{ "class": "BSI-Stand-der-Technik-Kernel", "controls": [ { "class": "BSI-Stand-der-Technik-Kernel", "id": "BES.5.13.1", "parts": [ { "id": "BES.5.13.1_stm", "name": "statement", "props": [ { "name": "target_object_categories", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", "value": "Outsourcing" }, { "name": "documentation", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", "value": "Beschaffungskriterien" }, { "name": "result", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "die Bereitstellung der beim Dienstleister verarbeiteten Daten in einem standardisierten Format" }, { "name": "action_word", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", "value": "vereinbaren" }, { "name": "modal_verb", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", "value": "KANN" } ], "prose": "Beschaffungsmanagement für Outsourcing KANN die Bereitstellung der beim Dienstleister verarbeiteten Daten in einem standardisierten Format vereinbaren." }, { "id": "BES.5.13.1_gdn", "name": "guidance", "prose": "Kann das Risiko verringern, dass im Falle eines Anbieterwechsels, einer Vertragsbeendigung oder einer Notfallwiederherstellung Daten nur in proprietären oder unvollständig dokumentierten Formaten vorliegen. Ohne ein solches Format könnte eine Institution vor dem Problem stehen, dass bei einem unerwarteten Ausfall des Dienstleisters die Daten erst zeitaufwendig konvertiert werden müssen, was den Geschäftsbetrieb verzögert oder kritische Prozesse unterbricht." } ], "props": [ { "name": "alt-identifier", "value": "8efd929d-ccc8-422f-b5ae-915fbfc41ddc" }, { "name": "sec_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", "value": "erhöht" }, { "name": "effort_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", "value": "5" }, { "name": "tags", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", "value": "Lieferketten" } ], "title": "Datenbereitstellung" } ], "id": "BES.5.13", "parts": [ { "id": "BES.5.13_stm", "name": "statement", "props": [ { "name": "target_object_categories", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", "value": "Dienstleistungen" }, { "name": "documentation", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", "value": "Beschaffungskriterien" }, { "name": "result", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "eine Verpflichtung des Lieferanten, Sicherungskopien regelmäßig bereitzustellen," }, { "name": "action_word", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", "value": "vereinbaren" }, { "name": "modal_verb", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", "value": "SOLLTE" } ], "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE eine Verpflichtung des Lieferanten, Sicherungskopien regelmäßig bereitzustellen, vereinbaren." }, { "id": "BES.5.13_gdn", "name": "guidance", "prose": "Der Zweck dieser Anforderung liegt in der Absicherung gegen Datenverlust durch technische Defekte, menschliche Fehler oder Schadsoftware. Ein fehlendes Backup könnte dazu führen, dass wichtige Kundendaten, Vertragsunterlagen oder Konfigurationsstände dauerhaft verloren gehen. Durch die vertragliche Verpflichtung zur Bereitstellung von Sicherungskopien kann die Institution ihre Datenhoheit behalten und Ausfälle oder Manipulationen deutlich schneller abfangen. Die Umsetzung kann beispielsweise so erfolgen, dass der Lieferant verpflichtet wird, Backups auf einem separaten, verschlüsselten Speichermedium bereitzustellen, welches der Institution in vereinbarten Intervallen übergeben wird. Zur Umsetzung kann ein Lieferant beispielsweise quartalsweise Berichte zu durchgeführten Penetrationstests, Schwachstellen-Scans oder Notfallübungen bereitstellen. Ebenso kann er standardisierte Dashboards mit Kennzahlen zu Sicherheitsvorfällen, Patchständen oder Awareness-Maßnahmen freigeben. Hilfreich kann auch sein, dass der Lieferant auf Anfrage gezielt Audit-Reports oder Zertifikate (z. B. SOC-2-Berichte, ISO 27001-Auditberichte) zur Verfügung stellt." } ], "props": [ { "name": "alt-identifier", "value": "25e60ed2-9a85-4d03-be14-050253846f38" }, { "name": "sec_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", "value": "normal-SdT" }, { "name": "effort_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", "value": "3" }, { "name": "tags", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", "value": "Lieferketten" } ], "title": "Bereitstellung von Datensicherungen" }