Dienste sollten so konzipiert und entwickelt werden, dass sie Sicherheitsbedrohungen erkennen und mindern. Diejenigen, die nicht betroffen sind, können anfällig für Sicherheitsprobleme sein, die Ihre Daten gefährden, zum Verlust von Diensten führen oder andere bösartige Aktivitäten ermöglichen könnten.
Ziele
Hierüber sollten Sie sicher sein:
- Neue und sich entwickelnde Bedrohungen werden überprüft und der Service entsprechend verbessert.
- Die Entwicklung erfolgt in Übereinstimmung mit den bewährten Praktiken der Branche in Bezug auf sicheres Design, Programmierung, Test und Bereitstellung.
- Es gibt Konfigurationsmanagementprozesse, um die Integrität der Lösung durch Entwicklung, Test und Bereitstellung sicherzustellen.
Implementierung – Sichere Entwicklung
Zusätzliche Hinweise – Sichere Entwicklungsanforderungen
Sichere Entwicklung bedeutet nicht, dass alle Entwicklungen im eigenen Haus, in sicheren Einrichtungen oder durch hoch qualifiziertes Personal durchgeführt werden müssen. Während diese Ansätze für spezialisierte Komponenten geeignet sein können, ist es oft besser, ausgereifte, unabhängig unterstützte Komponenten von der Stange zu wählen.
Die Sicherheit sollte bei der Gestaltung und Entwicklung des Dienstes berücksichtigt werden. So sollten beispielsweise bei der Entwicklung neuer Funktionen potenzielle Angriffe bewertet und wirksame Gegenmassnahmen ergriffen werden. Es ist darauf zu achten, dass Sicherheit, Kosten und Benutzerfreundlichkeit in Einklang gebracht werden.
Dienstleister sollten beim Kauf von Dienstleistungen, Softwarekomponenten oder Entwicklungsdienstleistungen von Dritten sicherstellen, dass die Entwicklungspraktiken des Anbieters angemessen sicher sind. Dies sollte durch einen etablierten Lieferkettenprozess erreicht werden (siehe Prinzip 8).
http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/
17.11.2018