Germany/Projekte/Top 10-2017 Nächste Schritte für Anwendungs-Verantwortliche - Revision history

T.Gigler: redaktionelle Änderung

2019-02-24T23:19:30Z

redaktionelle Änderung

T.Gigler: Überschrift korrigiert

2018-12-18T22:39:35Z

Überschrift korrigiert

T.Gigler: Created Page

2018-12-18T22:31:59Z

Created Page

New page

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=whatsNextforOrganizations|language=de}}
|usenext=2017NextLink
|next={{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
|year=2017
|language=de
}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title=Manage the Full Application Lifecycle / Regeln Sie den vollständigen Lebenszyklus von Anwendungen|year=2017|language=de}}
Anwendungen gehören zu den komplexesten Systemen, die Menschen regelmäßig erschaffen und betreiben. Das IT-Management von Anwendungen sollte von IT-Spezialisten erfolgen, die für den vollständigen Lebenszyklus einer Anwendung verantwortlich sind. Wir empfehlen, die Rolle des Anwendungs-Verantwortlichen (Application Manager) als technisches Pendant zum Anwendungs-Eigentümer (Application Owner) zu etablieren. Der Anwendungs-Verantwortliche ist für den gesamten Lebenszyklus der Anwendung bezüglich der IT-Belange zuständig, von der Erhebung der fachlichen Anforderungen bis hin zur Außerbetriebnahme der Systeme. Letzteres wird häufig übersehen.
<br/ style="font-size:5px">

{{Top_10:GradientBox|year=2017}}
Anforderungs- und Ressourcen-Management 
: Fachliche Anforderungen mit dem Fachbereich aufnehmen und vereinbaren, inkl. dem Schutzbedarf aller Daten-Assets in Bezug auf Vertraulichkeit, Authentizität, Integrität und Verfügbarkeit, sowie der erwarteten Anwendungslogik. Zusammenstellen der technischen Anforderungen inkl. funktionalen und nicht-funktionalen Anforderungen an die Sicherheit. *Planen und vereinbaren des Budgets, das alle Aspekte abdeckt, vom Design, Entwicklung, Testen bis hin zum Betrieb sowie die Sicherheitsmaßnahmen.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Ausschreibung und Vergabe 
: Die Anforderungen mit internen oder externen Entwicklern vereinbaren, inkl. Richtlinien, Sicherheits-Vorgaben und -Prozesse, wie z.B. sicherer Softwareentwicklungsprozess (SDLC), Best Practices. Bewerten Sie den Erfüllungsgrad der technischen Anforderungen inkl. Planungs- und Design-Phase. Vereinbaren Sie alle technischen Anforderungen inkl. Design, Sicherheit und Service-Level-Agreements (SLAs). Nutzen Sie Vorlagen und Checklisten, z.B. den [[OWASP_Secure_Software_Contract_Annex|OWASP Secure Software Contract Annex]] ([[OWASP_Secure_Software_Contract_Annex_German|deutsch]]). Hinweis: Das Dokument ist ausschließlich als Orientierungshilfe anzusehen, es bezieht sich auf US-Recht. Konsultieren Sie in jedem Fall einen spezialisierten Anwalt, bevor Sie es benutzen.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Planung und Design 
: Vereinbaren Sie die Planung und das Design der Anwendung mit den Entwicklern und internen Stakeholdern, z.B. Sicherheits-Spezialisten. Definieren Sie, unterstützt von Sicherheits-Spezialisten, die Sicherheits-Architektur, allgemeine vorbeugende Maßnahmen und gezielte Gegenmaßnahmen entsprechend dem Schutzbedarf und dem erwarteten Gefährdungsniveau. Stellen Sie sicher, dass der Anwendungseigentümer Restrisiken akzeptiert oder zusätzliches Budget bereitstellt. Stellen Sie sicher, dass es in jedem Sprint Sicherheits-Stories enthalten sind, die Auflagen für nicht-funktionale Anforderungen enthalten.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Deployment, Testen und Rollout 
: Automatisieren Sie das Deployment von Anwendungen, Schnittstellen und allen benötigten Komponenten mit sicheren Konfigurationsvoreinstellungen, inkl. der benötigen Berechtigungen. Testen Sie die technischen Funktionen und die Integration in die IT-Architektur, koordinieren Sie fachliche Tests. Erzeugen Sie “Use-" und “Abuse-Testfälle” aus technischer und fachlicher Sicht. Koordinieren Sie Sicherheits-Tests gemäß den internen Prozessen, dem Schutzbedarf und dem angenommenen Gefährdungsniveau der Anwendung. Nehmen Sie die Anwendung in Betrieb und übernehmen Sie ggf. Daten aus Altanwendungen. Vervollständigen Sie die Dokumentation, inkl. in der Configuration Management Data Base (CMDB) und die Sicherheitsarchitektur.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Betrieb und Change- Management 
: Das Betriebshandhandbuch muss Vorgaben für den sicheren Betrieb der Anwendung enthalten, z.B. Patchmanagement. Sensibilisieren Sie die Anwender für Sicherheitsaspekte und lösen Sie Konflikte zwischen Benutzbarkeit und Sicherheit. Planen und begleiten Sie Changes, z.B. Versionswechsel der Anwendung oder anderer Komponenten wie das Betriebssystem, Middleware und Bibliotheken. Aktualisieren Sie die vollständige Dokumentation, inkl. der CMDB, der Sicherheitsarchitektur, vorbeugende Maßnahmen, Gegenmaßnahmen und das Betriebshandbuch.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Außerbetriebnahme von Anwendungen 
: Weiterhin benötigte Daten sollten archiviert werden, alle anderen Daten sollten sicher gelöscht werden. Nehmen Sie die Anwendung auf sichere Weise außer Betrieb, inkl. dem Löschen von nicht mehr benötigten Benutzerkonten, Rollen und Rechten. * Ändern Sie den Zustand der Anwendung in der CMDB auf "außer Betrieb".
{{Top 10:GrayBoxEnd|year=2017}}

