Umfassende Qualitätssicherung
Modul H
Konformität auf Basis umfassender Qualitätssicherung mit Fokus auf Prozesse und erweitertem Informationssicherheitsmanagement (ISMS) über den gesamten Lebenszyklus.
Umfassende Qualitätssicherung
Konformität auf Basis umfassender Qualitätssicherung mit Fokus auf Prozesse und erweitertem Informationssicherheitsmanagement (ISMS) über den gesamten Lebenszyklus.
Der Fokus von Modul H liegt nicht auf der Prüfung der Produkte, sondern hier geht es im Schwerpunkt um die Konformität und Wirksamkeit des ISMS und der dazugehörigen Prozesse, um die geforderte umfassende Qualitätssicherung sicherzustellen.
Die zu erreichende Prozesstreue und -konformität des ISMS kann auf das gesamte Portfolio angewendet werden, sodass nicht jedes einzelne Produktmodell einer separaten Baumusterprüfung unterzogen werden muss. Dies bietet insbesondere Herstellern mit einer breiten Palette an relevanten Produkten große Vorteile. Ferner können Hersteller, die bereits wirksame Qualitäts- und Informationssicherheitsmanagementsysteme nach ISO 9001 und ISO/IEC 27001 betreiben, unter bestimmten Bedingungen Synergien bei der Anwendung von Modul H nutzen.
ISO/IEC 27001 als Basis
Die ISO/IEC 27001 bietet einen klaren Rahmen zur organisatorischen Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Im Kern werden Prozesse und Maßnahmen gefordert, die einem systematischen risikobasierten Ansatz Rechnung tragen, sowie ein kontinuierlicher Überwachungs- und Verbesserungsprozess (PDCA-Zyklus), um die Wirksamkeit des ISMS dauerhaft zu gewährleisten. Zusätzliche Erläuterungen und Hilfestellungen können auch aus der ISO/IEC 27002 genutzt werden.
Warum die BSI TR-03183-H und was sie ergänzt?
Die ISO/IEC 27001 und ihre Anforderungen (Controls) im Anhang zielen überwiegend auf den Schutz der Organisation und ihrer Werte, wie z.B. Daten. Zwar bietet sie an einzelnen Stellen auch Ansätze für Cybersecurity, doch reichen diese allein nicht aus, um die Anforderungen des CRA zu erfüllen. Aus dem Grund hat das BSI mit der TR-03183-H eine Richtlinie geschaffen, die die Anforderungen der ISO/IEC 27001 präzisiert und ergänzt, um der Anforderungen der CRA zu erfüllen; insbesondere an die Cybersecurity der betreffenden Produkte über deren Lebenszyklus.
Interessierte Parteien, der Geltungsbereich und die Policy des ISMS müssen den CRA berücksichtigenSecure Development Lifecycle: Der Entwicklungs- und Produktionsprozess muss einen sicheren Entwicklungs-Lebenszyklus umfassen, der die grundlegenden Cybersicherheitsanforderungen aus Annex I Teil I CRA erfüllt (z. B. sichere Standardkonfiguration, Schutz vor unautorisiertem Zugriff, Vertraulichkeit und Integrität von Daten, Minimierung der Angriffsfläche).
Über den gesamten Support-Zeitraum des Produkts müssen Schwachstellen identifiziert, behoben, kommuniziert und Sicherheitsupdates bereitgestellt werden – inklusive einer Policy zur koordinierten Offenlegung (Coordinated Vulnerability Disclosure) und einer Software Bill of Materials (SBOM).
Die spezifischen Risikobewertungen für die betreffenden Produkte müssen der Cybersecurity über deren gesamten Lebenszyklus Rechnung tragen.
Werden Controls aus Annex A.1 der TR-03183-H nicht umgesetzt, ist dies risikobasiert zu begründen
Dies gilt entsprechend auch für Kommunikation, Dokumentation sowie Planung und Umsetzung von Maßnahmen – inklusive der Nutzerdokumentation gemäß Annex II CRA