BAIT 2017 – Herausforderung Informationssicherheit

Alfred Glocker, Informationssicherheitsbeauftragter, Südwestbank AG Stuttgart

Mit Rundschreiben 10/2017 (BA) vom 03.11.2017 wurden die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die BAIT zielen darauf ab, das Bewusstsein für das IT-Risiko und die IT-Sicherheit in den Instituten zu erhöhen. Die BAIT beziehen sich auf die erst zum 27.10.2017 neu veröffentlichten MaRisk und enthalten somit auch recht aktuelle Anforderungen, welche vielleicht noch nicht in allen Instituten umfänglich bekannt sind.

Aus Sicht des Informationssicherheitsbeauftragten enthalten die BAIT zahlreiche Hinweise und Klarstellungen an die Mindestanforderungen zu ihrer Umsetzung. Die wesentlichen Anforderungen werden in der folgenden Tabelle kurz dargestellt.

Einleitungstexte BAIT Enthalten konkrete Angaben adressierter MaRisk-Textstellen
Vorbemerkung In Tz. 1 Satz 1 wird bereits ein starker Fokus der BAIT auf extern bezogenen IT-Services herausgestellt.

In Tz. 2 Absatz 2 werden BSI-Grundschutz und ISO2700x als gängige Standards referenziert. Andere, z. B. sog. Verbundstandards, sind mit Vorsicht zu genießen, sobald diese nicht den genannten beiden Standards entsprechen.

In Tz. 3 neu aufgenommen wurde die Umsetzung des Prinzips der doppelten Proportionalität, ein risikoorientierter Prüfungsansatz mit Berücksichtigung der Institutsgröße sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten.

IT-Strategie
  • Es ist eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen.
  • Mindestinhalte werden konkret benannt.
  • Insbesondere Aussagen zu Auslagerungen von IT-Dienstleistungen, gängigen Standards, Einbindung Informationssicherheit und Notfallmanagement.
IT-Governance
  • Regelungen zur IT-Aufbau- und IT-Ablauforganisation, Steuerung des Betriebs und Weiterentwicklung der IT-Systeme sind festzulegen und zu überwachen
  • Interessenskonflikte und unvereinbare Tätigkeiten sind zu vermeiden; Konkreter Bezug auf AT 4.3.1
Informationsrisiko-management
  • Durch konkreten Bezug auf AT 4.3.1 und die in mehreren Stellen der BAIT verdeutlichte Einbindung in das Risikomanagement wird die Funktion ISB in der 2nd Line-of-Defence positioniert.
  • Überführung der Risikoanalysen in das Management operationeller Risiken
  • Prozesse zu Überwachung und Steuerung von Informationsrisiken sind zu definieren
  • Regelmäßige Berichtspflichten sind zu definieren.
Informationssicherheits-management
  • Eine Informationssicherheits-Leitlinie ist zu beschließen und zu kommunizieren
  • Auf Basis der Leitlinie sind Richtlinien und Prozesse hinsichtlich Informationssicherheit zu definieren
  • Die Funktion des Informationssicherheits-Beauftragten (ISB) ist einzurichten
  • Die Funktion des ISB ist grundsätzlich nicht auslagerbar
  • Die Funktion des ISB wird der 2nd Line-of-Defence zugeordnet und ist unabhängig von der operationellen IT und Revision auszugestalten.
Benutzerberechtigungs-management
  • Ein Berechtigungskonzept mit Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen ist zu erstellen
  • Das Berechtigungskonzept orientiert sich am Schutzbedarf
  • Genehmigungen und Kontrollen sind lückenlos zu dokumentieren
IT-Projekte und Anwendungsentwicklung
  • IT-Projekte (z. B. Systemumstellungen) sind angemessen zu steuern und zu überwachen
  • Für die Anwendungsentwicklung sind angemessene technische und organisatorische Prozesse festzulegen.
  • Separate IDV-Richtlinie für vom Endanwender entwickelte Anwendungen erforderlich.
IT-Betrieb und Daten-sicherung
  • Die Komponenten der IT-Systeme und -Prozesse sind geeignet zu verwalten.
  • Beziehungen zwischen den Systemen sind geeignet zu dokumentieren.
  • Störungen und insb. IT-Sicherheitsvorfälle und deren Ursachen sind zu erfassen, zu bewerten und risikoorientiert zu priorisieren.
  • Die Verfahren zur Wiederherstellbarkeit der Daten und Systeme sind mindestens jährlich zu testen.
Auslagerungen und IT-Dienstleistungen
  • IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT.
  • Auslagerungen von IT-Dienstleistungen, auch Cloud-Dienstleistungen, haben die Anforderungen nach AT 9 MaRisk zu erfüllen.
  • Für jeden sonstigen Fremdbezug von IT-Dienstleistungen sind Risikobewertungen durchzuführen sowie regelmäßig und anlassbezogen zu überprüfen.
  • Der sonstige Fremdbezug von IT-Dienstleistungen ist im Einklang mit den Strategien (Geschäftsstrategie, IT-Strategie) und Risikobewertung zu steuern und zu überwachen.

