IT-Systeme gegen unbefugte Zugriffe oder Angriffe von außen zu schützen wird häufig als Aufgabe des Betreibers angesehen. Vergessene Anforderungen oder eine fehlerhafte Implementierung können durch die vom IT-Betrieb getroffenen Maßnahmen, wie etwa den Einsatz von Firewalls, jedoch nicht kompensiert werden. Aus diesem Grund hat der IT-Planungsrat mit seiner Entscheidung 2016/11 darum gebeten, „die Mindestsicherheitsanforderungen für IT-Systeme und Verfahren aus dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) abzuleiten und das V-Modell XT im Bereich „Systemsicherheit“ […] entsprechend zu ergänzen.“ Ziel war es, mit der Erweiterung des V-Modell XT, dem deutschen Referenzmodell für die Entwicklung von IT-Systemen, die Berücksichtigung der Informationssicherheit bereits während der Systemerstellung zu verankern.
Mit der Version 2.2. hat das V-Modell XT nun eine tiefgreifende Überarbeitung der bisher im Modell enthaltenen Vorgaben zur Gewährleistung der Informationssicherheit erfahren. Die vorgenommenen Anpassungen betreffen sowohl Auftraggeber- als auch Auftragnehmer-Projekte und erstrecken sich über alle Phasen der Projektdurchführung.
So bietet das V-Modell XT in der neuen Version bereits zu Projektbeginn eine Hilfestellung bei der Festlegung, ob und in welchem Umfang Aspekte der Informationssicherheit zu berücksichtigen sind. Im Modell ist dabei klar geregelt, wer zu welchem Zeitpunkt für die Erstellung welcher Projektergebnisse verantwortlich ist und wie diese dem jeweiligen Vertragspartner bereitzustellen sind.
Für die neu hinzugefügten Produkte enthält das V-Modell XT in gewohnter Form eine empfohlene Struktur sowie eine detaillierte Beschreibung der erwarteten Inhalte. Ergänzt wird dies durch wiederverwendbare Textbausteine, sogenannte Mustertexte, die den Projektteammitgliedern eine weitere Unterstützung bei der Produkterstellung bieten. Zudem weisen verschiedene der bereits zuvor im Modell enthaltenen Produkte in der Version 2.2 einen Bezug zur Informationssicherheit auf. Mit Vorgaben zum Aufbau einer sicheren Infrastruktur sowie zur Entwicklung und Qualitätssicherung von IT-Systemen wurden etwa Produkte wie das QS-Handbuch oder das Implementierungs-, Integrations- und Prüfkonzept um Aspekte der Informationssicherheit erweitert.
Quelle: CIO Bund
0 Kommentare