 2014 gab es zu ihr ein Corrigendum. Im Jahr 2017 hat die ISO die ISO/IEC 27034-1:2011 geprüft und bestätigt, sodass sie die aktuelle Fassung bleibt.
Die ISO/IEC 27034-1:2011 gibt einen Überblick über die Teile der ISO/IEC 27034 im Stand 2011. Im Jahr 2014 gab es zu ihr ein Corrigendum. Im Jahr 2017 hat die ISO die ISO/IEC 27034-1:2011 geprüft und bestätigt, sodass sie die aktuelle Fassung bleibt.
Gemäß ISO/IEC 27034-1:2011 soll die ISO/IEC-27034-Reihe die Teile 1 bis 6 mit den dazu angegebenen Inhalten umfassen. Die Teile 2 bis 6 befanden sich zum damaligen Zeitpunkt in Entwicklung. Die Teile 2, 3, 5 und 6 liegen inzwischen vor, ergänzt um den Teil 5-1 mit den XML-Schemata. Im Jahr 2018 ist der Teil 7 mit dem Rahmenwerk zur Prognose des Vertrauenslevels hinzugekommen.
| Acht Teile Teil 1 Überblick und Konzepte:Definitionen, Konzepte, Prinzipien und Prozesse für die Anwendungssicherheit [1] | |
| Teil 2 Rahmenwerk Unternehmensstandards:Rahmenwerk, Komponenten und organisatorische Steuerungsprozesse [2] | |
| Teil 3 Managementprozess der Anwendungssicherheit:Prozesse in einem Anwendungsprojekt [3] | |
| Teil 4 Validierung der Anwendungssicherheit:Validierungs- und Zertifizierungsprozess zur Messung des aktuellen Level of Trust der Anwendung [4] | |
| Teil 5 Protokolle und Datenstruktur für Kontrollelemente zur Anwendungssicherheit [5] | |
| Teil 5-1 XML-Schemata für Application Security Controls (ASC) [6] | |
| Teil 6 Anleitung für die Sicherheit spezifischer Anwendungen (optional):mit Fallstudien und Beispielen für ASCs [7] | |
| Teil 7 Rahmenwerk zur Vertrauensprognose [8] |
4 Einführung in die Anwendungssicherheit
Anwendungssicherheit
Die ISO/IEC 27034-1 definiert Anwendungen als „IT-Lösung, die Anwendungssoftware, Anwendungsdaten und Abläufe enthält ...”.
Die ISO/IEC 27034-1 definiert Anwendungen als „IT-Lösung, die Anwendungssoftware, Anwendungsdaten und Abläufe enthält ...”.
Anwendungssicherheit versteht der Standard als einen Prozess, mittels dessen Anwendungen mit Kontrollelementen ausgestattet und gemessen werden, um das Nutzungsrisiko steuern zu können. Kontrollelemente und Messungen beziehen sich dabei auf die Anwendung und deren Daten, auf sämtliche Technologien und Prozesse sowie auf Akteure, seien es Personen oder Prozesse, die eine Aktivität im Anwendungslebenszyklus wahrnehmen.
Geltungsbereich
Anwendungssicherheit dient dem Schutz kritischer Daten und erstreckt sich zum einen auf deren Verfügbarkeit, Integrität und Vertraulichkeit und zum anderen auf die Authentifizierung und Nichtabstreitbarkeit jener Nutzer, die auf die Daten zugreifen. Anwendungssicherheit erfordert die Betrachtung zusätzlicher Elemente, die über den Schutz der Anwendung selbst hinausgehen. Dazu gehören der geschäftliche, der regulatorische und der technologische Kontext, die Prozesse im Anwendungslebenszyklus und organisatorische Prozesse, die mit der Anwendung in Zusammenhang stehen, wie z. B. Nutzungs- und Backup-Prozesse. Hinzu kommen der technologische Kontext in Form genutzter Produkte und technischer Komponenten, ferner die Spezifikation und die Daten der Anwendung, kritische Unternehmensdaten und Nutzerdaten sowie Rollen und Berechtigungen.
