Zum Hauptinhalt springen

IT-Klassifizierung-von-Standards

Anwendung des Klassifikationssystems

Das System zur Klassifikation von Standards (Spezifikationen und Implementationen) durch SAGA de.bb wird im SAGA-Modul „Grundlagen näher beschrieben. In diesem Modul befinden sich technische Standards mit den Klassifikationen

  • „Verbindlich“,
  • „Empfohlen“,
  • „Beobachtet“ und
  • „Bestandsgeschützt“
  • „Vorgeschlagen“
  • „Verworfen“

Vorgeschlagen

Es ist nicht SAGA-konform, vorgeschlagene Standards einzusetzen, wenn es konkurrierende Standards gibt, die bestandsgeschützt, beobachtet, empfohlen oder verbindlich sind. Wenn es keine konkurrierenden Standards gibt, die höher klassifiziert wurden, befindet sich das Themenfeld noch außerhalb der Festlegungen von SAGA de.bb und ist für die Betrachtung der SAGA-Konformität nicht relevant.

Beobachtet

Wenn es neben den beobachteten Standards keine konkurrierenden empfohlenen oder verbindlichen Standards gibt, SOLLTEN beobachtete Standards in IT-Systemen eingesetzt werden. Nur in begründeten Ausnahmen KÖNNEN beobachtete Standards empfohlenen Alternativen vorgezogen werden.

Empfohlen

Konkurrierende Standards können nebeneinander empfohlen sein, wenn sich ihre Anwendungsschwerpunkte deutlich unterscheiden. In solchen Fällen SOLLTE der für die jeweilige Anwendung am besten geeignete Standard angewendet werden. Von den empfohlenen Standards KANN in begründeten Ausnahmen abgewichen werden. Zu einem empfohlenen Standard gibt es keine verbindliche Alternative, da eine Empfehlung neben einem verbindlich einzusetzenden Standard keinen Sinn hat.

Verbindlich

Konkurrierende Standards können nebeneinander verbindlich sein, wenn sich die Anwendungsschwerpunkte deutlich unterscheiden. In solchen Fällen MUSS der für die jeweilige Anwendung am besten geeignete Standard verwendet werden. Standards dieser Klassifikation sind im eigentlichen Sinne des Wortes verbindlich, MÜSSEN also bei der Einführung eines neuen IT-Systems jeder Alternative vorgezogen werden. Abweichungen gefährden die Ziele von SAGA de.bb in hohem Maße und sind deshalb nicht zugelassen. Bei der funktionalen Änderung oder Erweiterung eines IT-Systems KÖNNEN als „Bestandsgeschützt“ klassifizierte Standards weiterhin genutzt werden. Es MUSS jedoch geprüft werden, ob die Migration zum verbindlichen Standard vorteilhaft ist. Über Ausnahmen entscheidet die IT-Leitstelle.

Bestandsgeschützt

Bei der funktionalen Änderung oder Erweiterung eines IT-Systems stehen diese Standards unter Bestandsschutz und KÖNNEN auch weiterhin eingesetzt werden. Es SOLLTE geprüft werden, ob eine Migration zu den in SAGA de.bb als „Beobachtet“ oder „Empfohlen“ klassifizierten Standards Vorteile gegenüber dem Festhalten an als „Bestandsgeschützt“ klassifizierte Standards bringt. Gibt es eine als „Verbindlich“ klassifizierte Alternative, MUSS diese Überprüfung durchgeführt werden.

Verworfen

Verworfene Standards KÖNNEN dann eingesetzt werden, wenn parallel eine SAGA-konforme Lösung zur Verfügung gestellt wird. Allein DÜRFEN diese Standards in neuen sowie in bestehenden IT-Systemen NICHT eingesetzt werden. Spätestens bei funktionalen Änderungen oder Erweiterungen MÜSSEN sie ausgetauscht werden. Dazu MUSS für die Erweiterung des Funktionsumfanges, gegebenenfalls unter Einsatz von Kapselung, von verworfenen Standards weg migriert oder eine SAGAkonforme Alternative geschaffen werden. Es SOLLTE jedoch für das gesamte bestehende IT-System geprüft werden, ob eine Migration oder Erweiterung vorteilhaft ist.

Quelle = BSI SAGA Grundlagen