Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Dabei liegt die größte Herausforderung darin, die geplanten Änderungen risikoorientiert und mit einem angemessenen Kosten-/Nutzen-Verhältnis umzusetzen.
Präzisierung und Vernetzung der Bestandteile des Informationsverbundes
Viele Kreditinstitute haben in den vergangenen Jahren eine umfangreiche Dokumentation zum Informationsverbund erstellt. Neben den bisher zu erhebenden IT-Systemen (Hardware- und Software-Komponenten) und den zugehörigen IT-Prozessen werden künftig auch Geschäfts- und Unterstützungsprozesse sowie geschäftsrelevante Informationen Bestandteile des Informationssicherheitsverbunds sein. Die Abhängigkeiten und die Schnittstellen zu Dritten werden ebenfalls Berücksichtigung finden. Wer hier auf intelligente Lösungen und schlanke Prozesse setzt, wird auch den weiteren Ausbau des Informationsverbunds darstellen können.
Zu den Anforderungen aus AT 7.2 erfolgt eine Klarstellung zum Einsatz von IDV-Anwendungen (individuelle Datenverarbeitung), welche durch die Mitarbeiter des Fachbereiches entwickelt oder betrieben werden. Für die Festlegung von Maßnahmen zur Sicherung der Datensicherheit wird man sich am Schutzbedarf der verarbeiteten Daten bzw. an deren Bedeutung für die Prozesse orientieren. Im Rahmen einer gründlichen Strukturanalyse können auch zukünftig IDV-Anwendungen problemlos identifiziert und mit Soll-Maßnahmen auf Basis eines gängigen Standards sicher betrieben werden.
Überprüfung des Schutzbedarfs und Fazit
Die regelmäßige und anlassbezogene Ermittlung des Schutzbedarfs für die Bestandteile des definierten Informationsverbunds durch den Informationseigentümer bzw. die Fachbereiche wird zukünftig nicht mehr allein ausreichend sein. Zusätzlich zur Schutzbedarfsfeststellung wird deren Überprüfung durch das Informationsrisikomanagement (Vier-Augen-Prinzip durch Second-Line-Funktion) gefordert. In der Praxis wird dies einige Banken vor die Herausforderung einer deutlicheren Trennung von Informationssicherheitsmanagement und Informationsrisikomanagement stellen.
Weitere Aspekte rücken durch die MaRisk und BAIT in den Fokus. Es steht außer Frage, dass eine effiziente und revisionssichere Umsetzung der regulatorischen Anforderungen nur mit Unterstützung von intelligenten Softwarelösungen stattfinden kann, da diese Herangehensweise erheblich ressourcenschonender umgesetzt werden kann.
PRAXISTIPPS
- Ausbau des Informationsverbunds über den Soll-Ist-Vergleich hinaus und unter Berücksichtigung weiterer Risikokriterien (Bedrohung, Schadenspotenzial, Eintrittswahrscheinlichkeit, Risikoappetit).
- Kompetenzgerechte Genehmigung, Koordination und Überwachung der Risikoanalysen und Überführung deren Ergebnissen in den Prozess des Managements der operationellen Risiken (qualitativ und quantitativ).
- Implementierung operativer ISM-Maßnahmen (Sollmaßnahmen) und -Prozesse (inkl. IKS) unter Berücksichtigung des BSI-Grundschutzes.
- Incident-Management/Auswertung von Log-Dateien und Störungen.
Beitragsnummer: 18289