Dokumentationen gem. BSI

[grisu_stern]

Hallo,

bzgl. Eigentwicklungen unter Notes stellt sich in unserem Haus die Frage,  inwiefern die strengen Anforderungen des IT-GSH rechtlich vebindlich und somit umzusetzen sind.

Wie ist die Rechtsgrundlage? Ist das IT-GSH nur eine Empfehlung?
Was muß ich an eigenen Notes Datenbank wie dokumentieren??

Fragen über Fragen.....  
Wer hat Antworten für mich? 

Grüße aus Soest
Tanja

[Marinero Atlántico]

Hi,

das sieht für mich mehr nach Empfehlungen aus.
Du *mußt* überhaupt nichts dokumentieren.
Es ist aber eine gute Idee.
Mein Tipp: Denke an den Adressaten. Schreibe nicht mit einem "muß" im Kopf sondern mit dem Adressaten im Kopf.
Für Notes-Datenbanken existieren gemeinhin 3 Typen von Adressaten (und somit 3 Dokumentationen -> Endanwender, Admin und Entwickler).
Versuche die Dokumentation möglichst kurz zu halten und die Anwendung möglichst selbsterklärend.
Betrachte den BSI mehr als eine beratende Institution und nicht als einen strafenden Gott.
Vielleicht stehen da ein paar sinnvolle Sachen in diesem IT-GSH. Wer weiss   

Für sichere, erfolgreiche und adaptierbare Anwendungen existieren sowieso keine *einfachen* Handlungsanweistungen.
Ich bin ein skeptischer Mensch. Ich kann dir aber sicher sagen, dass es ein Fehler ist, etwas in eine Dokumentation zu tun, nur weil du meinst es im BSI gelesen zu haben, es müßte so sein. Vertraue deinem eigenen Urteilsvermögen.

Axel

[werxs]

Hi,

stimme Axel im Prinzip zu; wobei man allerdings noch bedenken sollte, dass manche Dokumentationen auch von anderen, Nicht-Noteslern gelesen werden, z.B. Mitarbeiter aus der Revision oder dem Legal Department. Ich denke, da solltest Du wirklich überlegen, für wen die Doku geschrieben werden soll.

Grüße
Helmut

[Marinero Atlántico]

Imho soll die Revision oder die Rechtsabteilung eine Dokumentation vielleicht prüfen.
Geschrieben wird sie doch für die Administratoren, Entwickler und v.a. Endanwender.

[werxs]

Ja, klar; aber trotzdem muß ich mich ein-zweimal im Jahr bei einigen Kunden mit den Nasen (Revision; Bafin etc.) auseinandersetzen.... ....deswegen meine Anmerkung.

[Marinero Atlántico]

Ist vielleicht eine v.a. hierzulande verbreitete Psychose, dass nicht wenige mittelmässige Einfallspinsel, die sich endlich ein *Amt* erschlichen haben, dieses dazu ausnützen, um damit ihre nicht sehr realistische und undifferenzierte Weltsicht durchzudrücken.
Dies sollte einen aber nicht von der eigentlichen Arbeit abhalten.

[pd]

Eine rechtsgrundlage ist der Grundschutz vom BSI sicher nicht, aber ein deFacto-Standard. Wie schon beschrieben standardisiert er diverse Dinge und schlägt (idR) praxisnahe Massnahmen vor.

Wenn ihr mit dem Grundschutz an sich angefangen habt, würde ich es aber konsequent fortsetzen, sonst kann man sichs eigentlich schenken.

Evtl. gibt es bei euch noch andere Prüfgremien und Anweisungen (OPDV)


Gruß, Patrick

[grisu_stern]

Danke schon mal für die Antworten.

Ich denke, ich muß noch mal konkretere Infos geben.

Ich dokumentiere schon Benutzer- und Entwicklungs-Infos.

Meine Frage zielt eher darauf ab, was darüberhinaus wirklich sein muß, da die Empfehlungen des BSI sich nicht nur auf Notes-DB beziehen.

