Was erfordert die Kontrolle A.3.28?
Die Anforderungen an die Informationssicherheit im Zusammenhang mit der Verarbeitung personenbezogener Daten müssen bei der Entwicklung oder dem Erwerb von Anwendungen identifiziert, spezifiziert und genehmigt werden.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) erfordert ein strukturiertes Vorgehen bei der Definition von Sicherheitsanforderungen für Anwendungen, die personenbezogene Daten verarbeiten. Dies gilt gleichermaßen für intern entwickelte und von Dritten erworbene Anwendungen. Entscheidend ist die Genehmigung: Sicherheitsanforderungen müssen nicht nur identifiziert und dokumentiert, sondern vor Beginn der Entwicklung oder Beschaffung auch formell freigegeben werden.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.28) enthält folgende Hinweise:
- Verschlüsselung für nicht vertrauenswürdige Netzwerke Die Organisation sollte sicherstellen, dass personenbezogene Daten, die über nicht vertrauenswürdige Datenübertragungsnetze übertragen werden, für die Übertragung verschlüsselt werden.
- Definition von nicht vertrauenswürdigen Netzwerken — Zu den nicht vertrauenswürdigen Netzwerken können das öffentliche Internet und andere Einrichtungen außerhalb der operativen Kontrolle der Organisation gehören.
- Praktische Einschränkungen — In einigen Fällen (z. B. beim E-Mail-Austausch) können die systembedingten Eigenschaften nicht vertrauenswürdiger Datenübertragungsnetzwerke es erfordern, dass bestimmte Header- oder Verkehrsdaten für eine effektive Übertragung offengelegt werden.
- Web Link A.3.29: Sichere Systemarchitektur und technische Prinzipien für damit zusammenhängende Anforderungen
- Web Link A.3.30: Ausgelagerte Entwicklung für damit zusammenhängende Anforderungen
Die Leitlinien konzentrieren sich insbesondere auf die Verschlüsselung während der Übertragung als grundlegende Sicherheitsanforderung für Anwendungen. Dies trägt der Tatsache Rechnung, dass Anwendungen, die personenbezogene Daten verarbeiten, diese fast immer über Netzwerke übertragen und die Verschlüsselung den grundlegendsten Schutz vor Abfangen darstellt. Die Berücksichtigung praktischer Einschränkungen (wie z. B. E-Mail-Header) zeigt einen pragmatischen Ansatz – der Standard erkennt an, dass nicht alle Daten unter allen Umständen verschlüsselt werden können.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.28 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 5(1)(f) — Der Grundsatz der Integrität und Vertraulichkeit, der eine angemessene Sicherheit personenbezogener Daten erfordert
- Artikel 32 (1) (a) — Die Verpflichtung zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen, einschließlich der Verschlüsselung personenbezogener Daten
Beide Artikel unterstützen den Grundsatz, dass Anwendungen, die personenbezogene Daten verarbeiten, von Anfang an über angemessene Sicherheitsmaßnahmen verfügen müssen, die nicht erst nachträglich hinzugefügt werden dürfen.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung durch die Abschnitte 6.11.1.2 (Sicherung von Anwendungsdiensten in öffentlichen Netzwerken) und 6.11.1.3 (Schutz von Transaktionen von Anwendungsdiensten) abgedeckt. Die Ausgabe von 2025 fasst diese in Abschnitt A.3.28 zusammen und erweitert dessen Anwendungsbereich auf alle Anforderungen an die Anwendungssicherheit, nicht nur auf die Sicherheit öffentlicher Netzwerke und Transaktionen. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.28 achten die Prüfer typischerweise auf Folgendes:
- Spezifikation der Sicherheitsanforderungen — Dokumentierte Sicherheitsanforderungen für jede Anwendung, die personenbezogene Daten verarbeitet, einschließlich Authentifizierung, Autorisierung, Verschlüsselung, Eingabevalidierung, Protokollierung und Datenverarbeitung
- Genehmigungsunterlagen — Nachweis, dass die Sicherheitsanforderungen vor der Entwicklung oder Beschaffung von einer zuständigen Stelle (z. B. Sicherheitsteam, Datenschutzbeauftragter oder Architekturprüfungsausschuss) formell geprüft und genehmigt wurden.
- Verschlüsselung während des Transports — Nachweis, dass alle Anwendungen, die personenbezogene Daten über nicht vertrauenswürdige Netzwerke übertragen, TLS 1.2 oder höher mit ordnungsgemäß konfigurierten Zertifikaten verwenden.
- Sicherheitsbewertung im Beschaffungsprozess — Bei erworbenen Anwendungen müssen Nachweise darüber vorgelegt werden, dass die Anforderungen an die Sicherheit personenbezogener Daten in die Beschaffungskriterien einbezogen wurden und dass das ausgewählte Produkt diese erfüllt.
