DLS.3.1 — Einhaltung der Sicherheitsvorgaben
SOLLTE
Security level: normal-SdT
Effort 3
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Dienstleistersteuerung für Dienstleistungen SOLLTE die Einhaltung der Sicherheitsvorgaben durch den Dienstleister regelmäßig überprüfen.
Guidance (Erläuterung)
Hierzu ist zu prüfen, ob Anzeichen vorliegen, dass der Dienstleister die im Vertrag geforderten Vorgaben nicht einhält und falls erforderlich Gegenmaßnahmen einzuleiten. Die Prüfung kann z.B. Zertifikate, regelmäßige Stichproben oder das Monitoring von Datenleaks vorsehen.
Tags:
Lieferketten
Statement properties
| Name | Value |
|---|---|
| target_object_categories | Dienstleistungen |
| documentation | Liste der Hersteller und Dienstleister |
| result | die Einhaltung der Sicherheitsvorgaben durch den Dienstleister |
| result_specification | {{regelmäßig}} |
| action_word | überprüfen |
| modal_verb | SOLLTE |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 5b17bd9b-ff38-46eb-a1ef-7b38429f128b |
| sec_level | normal-SdT |
| effort_level | 3 |
| tags | Lieferketten |
Parameters
| ID | Label | Values |
|---|---|---|
| dls.3.1-prm1 | regelmäßig |
Sub-controls
- DLS.3.1.1 Audit oder Zertifikat
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"controls": [
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "DLS.3.1.1",
"params": [
{
"id": "dls.3.1.1-prm1",
"label": "Audits, Zertifikates oder vergleichbaren Sicherheitsnachweises",
"props": [
{
"name": "alt-identifier",
"value": "12c2c250-86b8-46a0-bccd-d0b2f59b6bae"
}
]
},
{
"id": "dls.3.1.1-prm2",
"label": "regelmäßig",
"props": [
{
"name": "alt-identifier",
"value": "12c2c250-86b8-46a0-bccd-d0b2f59b6bae"
}
]
}
],
"parts": [
{
"id": "DLS.3.1.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Outsourcing"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Auslagerungsregister"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Einhaltung der Sicherheitsvorgaben anhand eines {{Audits, Zertifikates oder vergleichbaren Sicherheitsnachweises}}"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "{{regelmäßig}}"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "überprüfen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Dienstleistersteuerung für Outsourcing SOLLTE die Einhaltung der Sicherheitsvorgaben anhand eines {{ insert: param, dls.3.1.1-prm1 }} {{ insert: param, dls.3.1.1-prm2 }} überprüfen."
},
{
"id": "DLS.3.1.1_gdn",
"name": "guidance",
"prose": "„Audit“ bezeichnet in diesem Zusammenhang eine systematische, unabhängige Überprüfung der vereinbarten Sicherheitsmaßnahmen durch fachkundige Dritte, beispielsweise in Form interner oder externer Prüfungen mit dokumentierten Ergebnissen. Ein „Zertifikat“ ist ein formaler Nachweis einer akkreditierten Prüfstelle, dass ein Dienstleister ein anerkanntes Sicherheitsframework eingehalten hat, wie etwa IT-Grundschutz oder ISO/IEC 27001. Ein „vergleichbarer Sicherheitsnachweis“ kann auch ein Prüfbericht, ein BSI C5-Testat oder eine Bestätigung unabhängiger Gutachter sein, sofern er inhaltlich nachvollziehbar darlegt, dass definierte Sicherheitsanforderungen wirksam umgesetzt wurden. Ohne Nachweise könnte ein Dienstleister vereinbarte Sicherheitsmaßnahmen vernachlässigen, was zu unbemerkten Datenabflüssen, unzureichendem Patch-Management oder Ausfällen durch mangelhafte Notfallvorsorge führen könnte. Durch nachvollziehbare Prüfungen kann dagegen erreicht werden, dass Sicherheitsstandards eingehalten werden, Schwachstellen frühzeitig sichtbar werden und ein belastbares Vertrauen in die Dienstleisterbeziehung entsteht."
}
],
"props": [
{
"name": "alt-identifier",
"value": "12c2c250-86b8-46a0-bccd-d0b2f59b6bae"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "4"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Lieferketten"
}
],
"title": "Audit oder Zertifikat"
}
],
"id": "DLS.3.1",
"params": [
{
"id": "dls.3.1-prm1",
"label": "regelmäßig",
"props": [
{
"name": "alt-identifier",
"value": "5b17bd9b-ff38-46eb-a1ef-7b38429f128b"
}
]
}
],
"parts": [
{
"id": "DLS.3.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Dienstleistungen"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Liste der Hersteller und Dienstleister"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Einhaltung der Sicherheitsvorgaben durch den Dienstleister"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "{{regelmäßig}}"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "überprüfen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Dienstleistersteuerung für Dienstleistungen SOLLTE die Einhaltung der Sicherheitsvorgaben durch den Dienstleister {{ insert: param, dls.3.1-prm1 }} überprüfen."
},
{
"id": "DLS.3.1_gdn",
"name": "guidance",
"prose": "Hierzu ist zu prüfen, ob Anzeichen vorliegen, dass der Dienstleister die im Vertrag geforderten Vorgaben nicht einhält und falls erforderlich Gegenmaßnahmen einzuleiten. Die Prüfung kann z.B. Zertifikate, regelmäßige Stichproben oder das Monitoring von Datenleaks vorsehen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "5b17bd9b-ff38-46eb-a1ef-7b38429f128b"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "3"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Lieferketten"
}
],
"title": "Einhaltung der Sicherheitsvorgaben"
}