Zum Thema Revision:
Unsere Interne Revision ist mit dem was ich dokmentiere zufrieden. Unser Verband (RWGV, ja Genossen Patrick  ...)  legt das ganze sehr eng aus. Daher meine Frage nach der Rechtsverbindlichkeit. Denn nicht alles was die meinen, macht wirklich Sinn und ist rechtlich notwendig.

Grüße aus Soest
Tanja

[pd]

Hab ich mir doch gedacht ;-)


Dann muss ich mal andersrum fragen ;-)

Fragestellung ist schwierig, wie eh das ganze Thema IT-Sicherheit. Wem genau soll die Doku genügen? Interne Revision ist ja glücklich, Verbandsrevision legt es eng aus, wie du sagst.
Ich habe bei unserem Verband angefragt, was die sich genau vorstellen. Ergebnis war, dass im Prinzip keiner so richtig weis, was man überhaupt will. Verwiesen wird man immer auf das, was bei uns OPDV heißt, worin geregelt ist was ne Anwendung ist und wie eine entsprechende Freigabe dafür zu erfolgen hat (mal grob zusammengefasst). Eventuell gibt es sowas bei euch auch.

Soweit mir das GSHB geläufig ist findet sich darin nichts, das übermäßig in die Tiefe für eine LoNo DB geht, hier würde ich nicht weitersuchen (da sehe ich wie du), zumal es ja grundsätzlich auch keine rechtlichsverbindliche Relevanz hat. Wirklich relevant ist wohl erstmal was dein Verband will, und das ist mit Sicherheit, wie du sagst "nicht alles sinnhaft und rechtlich notwendig".


Vielleicht weis Armin (cococo69) noch was, der ist ein badischer blauer Notesentwickler, müsste also auch schon mit einigen Prüfungen konfrontiert worden sein. Und die Verbände werden sich ja irgendwie austauschen, d.h. ähnliche Anforderungen haben.


Jetzt bin ich wieder ein bisschen drumrumgeschippert...

Was MUSS darüberhinaus noch sein? Man könnte sich mal schlau machen, was das BAFin noch so verlangt. Ich gehe davon aus, dass sich die Frage nur in Richtung prüfende Stellen richtet, was aus Notessicht für die Praxis wirklich sein muss, weist du ja selber.


Gruß, Patrick (der hofft dich verstanden zu haben...)

[Marinero Atlántico]

Evtl. ein bischen offtopic.
Diese hohen und offenbar auch noch unsicheren Hürden führen letztlich auch dazu, dass die einzelne Spaßkasse ihr Zeug von dem zentrallen Rechenzentrum bezieht.

Schliesslich erzeugt dort die unerreichte Elite einen großartigen code von erlesener Qualität unter hervorragenden Arbeitsbedingungen und gemeinsam mit innovativen und kompetenten Projektmanagern, die niemals schlafen.
Diese Helden der neuen Zeit kämpfen derart besessen um die Erfüllung der eigentlich kaum zu erreichenden Qualitätsansprüche, dass an Schlaf nicht zu denken ist.
Unterstützt wird das Ganze von internen Administratoren, die einfach jeden Trick kennen und die ZUSAMMENARBEIT, TRANSPARENZ und VERTRAUEN in ganz großen Buchstaben schreiben.
Sowieso Zusammenarbeit. Gerade gestern habe ich von einem Wirtschaftsinformatik-Dozenten von einer Diplom-Arbeit über eins eurer Rechenzentren gehört, in der besonders die gute Zusammenarbeit zwischen den Abteilungen lobend erwähnt wurde. Das deckt sich vollkommen mit meinen eigenen Eindrücken, denen meine Augen gewahr werden durften (ein Privileg). Kleinliche, persönliche Karriereziele kennen die gar nicht. Trifft Mitarbeiter von Abteilung A MItarbeiter von Abteilung B grüssen die sich mit einem fröhlichen "Was kann ich für dich tun?".
Diese Leute haben alle mindestens 4 abgeschlossene Studien von Eliteuniversiäten aus 3 Ländern. Sonst werden die gar nicht genommen.

Gruß Axel

[pd]

Hihi, da kennt sich einer aus ;-)

[Thomas Schulte]

Schliesslich erzeugt dort die unerreichte Elite einen großartigen code ...

Was hast du heute geraucht?  Das will ich auch!