- Sicherheitstests — Nachweise dafür, dass Anwendungen auf ihre Sicherheitsanforderungen geprüft wurden, einschließlich Penetrationstests oder Code-Reviews
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.27 Sicherer Entwicklungslebenszyklus | Die Anforderungen an die Anwendungssicherheit fließen in den sicheren Entwicklungsprozess ein. |
| A.3.26 Einsatz von Kryptographie | Die kryptografischen Anforderungen an Anwendungen werden durch die Kryptografierichtlinie geregelt. |
| A.3.23 Sichere Authentifizierung | Authentifizierung ist eine zentrale Sicherheitsanforderung für Anwendungen. |
| A.3.10 Lieferantenvereinbarungen | Erworbene Anwendungen müssen die in den Lieferantenvereinbarungen festgelegten Sicherheitsanforderungen erfüllen. |
| A.3.25 Protokollierung | Die Anforderungen an die Anwendungsprotokollierung sollten als Teil der Sicherheitsspezifikation definiert werden. |
Für wen gilt diese Regelung?
A.3.28 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Jede Organisation, die Anwendungen zur Verarbeitung personenbezogener Daten entwickelt oder erwirbt, muss vorab die Sicherheitsanforderungen festlegen und genehmigen. Dies umfasst Webanwendungen, mobile Anwendungen, APIs, interne Tools, SaaS-Produkte und jegliche andere Software, die personenbezogene Daten verarbeitet.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für das Anwendungssicherheitsmanagement?
ISMS.online bietet praktische Werkzeuge für die Verwaltung von Anwendungssicherheitsanforderungen:
- Anforderungsvorlagen — Vorgefertigte Sicherheitsanforderungsvorlagen für gängige Anwendungstypen, anpassbar an die spezifischen Anforderungen Ihrer Organisation hinsichtlich der Verarbeitung personenbezogener Daten.
- Genehmigungsworkflows — Anforderungen an die Routensicherheit werden durch formale Prüf- und Genehmigungsprozesse mit Audit-Trail und Freigabeverfolgung überwacht
- Lieferantenbewertung — Bewerten Sie Drittanbieteranwendungen anhand Ihrer Sicherheitsanforderungen mithilfe strukturierter Fragebögen und eines Punktesystems.
- Risikobewertungen — Führen Sie Risikobewertungen auf Anwendungsebene durch, die direkt in Ihre Sicherheitsanforderungen einfließen und sicherstellen, dass die Anforderungen dem Risiko angemessen sind.
- Beweisführung — Speichern Sie Sicherheitstestergebnisse, Genehmigungsprotokolle und Compliance-Nachweise in einem strukturierten, revisionssicheren Format, das mit jeder Anwendung verknüpft ist.
Häufig gestellte Fragen
Welche Sicherheitsanforderungen sollten für Anwendungen zur Verarbeitung personenbezogener Daten festgelegt werden?
Anwendungen, die personenbezogene Daten verarbeiten, sollten mindestens folgende Anforderungen erfüllen: Authentifizierung und Autorisierung (wer darf auf personenbezogene Daten zugreifen und in welchem Umfang), Verschlüsselung ruhender und übertragener Daten, Eingabevalidierung und Ausgabekodierung (um Einschleusungsangriffe zu verhindern), Sitzungsverwaltung, Protokollierung und Audit-Trails, Fehlerbehandlung (um das Auslesen personenbezogener Daten in Fehlermeldungen zu verhindern), Datenaufbewahrungs- und Löschfunktionen sowie gegebenenfalls Einwilligungsmanagement. Die Anforderungen sollten dem Schutzbedarf der personenbezogenen Daten und dem Risikoprofil der Anwendung angemessen sein.
Wie wirkt sich diese Kontrollmaßnahme auf die SaaS-Beschaffung aus?
Bei der Beschaffung von SaaS-Anwendungen, die personenbezogene Daten verarbeiten, sollte das Unternehmen die Anforderungen an die Datensicherheit in die Beschaffungskriterien einbeziehen. Dies umfasst die Bewertung der Verschlüsselungspraktiken des Anbieters, der Authentifizierungsoptionen, des Datenstandorts, der Zugriffskontrollen, der Protokollierungsfunktionen und der Konformitätszertifizierungen. Die Bewertung sollte dokumentiert und vor der Beschaffungsentscheidung genehmigt werden. Die fortlaufende Einhaltung der Vorschriften sollte durch Lieferantenmanagementprozesse überwacht werden.A.3.10 Lieferantenvereinbarungen).
Was versteht man unter nicht vertrauenswürdigen Netzwerken?
Zu den nicht vertrauenswürdigen Netzwerken zählen das öffentliche Internet und alle Netzwerkeinrichtungen, die sich außerhalb der direkten operativen Kontrolle der Organisation befinden. Dies umfasst Drittanbieter, öffentliche WLAN-Netze, Mobilfunknetze und standortübergreifende Verbindungen über öffentliche Infrastruktur. Im Hinblick auf personenbezogene Daten (PII) gilt: Jedes Netzwerk außerhalb der direkten physischen und logischen Kontrolle Ihrer Organisation sollte als nicht vertrauenswürdig behandelt und alle PII-Übertragungen entsprechend verschlüsselt werden.
SaaS-Plattformen finden in unserem Angebot maßgeschneiderte Beratung. Leitfaden für SaaS-Plattformen.
Dokumentieren Sie diese Kontrolle in Ihrem Erklärung zur Anwendbarkeit.
