Schutzbedarfsanalyse Spezial: Kredit-Prozesse und Kredit-Daten

Informationssicherheits- und risikomanagement im Spannungsfeld zwischen Regulatorik und Praxis – Mithilfe der Strukturanalyse und Schutzbedarfsfeststellung zum Sollmaßnahmenkatalog und einem höheren Informationssicherheitsniveau

• Regulatorische Vorgaben an die Informationssicherheit- und das Informationsrisikomanagement: Fokus MaRisk und BAIT Novelle
• Gängige Standards: ISO 27.XXX-Reihe, BSI Grundschutz
• Ziel und Nutzen der Strukturanalyse, Schutzbedarfsfeststellung, Sollmaßnahmenkataloge und Risikoanalyse
• Wie gelange ich mithilfe der Strukturanalyse und Schutzbedarfsfeststellung zum Sollmaßnahmenkatalog und wie bewerte ich Soll-Ist-Abweichungen?
• Erhebung des Informationsverbunds:
   - Identifikation und Gruppierung der IT-Schutzobjekte (Anwendungen, Systeme, Infrastruktur)
• Schutzbedarfsfeststellung auf Informations- und Prozessebene
  - Unterscheidung zwischen der fachlichen und technischen Schutzbedarfsanalyse
  - Vererbung und Anwendung des Maximal- Kumulations- und Verteilungsprinzips
• Erarbeitung des Sollmaßnahmenkatalogs auf Basis der Schutzbedarfsanalyse, Strukturanalyse und gängigen Standards
• Welche Herausforderungen entstehen in der Praxis und wie kann man sie meistern?
  - Nachvollziehbarkeit und Vergleichbarkeit der Bewertung
  - Datenqualitätsmängel
  - Zu hohe Komplexität
• Darstellung der Rollen und Zuständigkeiten
  - Das Modell der drei Verteidigungslinien
  - Informationseigentümer, Prozesseigentümer, Risikoeigentümer
  - Schnittstellen
  - Dienstleistungsunternehmen

Erweiterte BAIT-Vorgaben zur Bestimmung der IT-Schutzobjekte im Kreditbereich – Nach welchen Kriterien wird geprüft?

• Festlegung von Anforderungen zur Umsetzung der Schutzziele für den Kreditbereich (Sollmaßnahmenkatalog) – Anforderungen an Plausibilität und Dokumentation
• Welche Kriterien stehen bei der Risikoanalyse der Kreditdaten und Kreditprozesse im Vordergrund? 
• Konkrete Anforderungen an die Schutzbedarfsanalyse in der (Daten-)Schnittstelle zwischen den dem Kreditbereich und der IT

Anforderungen an Schutzbedarfs- & Risikoanalysen unter Einbezug von IDV und externen Dienstleistern im Kreditbereich

• Strukturanalyse der IT-Architektur: Identifikation und Gruppierung der Schutzobjekte (Anwendungen, Systeme, Infrastruktur) im Bereich Kredit(-Daten) / Kredit(-Prozesse)
• Zuordnung geplanter bzw. nachträglich identifizierter IDV-Anwendungen zu einer Schutzbedarfsklasse
• Schutzbedarfsklassifizierung der (externen) Dienstleister für Kreditdaten und Kreditprozesse – Welche Risiken entstehen dabei und welche Sollmaßnahmen sind einzuleiten?
• Durchführung von Risiko- und Restrisikoanalysen – Welche Konsequenzen sind nach der Ermittlung zu ziehen? – Praxisempfehlungen & Maßnahmen im Kreditbereich
• OpRisk-Reporting – Erfassung und Reporting von „Kredit-IT-Risiken“ und Überleitung/Abbildung im IT-Risikomanagement

Schutzbedarfsanalyse entlang eines Kredit-Prozesses 

• Aufbau- und ablauforganisatorische Kreditprozess-Regelungen zur Schutzbedarfsanalyse 
• Schnittstellen und Unterschiede zwischen fachlicher und technischer Schutzbedarfsanalyse im Kreditprozess
• Data-Governance und Data-Owner-Prinzip – Auswirkungen auf die Kreditprozesse und Kreditdaten
• Schnittstellen und übergreifende Aspekte zu anderen 2nd-line-Funktionen mit Bezug zum Kreditprozess
• Anwendung des Maximal-, Kumulations- und Verteilungsprinzips
• Schnittstellen zwischen der Schutzbedarfsanalyse, dem Sollmaßnahmenkatalog und dem Business Continuity Management entlang des Kreditprozesses (Was passt mit den Anforderungen aus der Schutzbedarfsanalyse im Notfall?) 
• Die (neue) Rolle des ISB als 2nd-line-of-defense im Rahmen der Schutzbedarfsanalyse – sinnvolle Kontroll- und Überwachungshandlungen im Kreditbereich (Daten & Prozesse)