Anwendungssicherheit dient dem Schutz kritischer Daten und erstreckt sich zum einen auf deren Verfügbarkeit, Integrität und Vertraulichkeit und zum anderen auf die Authentifizierung und Nichtabstreitbarkeit jener Nutzer, die auf die Daten zugreifen. Anwendungssicherheit erfordert die Betrachtung zusätzlicher Elemente, die über den Schutz der Anwendung selbst hinausgehen. Dazu gehören der geschäftliche, der regulatorische und der technologische Kontext, die Prozesse im Anwendungslebenszyklus und organisatorische Prozesse, die mit der Anwendung in Zusammenhang stehen, wie z. B. Nutzungs- und Backup-Prozesse. Hinzu kommen der technologische Kontext in Form genutzter Produkte und technischer Komponenten, ferner die Spezifikation und die Daten der Anwendung, kritische Unternehmensdaten und Nutzerdaten sowie Rollen und Berechtigungen.
Sicherheitsanforderungen
Risikobewertungen ermitteln die funktionalen und nichtfunktionalen Sicherheitsanforderungen an die Anwendung. Daher sollte das Application Requirements Engineering um Risikobewertungen erweitert werden.
Risikobewertungen ermitteln die funktionalen und nichtfunktionalen Sicherheitsanforderungen an die Anwendung. Daher sollte das Application Requirements Engineering um Risikobewertungen erweitert werden.
Anwendungssicherheit und ISMS
Der Prozess Anwendungssicherheit unterstützt die Ziele eines ISMS, indem er jene Informationen schützt, die mit einer Anwendung in Zusammenhang stehen. Zudem ermöglicht er ein angemessenes Risikomanagement.
Der Prozess Anwendungssicherheit unterstützt die Ziele eines ISMS, indem er jene Informationen schützt, die mit einer Anwendung in Zusammenhang stehen. Zudem ermöglicht er ein angemessenes Risikomanagement.
Risikomanagement
Aus der Nutzung von Anwendungen entstehen für eine Organisation Risiken. Diese ergeben sich bekanntermaßen aus Bedrohungen und Schwachstellen sowie den Folgen einer Sicherheitsverletzung. Als Ursachen von Schwachstellen identifiziert die ISO/IEC 27034-1 Akteure, Prozesse, technologischen Kontext und Spezifikationen. Für das Management von Risiken in Bezug auf die Anwendungssicherheit sollten dem Standard zufolge die gleichen Prozesselemente, d. h. Risikobewertung, -behandlung, -annahme, -kommunikation und -überwachung, zum Einsatz kommen, wie sie die ISO/IEC 27005 beschreibt, jedoch granularer und angepasst an die Anwendungsebene.
Aus der Nutzung von Anwendungen entstehen für eine Organisation Risiken. Diese ergeben sich bekanntermaßen aus Bedrohungen und Schwachstellen sowie den Folgen einer Sicherheitsverletzung. Als Ursachen von Schwachstellen identifiziert die ISO/IEC 27034-1 Akteure, Prozesse, technologischen Kontext und Spezifikationen. Für das Management von Risiken in Bezug auf die Anwendungssicherheit sollten dem Standard zufolge die gleichen Prozesselemente, d. h. Risikobewertung, -behandlung, -annahme, -kommunikation und -überwachung, zum Einsatz kommen, wie sie die ISO/IEC 27005 beschreibt, jedoch granularer und angepasst an die Anwendungsebene.
Da die Zielumgebung die Bedrohungen für eine Anwendung bestimmt, muss sie zu Beginn eines Anwendungsprojekts festgelegt und Änderungen müssen in der Folge berücksichtigt werden.
