Handbuch Software-Doku 2 für Notes Dokumentation, Risikobewertung, Lizenzverwaltung Softwaredokumentation und Verfahrensbeschreibung Abnahme- und Freigabe-Verfahren im Workflow Umsetzung angelehnt an MaRisk AT 7.2 und BSI Maßnahmenkatalog 2.62 Risikobewertung von Fremdanwendungen integrierte Lizenzverwaltung Stand: August 2011 2009-2011 SD DataTec Jürgen Gabel Alle Rechte vorbehalten. http://www.sdd.de
1. Copyright und Haftungsbeschränkungen Das Programm und die dazugehörige Dokumentation unterliegen dem alleinigen Copyright des Herstellers. 2009-2011 SD DataTec Jürgen Gabel. Das vorliegende Programm wurde mit grösster Sorgfalt erstellt. Der Autor und Herausgeber haftet jedoch weder für Fehler oder Versäumnisse noch für die Bnutzung des behandelten Materials und die Entscheidungen, die infolgedessen getroffen werden. Es wird keine Gewähr, weder direkt noch indirekt, hinsichtlich der Nutzung der Software und des Inhaltes des Dokumentation, der Marktgängigkeit oder der Eignung für einen bestimten Zweck übernommen. Weder der Autor der Dokumentation noch der Hersteller der Software können für direkte, indirekte, Neben- und Folgeschäden haftbar gemacht werden, die durch die Nutzung der Software oder der Dokumentation entstehen. Das alleinige Risiko liegt beim Anwender dieser Software. Jeder Anwender erkennt diese Bestimmungen beim Einsatz von Neris für Notes uneingeschränkt an. Alle hier genannten Marken- oder Produktbezeichnungen sind Warenzeichen der jeweiligen Unternehmen. Alle Rechte vorbehalten. 2. Systemvorraussetzungen Lotus Notes Client ab Version 7.x auf beliebigem Betriebssystem 2009-2011 SD DataTec Jürgen Gabel Seite 2 von 12
3. generelles Ablaufdiagramm - Abnahme und Freigabe von Software 2009-2011 SD DataTec Jürgen Gabel Seite 3 von 12
4. neue Software erfassen Klicken Sie in einer beliebigen Ansicht auf die Schaltfläche "neue Software" generelle Angaben Geben Sie bei der Erfassung einer neuen Software zunächst Bezeichnung, Versionsnummer und eine generelle Beschreibung der Software an. Wozu dient die Software, von welchem Anwenderkreis wird die Software wofür eingesetzt. Wählen Sie eine Kategorie für die Software aus oder geben Sie eine neue Kategorie an. Beschreiben Sie das technische Umfeld, das benötigt wird, um die Software einsetzen zu können. Geben Sie an, sofern möglich, ab wann die Software eingesetzt wird, bzw. bei nicht mehr eingesetzten Versionen der Software, bis wann diese eingesetzt wurde. Geben Sie den Hersteller bzw. den Entwickler der Software an. Klassifizierung Ist die Software buchhaltungs- oder entscheidungsrelevant für das Unternehmen, so wählen Sie die entsprechende Option aus. Anschließend muss noch der Risikogehalt der Software angegeben werden. Geben Sie an, welche Datenquellen eventuell für die Software eingesetzt werden und ob die Anwendung mitarbeiterbezogene Daten und/oder Auswertungen enthält. Wählen Sie zum Abschluß der Klassifizierung noch aus, ob die fachliche Abnahme (abhängig vom Risikogehalt) im 2-Augen- oder 4-Augen-Prinzip erfolgen soll. Zuständigkeiten Legen Sie den/die fachlich und technisch Zuständigen fest. Achten Sie darauf, eine mail-fähige Adresse auszuwählen. wichtig: Dokumentation Hinterlegen Sie im Register "Dokumentation und Anhänge" alle vorliegenden Dokumenationen der Software. Dazu zählen eventuell auch die aktuelle Version der Anwendung, das Pflichtenheft/der Anforderungskatalog, Grobkonzept, Feinkonzept sofern vorhanden. 2009-2011 SD DataTec Jürgen Gabel Seite 4 von 12
5. Checkliste Software-Erfassung- Benutzen Sie diese Checkliste, um bei Erfassung einer neuen Software alle wichtigen Punkte zu beachten. 2009-2011 SD DataTec Jürgen Gabel Seite 5 von 12