PRAXISTIPPS

  • Funktion Informationssicherheit ist der 2nd Line-of-Defence zuzuordnen.
  • Beachten Sie die enthaltenen Mindestanforderungen und Klarstellungen

 SEMINARTIPPS

5. Fachtagung IT-Revision, 22.-23.10.2018, Frankfurt/M.

6. Fachtagung Informationssicherheit, 12.-13.03.2018, Frankfurt/M.

BAIT – Ausgewählte Prüfungs- und Praxisfragen, 14.03.2018, Frankfurt/M.

Berechtigungsmanagement Spezial: Relevante Aspekte & Praxisfragen im Kreditbereich, 16.10.2018, Frankfurt/M.

IT-Compliance 2018, 26.04.2018, Frankfurt/M.

IT-Risikomanagement gemäß BAIT, 17.04.2018, Frankfurt/M.

IT-Strategien in Praxis und Prüfung, 23.04.2018, Frankfurt/M.

Messung und Bewertung von IT Risiken, 16.05.2018, Frankfurt/M.

Neues IDV – Zentralregister & IDV – Richtlinien, 15.05.2018, Frankfurt/M.

Notfallmanagement im Fokus – Unterschätzte Anforderungen an Planung, Testing und Prüfung, 16.04.2018, Frankfurt/M.

Prüfung (BA)IT im Fokus der Bankenaufsicht, 26.-27.09.2018, Frankfurt/M.

Software-Auslagerungen: Verschärfte Vorgaben durch BAIT und MaRisk, 25.04.2018, Frankfurt/M.

Steuerung und Kontrolle von IT-Kosten, 24.10.2018, Frankfurt/M.

Brennpunkt Schutzbedarfanalyse: Sollmaßnahmenkatalog, 24.04.2018, Frankfurt/M.

Datenschutzgrundverordnung & neues BDSG – Digitalisierungsbremse durch neues BDSG/DSGVO – (Un)zulässige Maßnahmen, 06.06.2018, Frankfurt/M.

Informations-/IT-Sicherheit: Konkrete Pflichtenbeschreibung in der neuen Informationssicherheitsrichtlinie, 28.02.2018, Frankfurt/M.

IT-Sicherheit Kompakt, 13.11.2018, Köln.

Pflichten des ISB: Neuerungen BAIT & Prüfungs-/Praxiserfahrungen, 27.02.2018, Frankfurt/M.

Prüfung Eigenanwendung/IDV & neues IDV-Zentralregister, 14.11.2018, Köln.

Schutzbedarfsanalyse Spezial: Konkretes Doing am Beispiel ausgewählter Risiko-/Kundendaten, 15.10.2018, Frankfurt/M.

IT-Mindestschutzstandards in Banken implementieren, steuern und überwachen, 26.02.2018, Frankfurt/M.

Prüfung der neuen Datenschutz-Organisation, 07.11.2018, Frankfurt/M.

Neue Gefährdungs-/Datenschutzbedarfs-Analysen, 08.11.2018, Frankfurt/M.

 

BERATUNGSANGEBOTE

Quick Check: Datenschutz

Umsetzungsbegleitung DSGVO

Umsetzungsbegleitung Neue MaRisk

Wegweiser Informationssicherheit

Wegweiser Informationssicherheitsmanagement

Quick Check Auslagerungsmanagement nach MaRisk 6.0 & BAIT

Klassifizierung & Risikobewertung der IT-Dienstleistungen nach BAIT

MaRsik – und BAIT- konformes Vertragsmanagement für Auslagerungen: Aufbau & Prüfung

Weitere Informationen unter Info@FC-Heidelberg.de

Beitragsnummer: 34917



0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.