IT-Security

Management

ADWEKO unterstützt Finanzdienstleister beim IT-Security Management Ihrer Systemlandschaft.

    Jede IT-Systemlandschaft unterliegt verschiedenen Risiken, die mit der wachsenden Bedeutung der IT einhergehend steigen. Neben den internen Risiken, wie beispielsweise Fehlbedienung oder Missbrauch wächst gerade die Bedeutung der externen Risiken, wie zum Beispiel Hacker-Angriffe. Um diesen wachsenden Risiken Rechnung zu tragen, entwickelt der Regulator die aufsichtlichen Anforderungen weiter und definiert die aufsichtlichen Schwerpunkte regelmäßig neu.

    Im Fokus des aufsichtlichen Sicherheitsmanagement steht der Schutz von Informationen, die durch bzw. mit der IT verarbeitet werden. Die jeweiligen Informationen sind hinsichtlich ihres Schutzbedarfs für die jeweiligen Schutzziele „Vertraulichkeit”, “Integrität”, “Verfügbarkeit” und “Authentizität” zu bewerten und davon ausgehend sind je nach Schutzziel entsprechende Soll-Maßnahmen zum Schutz dieser Informationen bei den verarbeitenden IT-Assets (Applikationen, Prozesse) umzusetzen.

    AUFBAU EINES ZENTRALEN IDENTITY AND ACCESSMANAGEMENTS

    Implementierung eines zentralen Berechtigungsmanagementtools mit automatisierten Prozessen zur Vergabe und zum Entzug von Berechtigungen, dem SoD-Management und der Rezertifizierung

    MANAGEMENT VON INDIVIDUELLER DATENVERARBEITUNG

    Definition eines Lebenszyklus für IDV mit Prozessen zur Identifikation, Schutzbedarfsbestimmung, Entwicklung und Ablösung. Einführung eines IDV-Managementsystems zur Sicherstellung der Vollständigkeit des IDV-Inventars

    AUFBAU DES INFORMATIONSVERBUNDS

    Aufbau eines vollständigen und jederzeit aktuellen Informationsverbunds als Überblick über die IT-Assets (Informationen, Prozesse, Anwendungen, Infrastruktur, Gebäude, Dienstleister) und zur Schutzbedarfsbestimmung

    Innerhalb des IT-Security-Managements gibt es eine Vielzahl von Wechselwirkungen zwischen den einzelnen Disziplinen, deshalb betrachten wir in unseren Projekten IT-Security-Management immer gesamthaft. Themen wie das Management von Administratoren als Teil des Berechtigungsmanagements und deren Überwachung innerhalb des operativen Informationssicherheitsmanagement mithilfe des SIEM lassen sich schwerlich voneinander lösen.

    Der Aufbau eines umfassenden Informationssicherheitsmanagementsystems und die Kontrolle von dessen Umsetzung und Einhaltung im Rahmen eines Internen Kontroll-Systems, dass sowohl 1st als auch 2nd Line umfasst, ist ein wesentlicher Schritt in Richtung anhaltender IT Security.

    Der Informationsverbund ist ein wesentlicher Baustein im Informationssicherheitsmanagement, so werden hier die verschiedenen IT-Assets und deren Schnittstellen und Abhängigkeiten dokumentiert, um den Schutzbedarf der IT-Assets bestimmen zu können. Neben der klassischen Betrachtung der verarbeiteten Informationsobjekte für die Schutzziele Vertraulichkeit, Integrität und Authentizität und der unterstützten Prozesse zur Bestimmung der Verfügbarkeitsanforderungen sollten auch Kumulationsrisiken und technische Abhängigkeiten bei der Schutzbedarfsbestimmung berücksichtigt werden.

    Abhängig vom Schutzbedarf der IT-Assets sollten risikobasiert unterschiedlich starke Soll-Maßnahmen definiert werden, die idealerweise in einem übergreifenden Soll-Maßnahmen-Katalog beschrieben werden.

    AUSLAGERUNGSMANAGEMENT

    Das Auslagerungsmanagement hat die Aufgabe sicherzustellen, dass das regulierte Institut jederzeit die volle Verantwortung für ausgelagerte Tätigkeiten inne hat. Es muss über die ausgelagerte Tätigkeit so informiert sein, als würde sie innerhalb des Instituts selbst erbracht werden. Um das zu gewährleisten, muss das Auslagerungsmanagement möglichst früh in den Einkaufsprozess mit einbezogen werden. So kann jeder Fremdbezug auf seine regulatorische Relevanz hin untersucht werden. Darüber hinaus wird ein angemessenes Management der Dienstleisterbeziehung und der daraus entstehenden Risiken sowie eine regelmäßige Überprüfung derselben ermöglicht.

    Je wesentlicher die erkannten Risiken – und damit die Auslagerungen – sind, desto strenger sind die aufsichtlichen Anforderungen, die es zu erfüllen gilt. Das gilt nicht nur für den Vertrag mit dem Dienstleister, sondern auch für die Operationalisierung der Beziehung. Beispielweise müssen regelmäßig Berichte zur Leistungserbringung des Dienstleisters eingeholt, geprüft und die Ergebnisse an Management und ggf. Aufsicht berichtet werden.

    Das Auslagerungsmanagement hat enge Bezugspunkte zum Notfallmanagement und zur Informationssicherheit sowie dem Datenschutz. Querschnittsthemen bestehen ebenfalls mit den operativen Vorgaben der BAIT, VAIT, ZAIT bzw. KAIT.

    Auslagerungsmanagement

    Als ADWEKO kennen wir die Fallstricke im IT-Security-Management und wissen, wie wir projekthaft Maßnahmen konzipieren und implementieren und sie danach auch in der Linie weiterführen.

    SprEchen Sie mIT

    JULIAN PHILIPPI!