Die Einschätzung der Cyber Academy
ISO 27034 ist der Standard für Anwendungssicherheit. Mehrteilig. Deckt den sicheren Software-Lebenszyklus ab: Anforderungen, Design, Entwicklung, Test, Deployment, Betrieb. Weniger bekannt als 27001, weil er innerhalb des SDLC angesiedelt ist, aber der einzige ISO-Standard, der die Sprache von Entwicklungsteams spricht. Lässt sich natürlich mit OWASP und SBOM-Praktiken kombinieren.
Was die Norm ISO/IEC 27034 erreichen will
ISO/IEC 27034 ist das auf Anwendungssicherheit ausgerichtete Mitglied der Normenfamilie ISO/IEC 27000. Während ISO/IEC 27001 das Managementsystem regelt, das Ihr gesamtes Informationssicherheitsprogramm steuert, verengt ISO/IEC 27034 den Blick auf eine Sache: das Entwickeln und Betreiben sicherer Anwendungen über den gesamten Software-Lebenszyklus hinweg, von den Anforderungen und dem Entwurf über die Entwicklung, das Testen, die Bereitstellung bis hin zur Wartung.
Es handelt sich um eine mehrteilige Norm, was bedeutet, dass die Vorgaben über mehrere Dokumente verteilt sind, statt in einer einzigen zertifizierbaren Spezifikation gebündelt zu sein, und diese Form sagt etwas über ihre Absicht aus. Sie soll prägen, wie die Entwicklung durchgeführt wird, und einem Auditor keine Checkliste zum Abhaken in die Hand geben.
Der Grund, warum sie im Hintergrund bleibt, während ISO/IEC 27001 die Aufmerksamkeit erhält, ist struktureller Natur. Der größte Teil einer Organisation spricht über Richtlinien, Risikoregister und Zertifikate; ISO/IEC 27034 spricht zu den Menschen, die den Code schreiben und ausliefern. Sie lebt innerhalb des Softwareentwicklungslebenszyklus (SDLC), sodass ihr Publikum aus Entwicklern, Architekten und Anwendungssicherheitsingenieuren besteht und nicht aus dem Compliance-Team. Das macht sie zur ISO-Norm, die die Sprache der Entwicklungsteams am fließendsten beherrscht, und zu derjenigen, die am ehesten sauber darauf abbildet, wie eine Engineering-Organisation tatsächlich Tag für Tag arbeitet.
Die Idee der Anwendungssicherheitskontrolle
Das ordnende Konzept in ISO/IEC 27034 besteht darin, Anwendungssicherheit als einen Satz überprüfbarer Kontrollen zu behandeln, die in den Lebenszyklus eingewoben sind, statt als eine am Ende angesetzte Sicherheitsprüfung.
Die Norm fasst Sicherheitsanforderungen als etwas auf, das man aus dem Kontext der Anwendung, den von ihr verarbeiteten Daten und den Bedrohungen, denen sie ausgesetzt ist, ableitet und dann durch Entwurf, Implementierung und Verifizierung weiterträgt, sodass jede Kontrolle einen definierten Punkt hat, an dem sie eingebaut wird, und einen definierten Punkt, an dem sie geprüft wird.
Die praktische Wirkung ist, dass Sicherheit aufhört, ein Tor bei der Freigabe zu sein, und zu einer Eigenschaft wird, die in jeder Phase aufrechterhalten wird, was genau der Wandel ist, den die moderne Praxis der sicheren Entwicklung seit Jahren vorantreibt.
Da die Norm prozessorientiert und am Lebenszyklus ausgerichtet ist, fügt sie sich bequem neben das präskriptive, praxisnahe Material ein, das Teams bereits nutzen. Sie ersetzt weder den OWASP Application Security Verification Standard noch die OWASP Top 10; sie gibt ihnen einen Governance-Rahmen, an dem sie sich aufhängen können. Sie passt auch natürlich zur Praxis des software bill of materials (SBOM), bei der das genaue Wissen darüber, welche Komponenten in einer Anwendung ausgeliefert werden, die Kontrolle der Wartungsphase ist, die den Lebenszyklus nach der Freigabe ehrlich hält. Zusammen verwendet liefert ISO/IEC 27034 die Struktur, und OWASP und das SBOM liefern die konkreten Techniken und Inventare.