6. fachliche Abnahme Entwickeln und dokumentieren Sie Testfälle für die fachliche Abnahme der Software. Vergleichen Sie die Ergebnisse und Auswertungen der Software mit den errechneten Werten. Die Durchführung der Tests darf keine Auswirkungen auf den Echtbetrieb des Unternehmens haben. Nach Abschluß aller Tests öffnen Sie das Software-Dokument und klicken auf die Schaltfläche "fachliche Abnahme". Wählen Sie dann aus, ob die Abnahme bestätigt werden kann oder verweigert werden muss. Die Abnahme ist zu verweigern, wenn: - schwerwiegende Fehler in der Software festgestellt werden - Testfälle auftreten, in denen die erwarteten Ergebnisse nicht mit den berechneten übereinstimmen - Benutzerhandbücher oder Bedienungsanleitungen fehlen - Die Dokumentation der Software nicht ausreichend ist Sofern Sie die Abnahme verweigern, geben Sie den Grund hierfür an. Wählen Sie anschließend das Datum der Abnahme und bestätigen Sie mit OK. Sofern Sie der Abnahme zustimmen, beschreiben Sie die Testumgebung. Dokumentieren Sie Testfälle und Testergebnisse in dem dafür vorgesehenen Feld und geben Sie eine Abnahmeerklärung ein. Wählen Sie zum Abschluß der Abnahme noch das Abnahmedatum und bestätigen Sie die Abnahme mit der Schaltfläche "OK". Der technisch zuständige Mitarbeiter wird über das Ergebnis der Abnahme per Email informiert. 2009-2011 SD DataTec Jürgen Gabel Seite 6 von 12
7. Checkliste fachliche Abnahme- Benutzen Sie diese Checkliste, um bei Abnahme einer neuen Software alle wichtigen Punkte zu beachten. 2009-2011 SD DataTec Jürgen Gabel Seite 7 von 12
8. technische Freigabe Die Nutzungs-Abnahme wird vom technisch zuständigen IT-Mitarbeiter durchgeführt. Die Nutzungs-Freigabe ist zu verweigern, wenn: - schwerwiegende Fehler in der Software festgestellt werden - die Dokumentation der Software nicht vorhanden oder nicht ausreichend ist - die Software nicht kompatibel zu anderen eingesetzten Programmen ist - die Software in der angestrebten Betriebsumgebung nicht lauffähig ist Um die Freigabe zu bestätigen oder abzulehnen, klicken Sie auf die Schaltfläche "Technische Freigabe" Wählen Sie aus, ob Sie die Freigabe bestätigen oder ablehnen wollen. Geben Sie anschließend entweder den Grund der Ablehnung oder die Freigabeerklärung an. Wählen Sie das Freigabedatum aus. Bestätigen Sie die Freigabe mit OK. Sollte im Datenbankprofil ein IT-Sicherheits- bzw. Datenschutzbeauftragter festgelegt sein, so wird dieser nach der Freigabe um seine Zustimmung und Stellungnahme gebeten. Erst danach wird die Software endgültig für die Nutzung freigegeben. Ist kein IT-Sicherheits- bzw. Datenschutzbeauftragter festgelegt, so ist die Software ab diesem Moment zur Nutzung freigegeben und kann eingesetzt werden. In der Ansicht "aktive Software\Zertifikate" lässt sich jetzt das Freigabezertifikat ausdrucken. DIes enthält eine Zusammenfassung aller wichtigen Informationen und kann danach abgelegt oder für eine eventuelle Prüfung gedruckt oder als PDF an die Preüfer/Revisoren ausgegeben werden. 2009-2011 SD DataTec Jürgen Gabel Seite 8 von 12
9. Checkliste technische Nutzungs-Freigabe- Benutzen Sie diese Checkliste, um bei technische Freigabe einer neuen Software alle wichtigen Punkte zu beachten. 10. optional: endgültige Freigabe durch Datenschutzbeauftragten/IT- Sicherheitsbeauftragten Ist im Datenbankprofil ein IT-Sicherheits- bzw. Datenschutzbeauftragter definiert, so obliegt der dort angegebenen Person die endgültige Freigabe einer Software. Dies kann in großen Unternehmen z.b. sinnvoll sein, da so noch vor Freigabe z.b. die Genehmigung oder Information des Betriebsrates notwendig ist. Sind alle Rahmenbedingungen erfüllt, dann klicken Sie bitte auf die Schaltfläche "Endgültige Freigabe". Geben Sie eine kurze Stellungnahme an und bestätigen Sie dann mit OK. Die Software ist ab diesem Moment zur Nutzung freigegeben und kann eingesetzt werden. 11. optional: Erfassung neue Version einer bestehenden Anwendung Auch nach Freigabe einer bestimmten Version einer Anwendung kann die Notwendigkeit bestehen, die Software erneut abzunehmen und freizugeben. Dies muss geschehen, wenn: - Fehler während dem Einsatz der Software erst auftreten - der Hersteller/Entwickler aufgrund Weiterentwicklung eine neue Version bereitstellt - eine Abnahme/Freigabe zu einem früheren Zeitpunkt abgelehnt und jetzt mit einer korrigierten Version erneut eine Freigabe angestrebt wird Sollte einer diese Fälle eintreten, dann wählen Sie die entsprechende Software in einer beliebigen Ansicht aus uznd klicken anschließend auf die Schaltfläche "neue Version". 2009-2011 SD DataTec Jürgen Gabel Seite 9 von 12