5 Übergreifende Prozesse
Komponenten, Prozesse, Rahmenwerke
Die ISO/IEC 27034 stellt als Teil von zwei übergreifenden Prozessen Komponenten, Prozesse und Rahmenwerke bereit, damit Unternehmen vertrauenswürdige Anwendungen zu vertretbaren Kosten beschaffen, entwickeln und nutzen können. Als übergreifende Prozesse sieht der Standard den Organization Normative Framework (ONF) Management Process (ONFMP) sowie den Prozess zum Management der Anwendungssicherheit, den Application Security Management Process (ASMP), vor. Der ONFMP wendet sich jenen Aspekten zu, die sich übergreifend auf die Sicherheit von Anwendungen beziehen, die das Unternehmen einsetzt. Der ASMP widmet sich demgegenüber der Sicherheit jeder einzelnen Anwendung. Er enthält dementsprechend die fünf Prozessschritte
Die ISO/IEC 27034 stellt als Teil von zwei übergreifenden Prozessen Komponenten, Prozesse und Rahmenwerke bereit, damit Unternehmen vertrauenswürdige Anwendungen zu vertretbaren Kosten beschaffen, entwickeln und nutzen können. Als übergreifende Prozesse sieht der Standard den Organization Normative Framework (ONF) Management Process (ONFMP) sowie den Prozess zum Management der Anwendungssicherheit, den Application Security Management Process (ASMP), vor. Der ONFMP wendet sich jenen Aspekten zu, die sich übergreifend auf die Sicherheit von Anwendungen beziehen, die das Unternehmen einsetzt. Der ASMP widmet sich demgegenüber der Sicherheit jeder einzelnen Anwendung. Er enthält dementsprechend die fünf Prozessschritte
| Fünf Prozessschritte | |
| • | Spezifikation der Anforderungen und der Umgebung der Anwendung, |
| • | Bewertung der sicherheitsbezogenen Risiken der Anwendung, |
| • | Erstellung und Pflege des anwendungsbezogenen normativen Rahmenwerks, |
| • | Bereitstellung und Betrieb der Anwendung und |
| • | Auditierung der Sicherheit der Anwendung. |
6 Konzepte
Das Normkapitel 8 der ISO/IEC 27034-1 widmet sich den Konzepten. Dabei geht es ein auf die fünf zuvor genannten Schritte im ASMP: das ONF, die Risikobewertung in Bezug auf Anwendungssicherheit, das Application Normative Framework (ANF), die Bereitstellung und den Betrieb der Anwendung sowie die Auditierung der Anwendungssicherheit. Das Organization Normative Framework (ONF) enthält die Best Practices einer Organisation in Bezug auf die Anwendungssicherheit.
ONF
Dies beinhaltet u. a. den geschäftlichen, den regulatorischen und den technologischen Kontext, Rollen, Verantwortlichkeiten und Qualifikationen, eine Bibliothek mit Kontrollelementen zur Anwendungssicherheit, Prozesse in Bezug auf die Anwendungssicherheit und ein Referenzmodell für den Lebenszyklus der Anwendungssicherheit. Dabei stellt sich der technologische Kontext dar als Verzeichnis von IT-Produkten, Services und Technologien, die das Unternehmen im Rahmen von Anwendungsprojekten zur Verfügung stellt.
Dies beinhaltet u. a. den geschäftlichen, den regulatorischen und den technologischen Kontext, Rollen, Verantwortlichkeiten und Qualifikationen, eine Bibliothek mit Kontrollelementen zur Anwendungssicherheit, Prozesse in Bezug auf die Anwendungssicherheit und ein Referenzmodell für den Lebenszyklus der Anwendungssicherheit. Dabei stellt sich der technologische Kontext dar als Verzeichnis von IT-Produkten, Services und Technologien, die das Unternehmen im Rahmen von Anwendungsprojekten zur Verfügung stellt.
Kontrollelemente
Kontrollelemente für die Anwendungssicherheit (Application Security Controls, ASC) sind ein zentrales Konzept der ISO/IEC 27034. Sie vereinfachen die Kommunikation zwischen verschiedenen Bereichen, die unterschiedlich in das Thema Anwendungssicherheit einbezogen sind. Kontrollelemente sind in Form von „Levels of Trust” gruppiert, die das Unternehmen festgelegt hat. Sie dienen der Risikoreduzierung.
Kontrollelemente für die Anwendungssicherheit (Application Security Controls, ASC) sind ein zentrales Konzept der ISO/IEC 27034. Sie vereinfachen die Kommunikation zwischen verschiedenen Bereichen, die unterschiedlich in das Thema Anwendungssicherheit einbezogen sind. Kontrollelemente sind in Form von „Levels of Trust” gruppiert, die das Unternehmen festgelegt hat. Sie dienen der Risikoreduzierung.
Die Beschreibung eines Kontrollelements spezifiziert zum einen die sicherheitsrelevanten Aktivitäten eines Anwendungsprojekts und zum anderen die Verfahren zur Messung der korrekten Umsetzung. Dabei gilt es, sowohl die sicherheitsrelevante Aktivität als auch die Messung vollständig zu beschreiben und die jeweils erforderliche Technik sowie die jeweiligen Ergebnisse und Kosten anzugeben.
