Vortragsreihe: Mittwoch 22. Mai CMS Wien. ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3

Größe: px

Ab Seite anzeigen:

Download "Vortragsreihe: Mittwoch 22. Mai 2013. CMS Wien. ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it."

Wilfried Berg
vor 8 Jahren
Abrufe

1 Vortragsreihe: Mittwoch 22. Mai CMS Wien ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3

2 Überblick Ausgangssituation Software IT-Compliance Anforderungen Software-Entwicklungsprozess Fallbeispiel Erkenntnisse Seite 2

3 Ausgangssituation IT-Zivilingenieur, staatlich befugt und beeidet Gerichtssachverständiger seit 2003 Beachtung von Gesetzen, Normen und Standards Unterstützungsanforderungen durch Kunden, Gericht und Bundeskriminalamt Seite 3

4 IT-Befugnis nach Ziviltechnikergesetz Beraten Planen Prüfen Treuhandschaften Technischer Notar Urkundsfähigkeit - Zertifizierung nach ZTG 4 Abs. 3 Abgrenzung zum Gewerbe keine ausführenden Tätigkeiten keine Störungsbehebung aber z.b. Störungsanalyse kein Vertrieb von Software und Hardware, daher kein Interessenskonflikt mit gewerblichen Unternehmen Seite 4

5 Seite 5

6 Zu Projekten gerufen bei... Beratungsbedarf Schieflage Parteien zerstritten Technologiefragen Differenzen zu Umfang, Leistung, Kosten, Projektplan und Compliance Seite 6

7 SOFTWARE Bei kaum einem anderem Produkt lässt sich Qualität so schwer beurteilen und herstellen wie bei Software. Die Schwierigkeiten sind so groß, dass die Menschheit gelernt hat, mit schlechten Komponenten zu leben. Quelle IX-Magazin 1/2011 Seite 7

8 Macht- und Ohnmacht Verhältnis Seite 8

9 Vor Vertragsabschluss Dienstleister Seite 9 Auftraggeber

10 Nach Vertragsabschluss Dienstleister Seite 10 Auftraggeber

11 Gesetze, Normen und Standards IT-Compliance Seite 11

12 Was ist ein Standard und Norm Standard ist eine Regel oder Norm. Norm: offener Organisationskreis im Konsens Standard: geschlossener Organisationskreis im Konsens Standard -> Norm Industriestandard (engl. de facto standard) ist ein technischer Standard, aber keine Norm. Seite 12

13 Software-Entwicklungsprozess Vorgehensmodelle /-methodologie Funktionale Standards Nichtfunktionale Standards (QS) Coding Guidelines Seite 13

14 Einordnung Standards und Normen Organisation Prozesse Technologie. Seite 14

15 World Standards Cooperation WSC World Standards Cooperation 1 ISO 2 IEC International Organization for Standardization, Normenorganisationen Internationale elektrotechnische Kommission, Elektronik 3 Internationale Fernmeldeunion, Telekommunikation 1 2 Seite 15 3 ITU

16 ISO Normen 1.1 ISO ISO ISO ISO ISO Normenreihe (!) Seite 16

17 Compliance 1: Recht UGB 82 AktG, 22 GmbHG 131 BAO 14 Datenschutzgesetz Telekommunikationsgesetz Fernabsatzgesetz Signaturgesetz, Signaturverordnung ecommerce & egovernment Gesetz Informationssicherheitsgesetz IKS Internes Kontrollsystem 11. ECV - Emittenten Compliance Verordnung 12. ISA 402, SAS/70, IWP PE KFS/DV1 und DV2 IDW PS330 und FAIT Seite 17

18 Compliance 2: SW-Entwicklungsprozess 1. Wasserfallmodell, Spiralmodell, Rational Unified Process 2. V-Modell und W-Modell 3. Extreme Programming, Scrum, Agile Unified Process 4. Microsoft Solutions Framework 5. Prototyping 6. Modellgetriebene Softwareentwicklung 7. Feature Driven Development 8. Test Driven Development 9. Bundesvorgehensmodell (Österreich) Auszug Seite 18

19 Compliance 3: Normen und Standards CMMI oder SPICE COBIT ISO ISO ITIL, ISO BSI-Standards PCI DSS ÖNORM 7700,... Seite 19

20 Compliance 4: ISO-Normenreihe Übersicht ISO 9000 Qualitätsmanagementsysteme ISO/IEC 9126 neu Softwarequalität ISO Qualitätsmanagement Konfigurationsmanagement ISO/IEC & Software Lebenszyklusprozesse ISO/IEC SW-Process Improvement and Capability Determination (SPICE) 6. ISO PDF/A normiertes PDF 7. ISO/IEC Standard IT-Service-Management 8. ISO Projektmanagement 9. ISO/IEC Bewertung von Softwareprodukten 10. ISO/IEC Informationstechnik & ISMS 11. ISO/IEC Risikomanagement 12. ISO Medizintechnik meets IT Seite 20

21 Compliance 5: Funktionale Norm(en) EN ISO Nachfolger der EN Sehr Hardware nahe Steuerungen und Embedded Systems Seite 21

22 Compliance 5: Nicht funktionale Norm(en) ISO 9126 bzw. neu ISO Seite 22

23 Fallbeispiel Online-Portal in der Cloud Das 1 Mio. Euro Desaster Seite 23

24 IT-Compliance/Schuld- Bewertungen 1. Online-Portal in der Cloud Das 1 Mio. Euro Desaster 2. Web-Anwendung zwei Phasenauthentifizierung? 3. Systemausfälle im RZ in der Logistik und Verrechnung bei einem globalen Player im Getränkebereich 4. Datendiebstahl von 6 Mio. in Österreich 5. Sicherheitstechnische Überprüfung Unternehmensnetzwerk mit Betriebsratsserver Seite 24

25 Das 1 Mio. Euro Desaster Ausgangssituation Tätigkeiten Projektergebnis Technologisch Wirtschaftlich Ziviltechnikergutachten Rechtsstreit, Anzeige, Staatsanwaltschaft,... Erkenntnisse Seite 25

26 Erkenntnis I Keine klaren Projekt-Anforderungen (RE) Kein Lasten oder Pflichtenheft Kein Projektmanagement Vertrauen in der Projektstartphase Misstrauen in der Projektendphase Unwissenheit des Auftraggebers Keine ausreichende Planung, Kontrolle und Abnahme Seite 26

27 Erkenntnis II Zumeist nur verlieren. Produkt stirbt oder wird unbrauchbar Projektpartner können nicht mehr miteinander Lange Gerichtsverfahren Am Ende zumeist ein Vergleich nach 2-4 Jahren Seite 27

28 Kundenanforderungen Bewusste Anforderungen Unbewusste Anforderungen Unterbewusste Anforderungen Hören, Sehen, Verstehen, Transformieren Seite 28

29 Grundprinzip der Verständlichkeit Kurze Sätze Eine Anforderung pro Satz Sätze im Aktiv Definierte Begriffe (Glossar) Seite 29

30 Satzschablonen für funktionale Anforderungen muss - soll [wem?] die Möglichkeit bieten wird Fähig sein Das System Juristische Verbindlichkeit [Objekt & Ergänzungen ] [Verb] 1) Selbstständige Systemaktivität 2) Benutzerinteraktion 3) Schnittstellenanforderung Seite 30

31 Meine Einschätzung I Kaufmännische Verantwortung Technische Verantwortung Auftraggeber IT-Dienstleister Seite 31

32 Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? Seite 32

Ähnliche Dokumente

Technische Aspekte der ISO-27001

ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