ASST.7.1 — Nicht mehr benötigte Anwendungen

SOLLTE Security level: normal-SdT Effort 3 BSI-Stand-der-Technik-Kernel

Statement (Anforderung)

Informationen und Assets für Anwendungen SOLLTE eine Deinstallation nicht mehr benötigter Anwendungsinstanzen verankern.

Guidance (Erläuterung)

„Nicht mehr benötigte Anwendungsinstanzen“ sind installierte, aber aktuell nicht mehr genutzte Softwarekomponenten, Applikationen oder Dienste (engl. application instances), die auf Servern, Endgeräten oder virtuellen Umgebungen verbleiben, obwohl ihre betriebliche Funktion entfallen ist. Diese können produktiv, testweise oder temporär eingerichtet gewesen sein. Eine Deinstallation ist hier als geregelter Prozess der vollständigen und nachvollziehbaren Entfernung solcher Komponenten zu verstehen, einschließlich ihrer Konfigurationen, temporären Daten und zugehörigen Zugriffsrechte. Der Zweck liegt in der Vermeidung von Sicherheits- und Integritätsrisiken, die durch ungenutzte oder veraltete Software entstehen könnten – etwa weil diese weiterhin Angriffsflächen bietet, unbemerkte Schwachstellen enthält oder unbeabsichtigte Datenabflüsse begünstigen könnte. Die Entfernung kann somit die Systemhärtung und Transparenz über tatsächlich aktive Anwendungen fördern. Dies kann durch Systeme automatisiert geschehen, die bei der Zuordnung von Anwendungen zu Personen eine automatische Installation oder Deinstallation erledigt. Wenn Anwendungen nicht länger benötigt werden, dann sind auch die für die Anwendung erforderlichen Berechtigungen nicht länger erforderlich. Hierzu gehören sowohl lokale als auch Cloud-Zugänge. Steht die Anwendungsinstanz in der Cloud nicht unter der Kontrolle der Institution, so sind stattdessen soweit möglich alle Daten in der Cloud zu löschen.

Statement properties

Name	Value
target_object_categories	Anwendungen
documentation	IT-Betriebskonzept
result	eine Deinstallation nicht mehr benötigter Anwendungsinstanzen
action_word	verankern
modal_verb	SOLLTE

Control properties

Name	Value
alt-identifier	dd5c811a-37c3-450f-b391-029bbe503afa
sec_level	normal-SdT
effort_level	3

Raw OSCAL JSON (complete control)

{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "ASST.7.1",
  "parts": [
    {
      "id": "ASST.7.1_stm",
      "name": "statement",
      "props": [
        {
          "name": "target_object_categories",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
          "value": "Anwendungen"
        },
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "IT-Betriebskonzept"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "eine Deinstallation nicht mehr benötigter Anwendungsinstanzen"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "verankern"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "SOLLTE"
        }
      ],
      "prose": "Informationen und Assets für Anwendungen SOLLTE eine Deinstallation nicht mehr benötigter Anwendungsinstanzen verankern."
    },
    {
      "id": "ASST.7.1_gdn",
      "name": "guidance",
      "prose": "„Nicht mehr benötigte Anwendungsinstanzen“ sind installierte, aber aktuell nicht mehr genutzte Softwarekomponenten, Applikationen oder Dienste (engl. application instances), die auf Servern, Endgeräten oder virtuellen Umgebungen verbleiben, obwohl ihre betriebliche Funktion entfallen ist. Diese können produktiv, testweise oder temporär eingerichtet gewesen sein. Eine Deinstallation ist hier als geregelter Prozess der vollständigen und nachvollziehbaren Entfernung solcher Komponenten zu verstehen, einschließlich ihrer Konfigurationen, temporären Daten und zugehörigen Zugriffsrechte. Der Zweck liegt in der Vermeidung von Sicherheits- und Integritätsrisiken, die durch ungenutzte oder veraltete Software entstehen könnten – etwa weil diese weiterhin Angriffsflächen bietet, unbemerkte Schwachstellen enthält oder unbeabsichtigte Datenabflüsse begünstigen könnte. Die Entfernung kann somit die Systemhärtung und Transparenz über tatsächlich aktive Anwendungen fördern. Dies kann durch Systeme automatisiert geschehen, die bei der Zuordnung von Anwendungen zu Personen eine automatische Installation oder Deinstallation erledigt. Wenn Anwendungen nicht länger benötigt werden, dann sind auch die für die Anwendung erforderlichen Berechtigungen nicht länger erforderlich. Hierzu gehören sowohl lokale als auch Cloud-Zugänge. Steht die Anwendungsinstanz in der Cloud nicht unter der Kontrolle der Institution, so sind stattdessen soweit möglich alle Daten in der Cloud zu löschen."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "dd5c811a-37c3-450f-b391-029bbe503afa"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "3"
    }
  ],
  "title": "Nicht mehr benötigte Anwendungen"
}

View JSON API Download JSON