Referenzmodell
Unternehmen, die Anwendungen entwickeln, auslagern oder kaufen, nutzen üblicherweise ein in Phasen unterteiltes Lebenszyklusmodell mit Prozessen und Aktivitäten. Je nach Kontext handelt es sich um ein System-, ein Anwendungs- oder ein Softwarelebenszyklusmodell. Die ISO/IEC 27034 stellt dafür ASCs zur Verfügung.
Unternehmen, die Anwendungen entwickeln, auslagern oder kaufen, nutzen üblicherweise ein in Phasen unterteiltes Lebenszyklusmodell mit Prozessen und Aktivitäten. Je nach Kontext handelt es sich um ein System-, ein Anwendungs- oder ein Softwarelebenszyklusmodell. Die ISO/IEC 27034 stellt dafür ASCs zur Verfügung.
Die ISO/IEC 27034-1 stellt ein Referenzmodell für den Lebenszyklus der Anwendungssicherheit vor, das generische Phasen und Aktivitäten nutzt und aus vier Ebenen besteht. Die beiden Hauptphasen sind die Bereitstellung der Anwendung sowie deren Betrieb. Sie stellen die oberste Ebene dar, die die ISO/IEC 27034-1 als Anwendungsmanagement bezeichnet.
In der darunterliegenden Ebene der Bereitstellung und des Betriebs der Anwendung teilen sich die beiden Hauptphasen in weitere Phasen auf. So besteht die Hauptphase der Bereitstellung u. a. aus den Phasen Vorbereitung, Realisierung und Übergang in den Betrieb. Die dritte und die vierte Ebene des Referenzmodells repräsentieren das Infrastrukturmanagement und das Anwendungsaudit.
ONF-Management-Prozess
Der ONF-Management-Prozess sollte sämtliche Prozesse enthalten, die für die Anwendungssicherheit relevant sind. Dazu bildet die ISO/IEC 27034-1 die vier Subprozesse im ONF-Management auf den Plan-Do-Check-Act-Zyklus des ISMS-Prozesses ab. Die Subprozesse heißen Entwurf, Implementierung, Überwachung und Überprüfung sowie kontinuierliche Verbesserung des ONF.
Der ONF-Management-Prozess sollte sämtliche Prozesse enthalten, die für die Anwendungssicherheit relevant sind. Dazu bildet die ISO/IEC 27034-1 die vier Subprozesse im ONF-Management auf den Plan-Do-Check-Act-Zyklus des ISMS-Prozesses ab. Die Subprozesse heißen Entwurf, Implementierung, Überwachung und Überprüfung sowie kontinuierliche Verbesserung des ONF.
Risikobewertung
Die Risikobewertung (Risk Assessment) ist sowohl bei der ISO/IEC 27005 als auch im ASMP – hier in Bezug auf die Anwendungssicherheit – der zweite Schritt. Die Risikobewertung besteht aus der Identifizierung, der Analyse und der Evaluation von Risiken. Gemäß ISO/IEC 27034 wird bei der Risikoevaluation der angestrebte „Level of Trust” festgelegt. Der Anwendungsinhaber (Application Owner) steht in der Verantwortung für die verbleibenden Risiken der Anwendung.
Die Risikobewertung (Risk Assessment) ist sowohl bei der ISO/IEC 27005 als auch im ASMP – hier in Bezug auf die Anwendungssicherheit – der zweite Schritt. Die Risikobewertung besteht aus der Identifizierung, der Analyse und der Evaluation von Risiken. Gemäß ISO/IEC 27034 wird bei der Risikoevaluation der angestrebte „Level of Trust” festgelegt. Der Anwendungsinhaber (Application Owner) steht in der Verantwortung für die verbleibenden Risiken der Anwendung.