Wie sie sich neben ISO/IEC 27001 einfügt
Der sauberste Weg, ISO/IEC 27034 zu positionieren, ist als das Detail der Anwendungsebene unterhalb eines ISO/IEC 27001-Managementsystems. ISO/IEC 27001 zertifiziert, dass Sie ein Informationssicherheits-Managementsystem mit Risikobewertung und kontinuierlicher Verbesserung betreiben, und sein Kontrollsatz umfasst auf hoher Ebene formulierte Erwartungen an die sichere Entwicklung.
ISO/IEC 27034 ist der Ort, an den Sie gehen, um diese Erwartungen tatsächlich im Engineering umzusetzen: wie sichere Anforderungen erfasst werden, wie Kontrollen verifiziert werden, wie Sicherheit durch den SDLC wandert. Ein nach ISO/IEC 27001 zertifiziertes Team kann ISO/IEC 27034 nutzen, um seinen Kontrollen für die sichere Entwicklung Substanz zu verleihen, und eine Entwicklungsorganisation kann ISO/IEC 27034 nutzen, um sicherzustellen, dass der Code, den sie ausliefert, diesem umfassenderen Managementsystem standhalten würde.
In der Praxis zertifizieren sich Organisationen selten gegen ISO/IEC 27034, so wie sie sich gegen ISO/IEC 27001 zertifizieren. Sie übernehmen sie als Leitlinie, überführen die Lebenszyklusstruktur in ihren eigenen Standard für sichere Entwicklung und verweisen auf sie, wenn sie eine maßgebliche Grundlage dafür benötigen, warum Anwendungssicherheit so gehandhabt wird, wie sie gehandhabt wird. Für ein kleines Team ist der Wert derselbe wie für ein großes Unternehmen: eine anerkannte, herstellerneutrale Möglichkeit, einen sicheren SDLC zu beschreiben, die Auditoren, Kunden und Entwickler gleichermaßen akzeptieren.
Frequently asked questions
01Ist ISO/IEC 27034 eine zertifizierbare Norm?
Es handelt sich um eine mehrteilige Norm, die in erster Linie als Leitlinie für das Entwickeln sicherer Anwendungen über den Lebenszyklus hinweg gedacht ist, nicht als eine einzelne Spezifikation, gegen die sich Organisationen typischerweise so zertifizieren, wie sie sich gegen ISO/IEC 27001 zertifizieren. Die meisten Teams übernehmen sie, um ihre Praxis der sicheren Entwicklung zu strukturieren, statt um ein Zertifikat zu erlangen.
02Wie unterscheidet sich ISO/IEC 27034 von ISO/IEC 27001?
ISO/IEC 27001 regelt das gesamte Informationssicherheits-Managementsystem. ISO/IEC 27034 verengt sich auf die Anwendungssicherheit über den Softwareentwicklungslebenszyklus hinweg und verleiht den Kontrollen für die sichere Entwicklung, die ISO/IEC 27001 auf höherer Ebene formuliert, technische Substanz.
03Ersetzt ISO/IEC 27034 OWASP?
Nein. Beide ergänzen einander. ISO/IEC 27034 liefert die Lebenszyklusstruktur und den Governance-Rahmen, während OWASP-Ressourcen wie die Top 10 und der Application Security Verification Standard die konkreten Techniken und Tests liefern, die Sie innerhalb davon anwenden.
04Wer in einer Organisation nutzt ISO/IEC 27034 tatsächlich?
Sie richtet sich an die Menschen, die Software erstellen und betreiben: Entwickler, Architekten und Anwendungssicherheitsingenieure. Deshalb wird sie als die ISO-Norm beschrieben, die die Sprache der Entwicklungsteams spricht, da sie innerhalb des SDLC lebt und nicht in der Richtlinienebene.
05Wie verhält sie sich zur SBOM-Praxis?
Ein software bill of materials unterstützt die Wartungsphase, die ISO/IEC 27034 als Teil des Lebenszyklus behandelt. Genau zu wissen, welche Komponenten in einer Anwendung ausgeliefert werden, ermöglicht es Ihnen, die Anwendungssicherheitskontrollen nach der Freigabe wirksam zu halten, was die Art der fortlaufenden Verifizierung ist, die die Norm erwartet.