DEV — Entwicklung
Die Praktik Entwicklung stellt sicher, dass Sicherheitsanforderungen bereits von Beginn an in die Planungs- und Entwicklungsphase von IT-Systemen und Anwendungen integriert werden. Auf diese Weise können potenzielle Schwachstellen frühzeitig erkannt und vermieden werden, wodurch die Sicherheit über den gesamten Lebenszyklus der IT-Systeme und Anwendungen hinweg gewährleistet ist. Entwicklung berücksichtigt die Software- und Systementwicklung, also die Erzeugung und Integration neuer IT-Komponenten in die IT-Infrastruktur der Institution. Durch die enge Zusammenarbeit mit anderen Praktiken wie IT-Betrieb, Asset Management und Konfiguration wird gewährleistet, dass die entwickelten IT-Komponenten nicht nur sicher entwickelt werden, sondern auch sicher betrieben, verwaltet und gepflegt werden können. Diese enge Verzahnung sorgt dafür, dass Sicherheitsanforderungen durchgängig und über alle Phasen hinweg eingehalten werden.
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| DEV.1.1 | Verfahren und Regelungen | MUSS | normal-SdT | 3 |
| DEV.1.2 | Regelmäßige Überprüfung | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| DEV.2.1 | Security by Design Architektur bsi-ms-cloud · n/a (consumer-side development control) github-security-controls · GH-ACT-01 +11 iso27001 · A.8.28; A.5.21 nis2 · Art. 21(2)(d); Art. 21(2)(e) | SOLLTE | normal-SdT | |
| DEV.2.2 | Dokumentation der (Software-)Architektur | SOLLTE | normal-SdT | |
| DEV.2.3 | Ausführbarkeit mit minimalen Rechten | SOLLTE | normal-SdT | |
| DEV.2.4 | Einschränkung Zugriffs auf Quellcode github-security-controls · GH-REP-01 +15 | SOLLTE | normal-SdT | |
| DEV.2.5 | Einschränkung des Zugriffs auf Zugangsdaten | SOLLTE | normal-SdT | |
| DEV.2.6 | Widerstandsfähigkeit gegen gängige Angriffsmuster | SOLLTE | normal-SdT | 2 |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| DEV.3.1 | Replay-Angriffe | SOLLTE | normal-SdT | |
| DEV.3.2 | Routinen zur Fehlerbehandlung | SOLLTE | normal-SdT | |
| DEV.3.3 | Deaktivierung der Ausgabe schützenswerter Daten durch Fehlermeldungen | SOLLTE | normal-SdT | |
| DEV.3.4 | Passwort-Hashing | SOLLTE | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| DEV.4.1 | Nutzerinformation bei kritischen Ereignissen | SOLLTE | normal-SdT | |
| DEV.4.2 | Bibliotheksquellen | SOLLTE | normal-SdT | |
| DEV.4.3 | Softwarebestandteile (SBOM) | SOLLTE | normal-SdT | |
| DEV.4.4 | Integrität externer Softwarebibliotheken | SOLLTE | normal-SdT | |
| DEV.4.5 | Updates externer Softwarebibliotheken | SOLLTE | normal-SdT | |
| DEV.4.6 | Compileroptionen | SOLLTE | normal-SdT | |
| DEV.4.7 | Deterministischer Binärcode | KANN | erhöht | |
| DEV.4.8 | Default-Zugangsdaten | SOLLTE | normal-SdT | |
| DEV.4.9 | Voreinstellungen nach dem Prinzip "Security by Default" | SOLLTE | normal-SdT | |
| DEV.4.10 | Protokollierung von Codeänderungen | SOLLTE | normal-SdT | |
| DEV.4.11 | Test bei Änderungen am Quellcode | SOLLTE | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| DEV.5.1 | Verankerung des Zeitraums für Updates | SOLLTE | normal-SdT | |
| DEV.5.2 | Information über Zeitraum für Updates | SOLLTE | normal-SdT | |
| DEV.5.3 | Integritätsprüfung | SOLLTE | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| DEV.6.1 | Freigabe nach Änderungen und Tests | SOLLTE | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| DEV.7.1 | Sichere Bereitstellung | SOLLTE | normal-SdT | |
| DEV.7.2 | Zertifikatsmonitoring | SOLLTE | normal-SdT |