ANF
Das Application Normative Framework (ANF) stellt eine anwendungsspezifische Untermenge oder Verfeinerung des ONF dar, die so gestaltet ist, dass der angestrebte „Level of Trust” erreicht wird. Das ANF erstreckt sich über den gesamten Lebenszyklus einer Anwendung und kann sich im Zeitverlauf ändern, beispielsweise aufgrund regulatorischer Änderungen. Zu den Komponenten des ANF gehören geschäftlicher, regulatorischer und technologischer Kontext, die Spezifikation, die Akteure mit ihren Rollen, Verantwortlichkeiten und Qualifikationen sowie die anwendungsspezifischen ASCs. Das ANF sollte darüber hinaus alle Prozesse enthalten, die sich auf die Festlegung und Verifizierung sowie das Management der Anwendungssicherheit beziehen. Ein weiterer Baustein des ANF ist der Anwendungslebenszyklus. Zusätzlich sollte das Unternehmen jene Prozesse dokumentieren, mittels derer das ANF erstellt, geprüft und gepflegt wird, sowie einen Feedback-Prozess zur kontinuierlichen Verbesserung des ONF festlegen.
Das Application Normative Framework (ANF) stellt eine anwendungsspezifische Untermenge oder Verfeinerung des ONF dar, die so gestaltet ist, dass der angestrebte „Level of Trust” erreicht wird. Das ANF erstreckt sich über den gesamten Lebenszyklus einer Anwendung und kann sich im Zeitverlauf ändern, beispielsweise aufgrund regulatorischer Änderungen. Zu den Komponenten des ANF gehören geschäftlicher, regulatorischer und technologischer Kontext, die Spezifikation, die Akteure mit ihren Rollen, Verantwortlichkeiten und Qualifikationen sowie die anwendungsspezifischen ASCs. Das ANF sollte darüber hinaus alle Prozesse enthalten, die sich auf die Festlegung und Verifizierung sowie das Management der Anwendungssicherheit beziehen. Ein weiterer Baustein des ANF ist der Anwendungslebenszyklus. Zusätzlich sollte das Unternehmen jene Prozesse dokumentieren, mittels derer das ANF erstellt, geprüft und gepflegt wird, sowie einen Feedback-Prozess zur kontinuierlichen Verbesserung des ONF festlegen.
Bereitstellung und Betrieb
Typische Anwendungsprojekte haben das Ziel, eine Anwendung zu erzeugen, wobei sich die Qualitätssicherung üblicherweise auf die funktionalen Anforderungen konzentriert. Die ISO/IEC 27034-1 führt aus, dass die Technologie, die Entwicklungsmethodik und die Qualifikation der Beteiligten selten überprüft werden. Sollten Überprüfungen dennoch stattfinden, sind sie üblicherweise nicht formal festgeschrieben.
Typische Anwendungsprojekte haben das Ziel, eine Anwendung zu erzeugen, wobei sich die Qualitätssicherung üblicherweise auf die funktionalen Anforderungen konzentriert. Die ISO/IEC 27034-1 führt aus, dass die Technologie, die Entwicklungsmethodik und die Qualifikation der Beteiligten selten überprüft werden. Sollten Überprüfungen dennoch stattfinden, sind sie üblicherweise nicht formal festgeschrieben.
Die ISO/IEC 27034 sieht daher das ONF und das ANF sowie das Verifizierungsteam vor. Durch das ANF werden ASCs bereitgestellt, die sowohl das Projektteam als auch das Anwendungsbetriebsteam nutzen. Das Verifikationsteam überprüft auf der Basis der ASCs das Anwendungsprojekt, das Anwendungsprodukt und die Beteiligten. Ein ASC hinsichtlich der Verfügbarkeit könnte beispielsweise eine Cluster-Lösung sein, deren korrekte Implementierung dann geprüft würde.
Audit
Ein Verifikationsteam prüft im Audit der Anwendungssicherheit, dem fünften Schritt des ASMP, ob eine Anwendung den „Level of Trust” erreicht hat. Dabei zeigt der aktuelle „Level of Trust”, ob alle zu diesem Zeitpunkt vorgesehenen ASCs umgesetzt sind. Sind alle vorgesehenen ASCs umgesetzt, ist der angestrebte „Level of Trust” erreicht.
Ein Verifikationsteam prüft im Audit der Anwendungssicherheit, dem fünften Schritt des ASMP, ob eine Anwendung den „Level of Trust” erreicht hat. Dabei zeigt der aktuelle „Level of Trust”, ob alle zu diesem Zeitpunkt vorgesehenen ASCs umgesetzt sind. Sind alle vorgesehenen ASCs umgesetzt, ist der angestrebte „Level of Trust” erreicht.
