Sicherheitsmanagement

Sicherheitsmanagement

Der Schutz von Kundendaten ist einer der Kernwerte von Itransition. Gestützt auf das ISO 27001-Zertifikat fördern wir eine sichere Umgebung für Softwareentwicklungsprojekte und garantieren die kompromisslose Sicherheit der von uns verwalteten Datenbestände.

Sicherer Lebenszyklus der Entwicklung

Um die Sicherheit, Integrität, Überprüfbarkeit und Zuverlässigkeit des Softwareentwicklungsprozesses und des Endprodukts zu gewährleisten, führen wir eine Reihe von Praktiken während des gesamten Entwicklungszyklus ein. Der Umfang und die Art dieser Sicherheitspraktiken werden traditionell von den Datenschutz- und Sicherheitsstandards und -anforderungen bestimmt, die für jeden Kundenauftrag relevant sind.

0

Ausbildung

Unterzeichnung des NDA und Schulung der Mitarbeiter

1

Einweihung

Berücksichtigung der Sicherheitsbedenken des Kunden und Entscheidung über die Entwicklungsumgebung

2

Analyse und Entwurf von Anforderungen

Ermittlung der Sicherheitsanforderungen für das Projekt und Einführung von Verfahren zur Verwaltung sensibler Daten

3

Planung

Planung des Projekts unter Berücksichtigung sicherer Entwicklungspraktiken

4

Umsetzung

Durchführung von Sicherheitseinweisungen für das Entwicklungsteam und Befolgung etablierter Entwicklungspraktiken unter Anleitung der technischen Aufsicht

5

Lieferung

Durchführung von Code-Reviews vor der Auslieferung

0 Ausbildung

Unterzeichnung der NDA und der Netznutzungsrichtlinien des Unternehmens

Alle Mitarbeiter und Auftragnehmer von Itransition unterzeichnen bei ihrer Einstellung und bei Beendigung ihres Arbeitsverhältnisses eine NDA-Vereinbarung und eine Netzwerknutzungsrichtlinie. Diese Praxis trägt dazu bei, die Vertraulichkeit der Kunden zu wahren, das geistige Eigentum des Unternehmens und unserer Kunden zu schützen und den Zugang zu sensiblen Informationen streng zu kontrollieren.

Aufklärung über die Grundsätze der sicheren Entwicklung

Abgesehen vom Umfang eines spezifischen Projekts nimmt jeder Spezialist, der eine technische Position innehat, kontinuierlich an internen Sicherheitslesungen, Schulungen und Entwicklertreffen teil, um mit den allgemeinen Grundsätzen der sicheren Entwicklung und spezifischen Sicherheitsstandards vertraut zu sein. Im Rahmen des unternehmensweiten Qualifizierungssystems für Entwickler werden diese anhand einer Reihe von Metriken bewertet, zu denen auch die Einhaltung von Sicherheitsanforderungen gehört. Ein solcher Ansatz hilft uns, das Sicherheitsdenken zu stärken und das Risiko von Sicherheitsvorfällen zu minimieren.

1 Einweihung

Umgang mit zusätzlichen Sicherheitsbedenken

Wenn unsere Kunden zusätzliche Bedenken hinsichtlich der Sicherheit und des Schutzes der Daten haben, die sie an uns übermitteln, schlagen wir eine Reihe von Maßnahmen vor, um diese zu beseitigen. Dazu kann die Unterzeichnung eines speziellen NDA, die Einrichtung einer benutzerdefinierten Projektumgebung und die Unterzeichnung zusätzlicher Bedingungen für die Datenübermittlung und -verarbeitung zwischen einem Kunden und dem Unternehmen gehören.

Entscheidung über die Entwicklungsumgebung

Wir entscheiden über die grundlegenden Aspekte der Entwicklungsumgebung, um die Sicherheit des Projekts zu gewährleisten und Sicherheitsaspekte proaktiv anzugehen:
  • Eigentum an der Umgebung oder ob die Entwicklungsumgebung vom Kunden, von Itransition oder einem Drittanbieter bereitgestellt und verwaltet wird
  • Komponenten, Technologien und Frameworks, die im Rahmen des Projekts eingesetzt werden, unter Berücksichtigung ihrer Kompatibilität, Funktionalität, Reife und Sicherheitsfunktionen
  • Sicherheitskontrollen und Zugangsverwaltung zur Einrichtung von Benutzerkonten für alle am Projekt Beteiligten und zum Schutz der Entwicklungsumgebung vor unbefugtem Zugriff
  • Sicherheits- und Compliance-Anforderungen, die die Konfiguration der Entwicklungsumgebung bestimmen

2 Analyse und Entwurf von Anforderungen

Um das Risiko von Entwurfs- und Implementierungsfehlern zu verringern, ermitteln wir bereits in der Frühphase des Projekts die Sicherheitsanforderungen und legen den allgemeinen Ansatz für das Sicherheitsmanagement fest.

Ermittlung der Anforderungen an Sicherheit und Datenschutz

Durch Gespräche mit den Projektbeteiligten und eine sorgfältige Analyse der IT-Umgebung und der Geschäftsabläufe des Kunden ermitteln, klären und dokumentieren wir die Anforderungen und potenziellen Risiken in Bezug auf die Sicherheit:
  • Kundenbranche und Lösungsart, um deren Zweck, Funktionalität und Bedrohungslandschaft zu umreißen
  • Datensensibilität und Datenschutz oder ob es sich um persönlich identifizierbare Informationen, vertrauliche oder private Informationen und Finanzdaten handelt
  • Anwendbare Gebiets-/Branchenstandards, wie HIPAA, GDPR und PCI DSS

Identifizierung und Dokumentation sensibler Informationsbestände

Wir erstellen ein Register mit allen sensiblen Daten, die uns unsere Kunden während des Projekts übergeben, um zu gewährleisten, dass alle sensiblen Daten am Ende des Projekts ordnungsgemäß zurückgegeben, gelöscht oder entsorgt werden.

