Anforderungen an die IDV je nach Schutzbedarfsklasse

image_print

Welche Standards, wie z. B. ISO 2700x und BSI-Standard, können den praktischen Anforderungen gerecht werden?

Frank Lutter, Abteilungsleiter IT-Management, Volksbank Bigge-Lenne eG

Beide Standards kommen grundsätzlich den aufsichtsrechtlichen Anforderungen nach.

ISO 2700x
Die ersten drei Teile vermitteln einen allgemeinen Überblick über die Vorgehensweise. Die weiteren Punkte der ISO 2700x beschäftigen sich mit verschiedenen Einzelthemen. Die Richtlinie zur Anwendungssicherheit befindet sich in der ISO 27034. Sie beschreibt das Ziel, dass die IDV dem Sicherheitsniveau der Bank entspricht. Ein weiteres Ziel ist die Wiederverwendbarkeit.

BSI-Standards
Auch hier wird zunächst ein Überblick über die Vorgehensweise gegeben. Das IT-Grundschutz-Kompendium des BSI ist im Internet frei verfügbar. Es enthält thematisierte Bausteine und Umsetzungshinweise. Im Bereich der IDV sind die Bausteine „APP.1.1 Office Produkte“ und „CON.5 Entwicklung und Einsatz von allgemeinen Anwendungen“ maßgebend.

Ziel des Bausteins CON.5 ist es, aufzuzeigen, welche grundlegenden Sicherheitsanforderungen bei Planung, Beschaffung, Inbetriebnahme, regulärem Betrieb und Außerbetriebnahme einer Fachanwendung zu berücksichtigen sind.

Die ISO 2700x, als auch das BSI-Grundschutzkompendium, sind keine „Blaupause“ zu den gesetzlichen Anforderungen der MaRisk/BAIT – sie geben jedoch Orientierung.

1. Interne Dokumentation der Schutzbedürftigkeit von Daten und Objekten

Der Schutzbedarf der IDV entspricht dem Schutzbedarf des zugeordneten Geschäftsprozesses (GP). Der Schutzbedarf des Prozesses (CIN) wird dabei aus der höchsten Datenklasse übernommen.

Die Dokumentation der Datenklassen sollte neben der Bezeichnung folgende Merkmale berücksichtigen:

  • Eigenschaften der Daten (personenbezogen, rechnungslegungsrelevant, steuerungsrelevant)
  • Schutzbedarf (Vertraulichkeit C, Datenintegrität I und Verbindlichkeit N)

Eine Abstufung der Datenklassen könnte in vier Kategorien erfolgen:

  • Öffentliche Daten (Web-Auftritt/Social Media/sonstige öffentliche Daten)
  • Interne Daten (interne Informationen)
  • Vertrauliche Daten (Personendaten, Bezug zum Bankgeschäft, rechnungslegungsrelevant, Banksteuerungsparameter, Systemdaten, Kartenbezogene Informationen)
  • Streng vertrauliche Daten (Personaldaten, kryptographische Informationen, MaSI)

Um ein mögliches GAP zu analysieren, muss das Schutzniveau der IDV zunächst ermittelt werden. Die Schutzziele Verfügbarkeit (A), Vertraulichkeit (C), Integrität (I) und Authentizität (N) der Schutzobjekte können in die 4 Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ eingeordnet werden.

Die Erläuterungen für die Einstufung (niedrig, mittel, hoch, sehr hoch) müssen dokumentiert werden. Die Verfügbarkeit (A) wird z. B. prozentual bezogen auf einen Zeitraum x angegeben. Bei der Authentizität wird beispielsweise eine Abstufung von „keine Verbindlichkeit“ bis hin zum „4-Augen-Prinzip“ hinterlegt.

Ist das so ermittelte Schutzniveau der IDV niedriger als der Schutzbedarf aus dem zugeordneten Prozess, liegt ein GAP vor. Daraufhin erfolgt eine Risikoanalyse der Sicherheitslücke.

 

 SEMINARTIPPS

Identifizierung & Prüfung von IDV, 26.03.2019, Köln.

InformationsRisikoManagement: Zusammenspiel ISB, Compliance & Revision, 27.03.2019, Köln.

Brennpunkt Schutzbedarfsanalyse, 18.03.2019, Berlin.

Pflichten des ISB: Prüfungs- und Praxiserfahrungen, 07.05.2019, Frankfurt/Offenbach.

BAIT – Prüfungs- und Praxisfragen am 06.05.2019, Frankfurt/Offenbach.

IT-Risikomanagement aktuell, 08.05.2019 in Frankfurt/Offenbach.

 

Die Dokumentation kann durchaus in einer Tabelle erfolgen, die nachfolgende Felder enthalten sollte: Dateiname, Speicherort, Beschreibung, Abteilung, Version, Datum, Fremd-/Eigenentwicklung, verantwortliche Mitarbeiter, Trägersystem, zugeordneter Geschäftsprozess inkl. Schutzbedarf und Schutzniveau der IDV.

2. Inwieweit sind proportionale Erleichterungen/Spielräume möglich?

Die gängigen Standards (BSI, ISO) sehen durchaus Spielräume je nach Schutzniveau vor (z. B. CON.5.A4 oder CON.5.A8), die jedoch durch die Vorgaben der BAIT oftmals aufgehoben werden.

Eigenentwicklungen unterliegen normalerweise einem Entwicklungsprozess. Mit steigendem Entwicklungsgrad muss auch das Schutzniveau überprüft und ggf. angepasst werden.

PRAXISTIPPS

  • Identifizieren Sie vorhandene Eigenprogrammierungen im File-System und bilden aus der Gesamtmenge eine händelbare Stichprobe von z. B. 10 %.
    Beispiel einer Abfrage nach Excel-Tabellen auf dem Laufwerk O:\
    for /f “delims=” %i in (‘dir o:\*.xl* /s /b’) do @echo %~ti;%~zi;%~dpi;%~nxi >> C:\Scanlauf_xls-lw-o.txt
  • Besprechen Sie das Ergebnis der Stichprobe mit den Fachverantwortlichen. Evtl. können auch IDV-Anwendungen gelöscht werden.
  • Erfassen Sie die bestehenden Anwendungen mit ihren Grunddaten wie oben beschrieben (Dateiname, Speicherort, Beschreibung, usw.).
  • Ermitteln Sie das Schutzniveau jeder einzelnen Anwendung Anhand der dokumentierten Einstufung (niedrig, mittel, hoch und sehr hoch)
  • Ordnen Sie die Anwendung den Geschäftsprozessen zu und ermitteln so evtl. Sicherheitslücken.
  • Führen Sie eine Risikoanalyse der GAP durch und leiten ggf. entsprechende Maßnahmen (z. B. „Blattschutz“ oder „Änderungen nachverfolgen“ in Excel) ein, um das Schutzniveau der Anwendung zu erhöhen.

 

 

 

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.