Home   >   Leistungen   >   Zertifizierungen   >   Zertifizierung von Entwicklungsprozessen „Trusted Development“

Zertifizierung von Entwicklungsprozessen „Trusted Development“

Sichere Software ist die Grundlage eines sicheren IT-Betriebs und eines effektiven IT-Sicherheitsmanagement. Neben der Erfüllung der funktionalen Anforderungen muss Software heutzutage mindestens die drei grundlegenden Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – sicherstellen. Dies trifft nicht nur auf Software zu, bei der Informationssicherheit explizit als Anforderung definiert ist. Vielmehr wächst durch die ständig zunehmende Vernetzung und Digitalisierung des täglichen Lebens die Gefahr, dass auch unbedeutend erscheinende Komponenten von IT-Systemen oder IT-Infrastrukturen Ziel von Angriffen sein können und damit die angestrebten Schutzziele gefährdet werden.

Sichere Software lässt sich jedoch nicht nur durch das Implementieren generischer Sicherheitsmaßnahmen wie z.B. Verschlüsselung oder Rollenkonzepte herbeiführen, vielmehr muss Sicherheit als integraler Bestandteil des Entwicklungsprozesses verankert werden. Damit Unternehmen die Sicherheit ihrer Softwareentwicklungsprozesse belegen können, hat die TÜV TRUST IT die Zertifizierung „Trusted Development“ entwickelt.

Vorgehensweise

Auf Basis des TÜV TRUST IT Anforderungskatalogs „Trusted Development“ prüfen wir den Softwareentwicklungsprozess daraufhin, ob er relevante, angemessene und wirksame Elemente enthält, mit denen sich ein gleichbleibend hohes Sicherheitsniveau der produzierten Software erreichen lässt. Es werden Prüfungen in den Kategorien Software-Design, Planung und Implementierung, IT-Sicherheit, Informationsschutz und Datenschutz durchgeführt.

Dem Anforderungskatalog liegen neben Normen, Standards und Gesetzen (ISO/IEC 27001:2013, Bundesdatenschutzgesetz (BDSG), Common Vulnerabilities and Exposures (CVE) Top 25, Open Web Application Security Project (OWASP) Top 10, Building Security in Maturity Model (BSIMM) 3, Microsoft Secure Development Lifecycle) auch eigene Kriterien und Erfahrungen der TÜV TRUST IT sowie gängige Best Practice Lösungen der IT-Sicherheit zu Grunde.

Schritte der Zertifizierung

Die Vorgehensweise im Zertifizierungsprojekt unterteilt sich in unterschiedliche Schritte, die teilweise parallel durchgeführt werden können. Neben einer technischen Prüfung der Infrastruktur werden die relevanten Prozesse und Verfahrensweisen im Entwicklungsprozess geprüft. Zudem werden organisatorische Analysen anhand von Dokumentenprüfungen und ergänzenden Interviews durchgeführt.

Ergebnisbericht und Maßnahmenvorschläge

Alle Ergebnisse der Teiluntersuchungen werden mit entsprechenden Maßnahmenvorschlägen detailliert dokumentiert und entsprechend klassifiziert.

siegel_trusted-development

Bei positivem Ergebnis der Prüfung wird ein Zertifikat mit Prüfsiegel ausgestellt, das die Qualität des Entwicklungsprozesses dokumentiert. Dieses Zertifikat besitzt eine Gültigkeit von drei Jahren. Sie erhalten zwei DIN A3 Zertifikatsausdrucke in hoch auflösender Farbe (1x mit Rahmen) mit Ihrem Unternehmenslogo und optional eine Pressemitteilung durch die TÜV TRUST IT sowie die Onlinestellung des Zertifikats auf der Webseite der TÜV TRUST IT.

Zur Aufrechterhaltung der Gültigkeit des Zertifikats sind jährliche Überwachungsaudits erforderlich. Nach Ablauf des dritten Jahres muss eine Re-Zertifizierung durchgeführt werden.

Ihr Nutzen

  • Beleg gegenüber Ihren Kunden und Geschäftspartnern, dass Sicherheit ein integraler Bestandteil Ihres Softwareentwicklungsprozesses ist
  • Umfassender Prüfbericht mit Herausstellung von Optimierungsmaßnahmen

  • Wirksamer Wettbewerbsvorteil und Förderung der Neukundengewinnung
  • Onlinestellung des Zertifikats auf der Webseite der TÜV TRUST IT
  • TÜV-Siegel zur Nutzung für Ihr Marketing