7 Anhänge A–C der ISO/IEC 27034-1
A: Entwicklungsprozess versus ISO/IEC 27034
Anhang A veranschaulicht anhand einer Fallstudie, wie sich ein vorhandener sicherheitsbezogener Softwareentwicklungsprozess auf die verschiedenen Komponenten und Prozesse der ISO/IEC 27034 abbilden lässt. Dazu stellt der Anhang A in A.2 einen siebenstufigen Sicherheitsentwicklungslebenszyklus (Security Development Lifecycle, SDL) dar. A.3 ordnet den Elementen des ONF die Elemente des SDL in einer Übersicht zu. Die dann folgenden Unterkapitel verfeinern die einzelnen Elemente des ONF in Bezug auf den SDL.
Anhang A veranschaulicht anhand einer Fallstudie, wie sich ein vorhandener sicherheitsbezogener Softwareentwicklungsprozess auf die verschiedenen Komponenten und Prozesse der ISO/IEC 27034 abbilden lässt. Dazu stellt der Anhang A in A.2 einen siebenstufigen Sicherheitsentwicklungslebenszyklus (Security Development Lifecycle, SDL) dar. A.3 ordnet den Elementen des ONF die Elemente des SDL in einer Übersicht zu. Die dann folgenden Unterkapitel verfeinern die einzelnen Elemente des ONF in Bezug auf den SDL.
Im Unterkapitel zu den Kontrollelementen der Anwendungssicherheit identifizieren die Autoren des Standards in der Fallstudie insgesamt 17 Application Security Controls. So enthält die Phase mit der Erhebung der Anforderungen als Kontrollelement bekanntermaßen die Berücksichtigung von Sicherheits- und Datenschutzanforderungen. Während der Designphase müssen die Entwicklungsteams Bedrohungen modellieren und Angriffsmöglichkeiten reduzieren. Nach der Identifizierung nicht sicherer Funktionen und APIs ist deren Nutzung bei der Implementierung zu verbieten.
In Unterkapitel A.11 ist der SDL-Prozess veranschaulicht. A.12 bildet den SDL auf das Referenzmodell des Lebenszyklus der Anwendungssicherheit ab.
B: NIST SP 800-53 versus ISO/IEC 27034 ASCs
Anhang B stellt die Zusammenhänge zwischen den Security Controls der NIST SP 800-53 Rev. 3:2009 und den ASCs der ISO/IEC 27034 her. Dazu stellt der Standard in einem ersten Unterkapitel mögliche Kategorien für ASCs auf. Das anschließende Unterkapitel listet die Klassen, Familien und Identifikatoren von Sicherheitskontrollelementen der NIST SP 800-53 Rev. 3:2009 auf. In einem weiteren Unterkapitel sind die Unterklassen für die Access-Control-Klasse – orientiert an SP 800-53 – angegeben. Unterkapitel B.4 detailliert drei Familien von Access-Control-Klassen, wobei es SP 800-53 direkt zitiert.
Anhang B stellt die Zusammenhänge zwischen den Security Controls der NIST SP 800-53 Rev. 3:2009 und den ASCs der ISO/IEC 27034 her. Dazu stellt der Standard in einem ersten Unterkapitel mögliche Kategorien für ASCs auf. Das anschließende Unterkapitel listet die Klassen, Familien und Identifikatoren von Sicherheitskontrollelementen der NIST SP 800-53 Rev. 3:2009 auf. In einem weiteren Unterkapitel sind die Unterklassen für die Access-Control-Klasse – orientiert an SP 800-53 – angegeben. Unterkapitel B.4 detailliert drei Familien von Access-Control-Klassen, wobei es SP 800-53 direkt zitiert.
C: ISO/IEC 27005 versus ASMP
In Anhang C bildet die ISO/IEC 27034-1 den Risikomanagementprozess der ISO/IEC 27005 auf den Application Security Management Process (ASMP) ab und veranschaulicht die Zusammenhänge.
In Anhang C bildet die ISO/IEC 27034-1 den Risikomanagementprozess der ISO/IEC 27005 auf den Application Security Management Process (ASMP) ab und veranschaulicht die Zusammenhänge.
8 Weitere Teile der ISO/IEC 27034
ISO/IEC 27034-2
Die ISO/IEC 27034-2:2015 behandelt das Organization Normative Framework (ONF) und gibt Anleitung zu dessen Implementierung. Der Standard geht auf den Zweck des ONF, Prinzipien, den ONF-Managementprozess und die ONF-Elemente ein. Sein Anhang A ordnet ONF und ASMP den ISO-Standards ISO/IEC 15288 und ISO/IEC 12207 zu. Der dortige Anhang B gibt ein Implementierungsbeispiel.
