Nächste Schritte für Anwendungs-Verantwortliche

* Fachliche Anforderungen mit dem Fachbereich aufnehmen und vereinbaren, inkl. dem Schutzbedarf aller Daten-Assets in Bezug auf Vertraulichkeit, Authentizität, Integrität und Verfügbarkeit, sowie der erwarteten Anwendungslogik.
* Zusammenstellen der technischen Anforderungen inkl. funktionalen und nicht-funktionalen Anforderungen an die Sicherheit.
* Planen und vereinbaren des Budgets, das alle Aspekte abdeckt, vom Design, Entwicklung, Testen bis hin zum Betrieb sowie die Sicherheitsmaßnahmen.

* Die Anforderungen mit internen oder externen Entwicklern vereinbaren, inkl. Richtlinien, Sicherheits-Vorgaben und -Prozesse, wie z.B. sicherer Softwareentwicklungsprozess (SDLC), Best Practices.
* Bewerten Sie den Erfüllungsgrad der technischen Anforderungen inkl. Planungs- und Design-Phase.
* Vereinbaren Sie alle technischen Anforderungen inkl. Design, Sicherheit und Service-Level-Agreements (SLAs).
* Nutzen Sie Vorlagen und Checklisten, z.B. den OWASP Secure Software Contract Annex (deutsch im alten Wiki).
Hinweis: Das Dokument ist ausschließlich als Orientierungshilfe anzusehen, es bezieht sich auf US-Recht. Konsultieren Sie in jedem Fall einen spezialisierten Anwalt, bevor Sie es benutzen.

* Vereinbaren Sie die Planung und das Design der Anwendung mit den Entwicklern und internen Stakeholdern, z.B. Sicherheits-Spezialisten.
* Definieren Sie, unterstützt von Sicherheits-Spezialisten, die Sicherheits-Architektur, allgemeine vorbeugende Maßnahmen und gezielte Gegenmaßnahmen entsprechend dem Schutzbedarf und dem erwarteten Gefährdungsniveau.
* Stellen Sie sicher, dass der Anwendungseigentümer Restrisiken akzeptiert oder zusätzliches Budget bereitstellt.
* Stellen Sie sicher, dass es in jedem Sprint Sicherheits-Stories enthalten sind, die Auflagen für nicht-funktionale Anforderungen enthalten.

* Automatisieren Sie das Deployment von Anwendungen, Schnittstellen und allen benötigten Komponenten mit sicheren Konfigurationsvoreinstellungen, inkl. der benötigen Berechtigungen.
* Testen Sie die technischen Funktionen und die Integration in die IT-Architektur, koordinieren Sie fachliche Tests.
* Erzeugen Sie “Use-“ und “Abuse-Testfälle” aus technischer und fachlicher Sicht.
* Koordinieren Sie Sicherheits-Tests gemäß den internen Prozessen, dem Schutzbedarf und dem angenommenen Gefährdungsniveau der Anwendung.
* Nehmen Sie die Anwendung in Betrieb und übernehmen Sie ggf. Daten aus Altanwendungen.
* Vervollständigen Sie die Dokumentation, inkl. in der Configuration Management Data Base (CMDB) und die Sicherheitsarchitektur.

* Das Betriebshandhandbuch muss Vorgaben für den sicheren Betrieb der Anwendung enthalten, z.B. Patchmanagement.
* Sensibilisieren Sie die Anwender für Sicherheitsaspekte und lösen Sie Konflikte zwischen Benutzbarkeit und Sicherheit.
* Planen und begleiten Sie Changes, z.B. Versionswechsel der Anwendung oder anderer Komponenten wie das Betriebssystem, Middleware und Bibliotheken.
* Aktualisieren Sie die vollständige Dokumentation, inkl. der CMDB, der Sicherheitsarchitektur, vorbeugende Maßnahmen, Gegenmaßnahmen und das Betriebshandbuch.

* Weiterhin benötigte Daten sollten archiviert werden, alle anderen Daten sollten sicher gelöscht werden.
* Nehmen Sie die Anwendung auf sichere Weise außer Betrieb, inkl. dem Löschen von nicht mehr benötigten Benutzerkonten, Rollen und Rechten.
* Ändern Sie den Zustand der Anwendung in der CMDB auf “außer Betrieb”.