Systemschwächen einer Anwendung vermeiden

Zusätzlich zur Erstellung einer Sicherheitsrichtlinie würde ich die Interaktionen mit anderen Systemen (z.B. externe Schnittstellen) definieren und festlegen, welche Schnittstellen vertrauenswürdig sind und welche nicht, je nachdem, wie diese geschützt werden. Die oben beschriebene Beispielanwendung ist für eine geschlossene Umgebung vorgesehen und verfügt über keine externen Schnittstellen.

Es muss darüber hinaus evaluiert werden, wie sensibel bestimmte Daten sind. Wenn beispielsweise die Sozialversicherungsnummer eines Kunden gespeichert wird (was tunlichst vermieden werden sollte), müssen dabei entsprechende Einschränkungen des Privacy Act von 1974 berücksichtigt werden. Alle Kundenkontakt- und Finanzdaten müssen gemäß der Sicherheitsrichtlinie geschützt werden.

In der Beispielanwendung gelten die Bewertungsergebnisse auf Wunsch des Kunden als sensible Daten – niemand kann diese Daten verändern, und nur ausgewählte Personen haben Zugriff sie. Um die nicht autorisierten Anzeige der Ergebnisse zu verhindern, müssen in der nächsten Phase bestimmte Sperrmechanismen implementiert werden. Zweck dieser Phase ist nicht der Entwurf von Sicherheitslösungen, sondern die Festlegung der für diese erforderlichen Maßnahmen.

Auch wenn ich die Darstellung der Sicherheitsrichtlinie für die Zwecke dieses Artikels sehr vereinfacht habe, sollte dennoch nicht außer Acht gelassen werden, dass weitere Punkte wie die Verwaltung der Ergebnisse und die Festlegung von Benutzern und Kompetenzen in dieser zu berücksichtigen sind. Trotz all dieser Punkte hat die Richtlinie ein klares Ziel: die Beschreibung der fünf wesentlichen Erwartungen (Integrität, Vertraulichkeit, Zuverlässigkeit, Verfügbarkeit und Sicherheit) an das System und der enthaltenen Daten unter sicherheitstechnischem Aspekt.

Nachdem nun die Grundlage für die Absicherung des Systems gelegt ist und die Zielsetzungen der Initialisierung erreicht sind, kann die Anwendung in die nächste Phase ihres Lebenszyklus übergehen, die Entwicklung.