Die ISO/IEC 27034-2:2015 behandelt das Organization Normative Framework (ONF) und gibt Anleitung zu dessen Implementierung. Der Standard geht auf den Zweck des ONF, Prinzipien, den ONF-Managementprozess und die ONF-Elemente ein. Sein Anhang A ordnet ONF und ASMP den ISO-Standards ISO/IEC 15288 und ISO/IEC 12207 zu. Der dortige Anhang B gibt ein Implementierungsbeispiel.
ISO/IEC 27034-3
Die ISO/IEC 27034-3:2018 beschäftigt sich mit dem Application Security Management Process (ASMP) und gibt Anleitung zu dessen Implementierung. Der Standard zielt darauf ab, Anforderungen und Anleitung für den ASMP und das ANF zu geben. Die ISO/IEC 27034-3 geht auf den Zweck, Prinzipien und Konzepte des ASMP ein.
Die ISO/IEC 27034-3:2018 beschäftigt sich mit dem Application Security Management Process (ASMP) und gibt Anleitung zu dessen Implementierung. Der Standard zielt darauf ab, Anforderungen und Anleitung für den ASMP und das ANF zu geben. Die ISO/IEC 27034-3 geht auf den Zweck, Prinzipien und Konzepte des ASMP ein.
Das dortige Normkapitel 6 widmet sich den ASMP-Schritten. Dazu gehören die Identifizierung der Anforderungen und des Umfelds, die Risikobewertung der Anwendungssicherheit, die Entwicklung und Pflege des ANF, der Anwendungsbetrieb und Sicherheitsaudits. Normkapitel 7 behandelt die ANF-Elemente. Zu diesen gehören u. a. der geschäftliche, regulatorische und technologische Kontext der Anwendung, Anwendungsaktoren mit Rollen, Verantwortlichkeiten und Qualifikationen sowie der Anwendungslebenszyklus.
ISO/IEC 27034-5
Die ISO/IEC 27034-5:2017, Protocols and application security controls data structure, definiert einen minimalen Satz wesentlicher Attribute für ASCs und detailliert Aktivitäten und Rollen im Application Security Life Cycle Reference Model (ASLCRM). Der Standard erklärt die wesentlichen Anforderungen an Informationen und Datenstrukturen für ASCs. Dies ermöglicht es zum einen, ASCs zu erzeugen und zu verifizieren, die mit den Anforderungen der ISO/IEC 27034-5 konform sind. Zum anderen lassen sich die Kosten für Sicherheit in Anwendungsprojekten minimieren, indem erprobte ASCs wiederverwendet werden.
Die ISO/IEC 27034-5:2017, Protocols and application security controls data structure, definiert einen minimalen Satz wesentlicher Attribute für ASCs und detailliert Aktivitäten und Rollen im Application Security Life Cycle Reference Model (ASLCRM). Der Standard erklärt die wesentlichen Anforderungen an Informationen und Datenstrukturen für ASCs. Dies ermöglicht es zum einen, ASCs zu erzeugen und zu verifizieren, die mit den Anforderungen der ISO/IEC 27034-5 konform sind. Zum anderen lassen sich die Kosten für Sicherheit in Anwendungsprojekten minimieren, indem erprobte ASCs wiederverwendet werden.
ISO/IEC TS 27034-5-1
Die ISO/IEC TS 27034-5-1:2018, Protocols and application security controls data structure, XML schemas, definiert XML-Schemata, die die wesentlichen Informationsattribut- und Datenstrukturanforderungen an ASCs und das Application Security Lifecycle Reference Model (ASLCRM) festlegen. Diese Festlegungen erleichtern den Austausch von ASCs und stellen ein Referenzmodell bereit, das z. B. Tool-Anbieter nutzen können.
Die ISO/IEC TS 27034-5-1:2018, Protocols and application security controls data structure, XML schemas, definiert XML-Schemata, die die wesentlichen Informationsattribut- und Datenstrukturanforderungen an ASCs und das Application Security Lifecycle Reference Model (ASLCRM) festlegen. Diese Festlegungen erleichtern den Austausch von ASCs und stellen ein Referenzmodell bereit, das z. B. Tool-Anbieter nutzen können.