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=whatsNextforOrganizations|language=de}}
|usenext=2017NextLink
|next={{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
|year=2017
|language=de
}}

@@ Line 30: / Line 30: @@
 {{Top_10:GradientBox|year=2017}}
 <b>Betrieb und Change- Management </b>
-: <i>Das Betriebshandhandbuch muss Vorgaben für den sicheren Betrieb der Anwendung enthalten, z.B. Patchmanagement.<br></i> Sensibilisieren Sie die Anwender für Sicherheitsaspekte und lösen Sie Konflikte zwischen Benutzbarkeit und Sicherheit.<br><i>Planen und begleiten Sie Changes, z.B. Versionswechsel der Anwendung oder anderer Komponenten wie das Betriebssystem, Middleware und Bibliotheken.<br></i> Aktualisieren Sie die vollständige Dokumentation, inkl. der CMDB, der Sicherheitsarchitektur, vorbeugende Maßnahmen, Gegenmaßnahmen und das Betriebshandbuch.
+: <i>Das Betriebshandbuch muss Vorgaben für den sicheren Betrieb der Anwendung enthalten, z.B. Patchmanagement.<br></i> Sensibilisieren Sie die Anwender für Sicherheitsaspekte und lösen Sie Konflikte zwischen Benutzbarkeit und Sicherheit.<br><i>Planen und begleiten Sie Changes, z.B. Versionswechsel der Anwendung oder anderer Komponenten wie das Betriebssystem, Middleware und Bibliotheken.<br></i> Aktualisieren Sie die vollständige Dokumentation, inkl. der CMDB, der Sicherheitsarchitektur, vorbeugende Maßnahmen, Gegenmaßnahmen und das Betriebshandbuch.
 {{Top 10:GrayBoxEnd|year=2017}}
 {{Top_10:GradientBox|year=2017}}

@@ Line 8: / Line 8: @@
 }}
 <!--- +A: What's next for Application Managers --->
-{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title=Manage the Full Application Lifecycle / Regeln Sie den vollständigen Lebenszyklus von Anwendungen|year=2017|language=de}}
+{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title=Regeln Sie den vollständigen Lebenszyklus von Anwendungen|year=2017|language=de}}
 Anwendungen gehören zu den komplexesten Systemen, die Menschen regelmäßig erschaffen und betreiben. Das IT-Management von Anwendungen sollte von IT-Spezialisten erfolgen, die für den vollständigen Lebenszyklus einer Anwendung verantwortlich sind. Wir empfehlen, die Rolle des Anwendungs-Verantwortlichen (Application Manager) als technisches Pendant zum Anwendungs-Eigentümer (Application Owner) zu etablieren. Der Anwendungs-Verantwortliche ist für den gesamten Lebenszyklus der Anwendung bezüglich der IT-Belange zuständig, von der Erhebung der fachlichen Anforderungen bis hin zur Außerbetriebnahme der Systeme. Letzteres wird häufig übersehen.
 <br/ style="font-size:5px">