← Zurück zur Wissensdatenbank← Vorherige FrageNächste Frage →
Business AnalyseSystemanalytiker

Wie analysiert und dokumentiert ein Systemanalytiker die Anforderungen an die Informationssicherheit im Rahmen eines komplexen IT-Projekts, sodass sie sowohl umsetzbar als auch normgerecht sind?

Bestehen Sie Vorstellungsgespräche mit dem Hintsage-KI-Assistenten

Antwort.

Die Geschichte der Frage:

Die Anforderungen an die Informationssicherheit sind ein wesentlicher Bestandteil großer IT-Projekte seit den Tagen, als die ersten Standards für die Sicherheitsprüfung (z. B. ISO 27001 oder die Anforderungen des Gesetzes Nr. 152 in Russland) eingeführt wurden. Ohne eine klare Analyse und Formalisierung der Anforderungen besteht das Risiko, dass die Sicherheit des Systems nur deklarativ und in der Praxis nicht umsetzbar ist.

Das Problem:

Die Anforderungen an die Sicherheit werden oft abstrakt formuliert ("alles muss geschützt sein"), berücksichtigen nicht die realen Geschäftsprozesse und die Architektur, sind nicht nach Ebenen: organisatorisch, technologisch, benutzerbezogen entschlüsselt. Darüber hinaus können Auftraggeber und Entwickler dieselben Anforderungen unterschiedlich interpretieren — es entsteht ein Missverhältnis zwischen Umsetzbarkeit und Normenkonformität.

Die Lösung:

Der Systemanalytiker beginnt mit dem Studium der Unternehmens-, staatlichen und branchenspezifischen Standards (z. B.: GOSTs, GDPR, PCI DSS, ISO 27001). Anschließend identifiziert er zusammen mit dem Architekten und den Sicherheitsexperten geschäftskritische Prozesse, Datenlagerungs- und Übertragungspunkte, mögliche Bedrohungen und bestimmt eine Liste der entsprechenden Risiken. Auf deren Grundlage erstellt der Analyst eine detaillierte Matrix der Anforderungen an Zugriff, Speicherung, Protokollierung, Verschlüsselung sowie Szenarien für Vorfälle. Nach der Abstimmung formalisiert er diese in Dokumenten — so dass jede Anforderung durch Tests oder im Rahmen von Audits überprüft werden kann.

Schlüsselfeatures:

  • Die Sicherheitsanforderungen werden unter Berücksichtigung der Architektur, der Geschäftsprozesse und der RegTech-Vorgaben formalisiert.
  • Es ist wichtig, organisatorische, technologische und benutzerbezogene Sicherheitsrichtlinien zu unterscheiden.
  • Eine enge Zusammenarbeit mit Sicherheitsexperten, Architekten, Juristen und QA-Ingenieuren ist unerlässlich.

Trickfragen.

Warum sollte man nicht nur auf technische Mittel zum Schutz der Informationssicherheit (Antivirenprogramme, Firewalls, SIEM) vertrauen?

Weil Informationssicherheit ein Prozess ist und nicht nur eine Ansammlung von Systemen. Organisatorische Verfahren, der menschliche Faktor, regelmäßige Prüfungen und die Schulung von Benutzern spielen eine entscheidende Rolle.

Kann man die Anforderungen als erfüllt betrachten, wenn das System nur interne Tests bestanden hat?

Nein — häufig ist für die Einhaltung der Normen eine externe Prüfung, Zertifizierung und manchmal sogar Stresstests unter der Aufsicht des Regulierers erforderlich.

Ist es ausreichend, im Pflichtenheft die Anforderung "das System muss gemäß 152-FZ geschützt sein" zu übergeben?

Nicht ausreichend — es müssen spezifische Maßnahmen (Zugriffskontrolle, Speicherung von Ereignisprotokollen, Datenverschlüsselung), die Orte ihrer Umsetzung und die Verifikationskriterien angegeben werden.

Typische Fehler und Anti-Pattern

  • Formulierung von vagen oder deklarativen Anforderungen ("es muss sicher sein")
  • Trennung des Sicherheitsprozesses von der architektonischen und geschäftlichen Analyse (arbeiten "parallel", interagieren nicht)
  • Überschätzung der Rolle technischer Mittel ohne Berücksichtigung menschlicher und prozessualer Faktoren
  • Fehlende regelmäßige Überprüfung der Relevanz von Sicherheitsanforderungen

Beispiel aus dem Leben

Negativer Fall: In einem Projekt für Online-Banking übermittelte der Analyst im Pflichtenheft nur die allgemeine Formulierung "die Anforderungen des 152-FZ müssen erfüllt werden". Die Auftragnehmer implementierten eine standardmäßige Authentifizierung und ein SSL-Zertifikat, und in der Phase der externen Prüfung stellte sich heraus, dass kein Speicherkontrollmechanismus vorhanden war und das Authentifizierungsprotokoll ungeschützt war.

Vorteile:

  • Schnelle Entwicklung

Nachteile:

  • Unzufriedenheit des Regulators
  • Risiko der Startverzögerung

Positiver Fall:

Zu Beginn des Projekts stimmte der Systemanalytiker mit den Sicherheitsexperten und dem Auftraggeber eine Liste von Bedrohungen ab, entwickelte für jedes Szenario detaillierte Anforderungen an Verschlüsselung und Prüfung und bestimmte die Verantwortlichen. Am Ende bestand das System die Prüfung ohne Beanstandungen.

Vorteile:

  • Normenkonformität
  • Rufschutz

Nachteile:

  • Längere Projektierungsphase