ISO/IEC 27034-6
Die ISO/IEC 27034-6:2016, Case studies, stellt Nutzungsbeispiele von ASCs für spezifische Anwendungen vor. Diese Beispiele sollen Organisationen darin unterstützen, Sicherheit im Lebenszyklus ihrer spezifischen Anwendungen zu entwickeln und zu steuern.
Die ISO/IEC 27034-6:2016, Case studies, stellt Nutzungsbeispiele von ASCs für spezifische Anwendungen vor. Diese Beispiele sollen Organisationen darin unterstützen, Sicherheit im Lebenszyklus ihrer spezifischen Anwendungen zu entwickeln und zu steuern.
ISO/IEC 27034-7
Die ISO/IEC 27034-7:2018, Assurance prediction framework, beschreibt Minimalanforderungen für den Fall, dass Aktivitäten, die durch ein Application Security Control (ASC) spezifiziert sind, durch ein Prediction Application Security Rationale (PASR) ersetzt werden. Die ASC, die auf ein PASR abgebildet werden, legen das erwartete Vertrauensniveau (Expected Level of Trust) einer späteren Anwendung fest. Im Zusammenhang mit einem erwarteten Vertrauensniveau gibt es stets eine Originalanwendung, bei der die angegebenen ASCs umgesetzt wurden, um das aktuelle Vertrauensniveau zu erreichen. PASRs sind durch Projektteams anwendbar, die ein ANF festgelegt haben und über eine Originalanwendung mit einem aktuellen Vertrauensniveau verfügen.
Die ISO/IEC 27034-7:2018, Assurance prediction framework, beschreibt Minimalanforderungen für den Fall, dass Aktivitäten, die durch ein Application Security Control (ASC) spezifiziert sind, durch ein Prediction Application Security Rationale (PASR) ersetzt werden. Die ASC, die auf ein PASR abgebildet werden, legen das erwartete Vertrauensniveau (Expected Level of Trust) einer späteren Anwendung fest. Im Zusammenhang mit einem erwarteten Vertrauensniveau gibt es stets eine Originalanwendung, bei der die angegebenen ASCs umgesetzt wurden, um das aktuelle Vertrauensniveau zu erreichen. PASRs sind durch Projektteams anwendbar, die ein ANF festgelegt haben und über eine Originalanwendung mit einem aktuellen Vertrauensniveau verfügen.
Quellen
1
ISO/IEC 27034-1 – Information technology – Security techniques – Application security, Part 1: Overview and concepts, 2011
2
ISO/IEC 27034-2 – Information technology – Security techniques – Application security – Part 2: Organization normative framework, 2015
3
ISO/IEC 27034-3 – Information technology – Application security – Part 3: Application security management process, 2018
4
ISO/IEC CD 27034-4 – Information technology – Application security – Part 4: Validation and verification, 2018
5
ISO/IEC 27034-5 – Information technology – Security techniques – Application security – Part 5: Protocols and application security controls data structure, 2017
6
ISO/IEC TS 27034-5-1 – Information technology – Application security – Part 5-1: Protocols and application security controls data structure, XML schemas, 2018
7
ISO/IEC 27034-6 – Information technology – Security techniques – Application security – Part 6: Case studies, 2016
8
ISO/IEC 27034-7 – Information technology – Application security – Part 7: Assurance prediction framework, 2018
9
ISO/IEC 12207 – Systems and software engineering – Software life cycle processes, 2008
10
ISO/IEC 15026-1–4 – Systems and software engineering – Systems and software assurance
11
ISO/IEC 15288 – Systems and software engineering – System life cycle processes, 2008
12
ISO/IEC 15408-1–3 – Information technology – Security techniques – Evaluation criteria for IT security
13
ISO/IEC 15443-1–3 – Information technology – Security techniques – A framework for IT security assurance
14
ISO/IEC 21827 – Information technology – Security techniques – Systems Security Engineering – Capability Maturity Model (SSE-CMM), 2008
15
NIST SP 800-53 Rev. 3 – Recommended Security Controls for Federal Information Systems und Organizations, National Institute of Standards and Technology (NIST), 2009 (Im August 2017 wurde die Rev. 5 des NIST SP 800-53 als Draft publiziert.)