Außerdem stellen wir allen am Projekt beteiligten Parteien die allgemeinen Richtlinien für den Umgang mit solchen Daten während des Entwicklungszyklus zur Verfügung.

3 Planung

Planung sicherer Entwicklungsverfahren

Wir ermitteln und planen bestimmte Praktiken und Aktivitäten, die in jeder Entwicklungsphase durchgeführt werden sollen, und stellen sicher, dass wir genügend Zeit und Mühe für diesen Prozess aufwenden.

4 Umsetzung

Sicherheitseinweisung für das Team

Sobald das Entwicklungsteam zusammengestellt ist, geben wir die folgenden Informationen an alle Teammitglieder weiter:
  • Der Entwicklungsansatz und die Praktiken sowie die für das Projekt ausgewählten Werkzeuge
  • Spezifische Sicherheitsstandards, die für das Projekt gelten
  • Zusätzliche Sicherheitsanforderungen, Regeln und Einschränkungen, die verstanden und befolgt werden müssen

Verwendung zugelassener Entwicklungswerkzeuge

Wir verwenden eine genehmigte Liste von Entwicklungstools und pflegen einheitliche Konfigurationsvorlagen, um Sicherheitspraktiken durchzusetzen und die Erstellung und Pflege der Bereitstellungs- und Entwicklungsumgebung zu automatisieren. Unsere technischen Experten überprüfen und aktualisieren außerdem regelmäßig die Liste der Tools, um ihre Kompatibilität mit den Projektanforderungen zu bewerten und sicherzustellen, dass die neuesten und stabilsten verfügbaren Tool-Versionen verwendet werden.

Befolgung bewährter Entwicklungspraktiken

Wir stützen uns auf die Itransition-eigenen Entwicklungspraktiken und Kodierungsstandards sowie auf länder-, branchen- und kundenspezifische Anforderungen. Einige der häufigsten Praktiken, die wir während der Implementierungsphase anwenden, sind:
  • Verwendung eines Versionskontrollsystems für die Codeverwaltung
  • Einrichtung eines Code-Verifizierungsprozesses mit Unit-Tests, Code-Reviews, kontinuierlicher Integration und statischer Analyse
  • Verfolgung, Schätzung und Verwaltung der aufgelaufenen technischen Schulden

Nutzung der internen technischen Überwachung

Als Standardverfahren für die technische Koordination ernennen wir standardmäßig interne Auditoren für alle Projekte des Unternehmens. Sie überwachen den Entwicklungsprozess von Anfang bis Ende, um sicherzustellen, dass die Projektaktivitäten mit den festgelegten Anforderungen und geltenden Standards übereinstimmen, um Probleme zu erkennen, die aufgrund der Voreingenommenheit des Erstellers übersehen wurden, und um Einblicke in das Projekt zu erhalten.

5 Lieferung

Durchführung von Code-Reviews vor der Auslieferung

Auch wenn wir während der Implementierungsphase regelmäßig Code-Reviews durchführen, stellen wir mit einem abschließenden Review sicher, dass:
  • Es wird kein ungenutzter Code im Repository gespeichert, der die Software Sicherheitsrisiken aussetzen könnte.
  • Sicherheitsanmeldeinformationen, Zugriffsschlüssel, Lizenzschlüssel und andere sensible Projektwerte werden nicht fest kodiert oder in einfacher Form gespeichert.
  • Konfigurationswerte aus Entwicklungs-, Staging- und Produktionsumgebungen werden mit strenger Zugriffskontrolle getrennt gespeichert

Wichtige Sicherheitsmetriken

Um Sicherheitsschwächen und -lücken innerhalb des SDLC zu identifizieren und die Wirksamkeit der implementierten Verfahren zu bewerten, richten wir Sicherheitskontrollpunkte ein, die auf den folgenden Metriken basieren

Modellierung von Bedrohungen

  • Anzahl der durchgeführten Bedrohungsmodellierungsaktivitäten
  • Anzahl der identifizierten Bedrohungen pro Modell
  • Schweregrad der identifizierten Bedrohungen
  • Zeit bis zur Entschärfung identifizierter Bedrohungen
  • Zeit für die Überprüfung von Bedrohungsmodellen

Code-Überprüfungen

  • Anzahl der durchgeführten Code Reviews
  • Anzahl der Ergebnisse von Codeüberprüfungen
  • Abdeckung der Codeüberprüfung
  • Effizienz der Codeüberprüfung
  • Verbesserung der Codequalität

Sicherheitstests

  • Anzahl der Ergebnisse von Penetrationstests und Schwachstellenscans
  • Anzahl der behobenen Feststellungen
  • Anzahl der wiederkehrenden Feststellungen
  • Zeitaufwand für die Behebung einer Schwachstelle
  • Abdeckung der Sicherheitstests

Ausbildungsmaßnahmen

  • Anzahl der durchgeführten Schulungsmaßnahmen
  • Teilnahmequote an Schulungen
  • Wirkungsgrad der Schulung
  • Zahl der gemeldeten Unfälle

Branchenkontrollen und Rahmenbedingungen, an die wir uns halten

IsoCisControlsNistOwaspCisBenchmarks

Über Itransition

IT-Beratung Software-Entwicklungsdienstleistungen seit 1998

ISO 27001-zertifiziertes Sicherheitsmanagementsystem

Die Qualität steht an erster Stelle und basiert auf einem soliden, ISO 9001-konformen Qualitätsmanagementsystem

Zertifizierte Sicherheitsingenieure, Berater, Administratoren, Prüfer und Auditoren