Einige Daten werden jetzt aus dem zugrundeliegenden Dokument übernommen. Korrigieren oder aktualisieren Sie diese Inhalte und geben Sie eine neue Versionsnummer an. Nach Speicherung beginnt der Abnahmeprozeß in der gewohnten Form. 12. Risikobewertung von Fremdanwendungen Eine Risikobewertung dient dazu, eine nicht von einer übergeordneten öffentlichen Instanz oder einem mit dem Umfeld vertrauten Rechenzentrum bereits zertifizierte/freigegebene Software im Hinblick auf die eigenen Sicherheitsrichtlinien zu bewerten. Hierzu werden die schützenswerten Bereiche des/der Arbeitsplätze betrachtet, auf denen die Software installiert werden soll. Dazu wird das Risiko in 4 Schutzziele eingeteilt: 1. Schutzziel Dateisystem 2. Schutzziel Registry 3. Schutzziel Netzwerk & Kommunikation 4. Schutzziel Virenschutz Diese vier Schutzziele werden genauestens analysiert. Anschließend wird das Gefährdungspotential eingestuft indem Eintrittswahrscheinlichkeit und Schadensmaß eingestuft werden. Aufgrund dieser Angaben wird ein Risikograph errechnet, der das Risiko grafisch darstellt. 13. integrierte Lizenzverwaltung 2009-2011 SD DataTec Jürgen Gabel Seite 10 von 12
In der Registerkarte "Lizenzverwaltung" lassen sich die Lizenzen von Fremdanwendungen erfassen und verwalten. Hierzu werden die erworbenen mit Anzahl und eventuell die/der dazugehörige Lizenzschlüssel erfasst. Hier lassen sich mehrere Lizenzpakete mit der dazugehörigen Anzahl erfassen und werden auf der selben Registerkarte direkt darunter in einer Ansicht aufgelistet. Auch verwendete bzw. ausgegebene Lizenzen können hier erfasst und verwaltet werden und werden ebenfalls hier aufgelistet. Im oberen Abschnitt der Lizenzverwaltung werden die noch freien oder eventuell fehlenden Lizenzen jederzeit übersichtlich in grün (noch freie Lizenzen) oder rot (fehlende Lizenzen) aufgelistet. 14. Zugriffskontrollliste (ACL) einrichten Default erhält Zugriffsrecht "Autor" erhält nicht "Dokumente erstellen" oder "Dokumente löschen" alle Mitarbeiter können fachliche Abnahmen durchführen, sofern deren Name im Feld "fachlich zuständig" eingetragen ist, sehen aber keine weiteren Dokumente Gruppe OtherDomainServers erhalten das Recht "Kein Zugriff" Mitarbeiter, die eigene Software erfassen sollen erhalten den Zugriff "Autor" erhalten zusätzlich "Dokumente erstellen" und "Dokumente löschen" erhalten keine Rolle(n) diese Mitarbeiter können eigene Software erfassen bzw. die selbst erfasste Software bearbeiten, löschen oder neue Versionen erfassen. Mitarbeiter Revision/Geschäftsleitung 2009-2011 SD DataTec Jürgen Gabel Seite 11 von 12
erhalten den Zugriff "Leser" oder "Autor" und die Rolle Revisor Diese Mitarbeiter können alle Dokumente lesen IT-Mitarbeiter und Gruppe LocalDomainServers erhalten den Zugriff "Manager" sowie die Rolle "[Admin]" Diese Mitarbeiter/Server können alle Dolumente lesen, bearbeiten und löschen. Aufgrund der Rolle "[Admin]" können auch freigegebene Programme noch geändert werden. 15. Datenbankprofil einrichten Im Datenbankprofil lässt sich der IT-Sicherheitsbeauftragte bzw. Datenschutzbeauftragte des Unternehmens festlegen. Ist hier eine Person definiert, so obliegt dieser Person die endgültige Freigabe von Software. Außerdem kann im Datenbankprofil der Lizenzschlüssel für das Programm definiert werden. Damit lässt sich aus einer Demo-Version z.b. eine zeitlich eingeschränkte voll funktionsfähige Trial-Version oder nach Bestellung der Anwendung eine Vollversion freischalten. Die erfassten Daten bleiben in beiden Fällen erhalten. 2009-2011 SD DataTec Jürgen Gabel Seite 12 von 12