Mittwoch, 28. November 2018

Anforderungen an die IDV je nach Schutzbedarfsklasse

Welche Standards, wie z. B. ISO 2700x und BSI-Standard, können den praktischen Anforderungen gerecht werden?

Frank Lutter, Abteilungsleiter IT-Management, Volksbank Bigge-Lenne eG

Beide Standards kommen grundsätzlich den aufsichtsrechtlichen Anforderungen nach.

ISO 2700x

Die ersten drei Teile vermitteln einen allgemeinen Überblick über die Vorgehensweise. Die weiteren Punkte der ISO 2700x beschäftigen sich mit verschiedenen Einzelthemen. Die Richtlinie zur Anwendungssicherheit befindet sich in der ISO 27034. Sie beschreibt das Ziel, dass die IDV dem Sicherheitsniveau der Bank entspricht. Ein weiteres Ziel ist die Wiederverwendbarkeit.

BSI-Standards

Auch hier wird zunächst ein Überblick über die Vorgehensweise gegeben. Das IT-Grundschutz-Kompendium des BSI ist im Internet frei verfügbar. Es enthält thematisierte Bausteine und Umsetzungshinweise. Im Bereich der IDV sind die Bausteine „APP.1.1 Office Produkte“ und „CON.5 Entwicklung und Einsatz von allgemeinen Anwendungen“ maßgebend.

Ziel des Bausteins CON.5 ist es, aufzuzeigen, welche grundlegenden Sicherheitsanforderungen bei Planung, Beschaffung, Inbetriebnahme, regulärem Betrieb und Außerbetriebnahme einer Fachanwendung zu berücksichtigen sind.

Die ISO 2700x, als auch das BSI-Grundschutzkompendium, sind keine „Blaupause“ zu den gesetzlichen Anforderungen der MaRisk/BAIT – sie geben jedoch Orientierung.

1. Interne Dokumentation der Schutzbedürftigkeit von Daten und Objekten

Der Schutzbedarf der IDV entspricht dem Schutzbedarf des zugeordneten Geschäftsprozesses (GP). Der Schutzbedarf des Prozesses (CIN) wird dabei aus der höchsten Datenklasse übernommen.

Die Dokumentation der Datenklassen sollte neben der Bezeichnung folgende Merkmale berücksichtigen:

  • Eigenschaften der Daten (personenbezogen, rechnungslegungsrelevant, steuerungsrelevant)
  • Schutzbedarf (Vertraulichkeit C, Datenintegrität I und Verbindlichkeit N)
Eine Abstufung der Datenklassen könnte in vier Kategorien erfolgen:

  • Öffentliche Daten (Web-Auftritt/Social Media/sonstige öffentliche Daten)
  • Interne Daten (interne Informationen)
  • Vertrauliche Daten (Personendaten, Bezug zum Bankgeschäft, rechnungslegungsrelevant, Banksteuerungsparameter, Systemdaten, Kartenbezogene Informationen)
  • Streng vertrauliche Daten (Personaldaten, kryptographische Informationen, MaSI)
Um ein mögliches GAP zu analysieren, muss das Schutzniveau der IDV zunächst ermittelt werden. Die Schutzziele Verfügbarkeit (A), Vertraulichkeit (C), Integrität (I) und Authentizität (N) der Schutzobjekte können in die 4 Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ eingeordnet werden.

Die Erläuterungen für die Einstufung (niedrig, mittel, hoch, sehr hoch) müssen dokumentiert werden. Die Verfügbarkeit (A) wird z. B. prozentual bezogen auf einen Zeitraum x angegeben. Bei der Authentizität wird beispielsweise eine Abstufung von „keine Verbindlichkeit“ bis hin zum „4-Augen-Prinzip“ hinterlegt.

Ist das so ermittelte Schutzniveau der IDV niedriger als der Schutzbedarf aus dem zugeordneten Prozess, liegt ein GAP vor. Daraufhin erfolgt eine Risikoanalyse der Sicherheitslücke.


 SEMINARTIPPS

Identifizierung & Prüfung von IDV, 26.03.2019, Köln.

InformationsRisikoManagement: Zusammenspiel ISB, Compliance & Revision, 27.03.2019, Köln.

Brennpunkt Schutzbedarfsanalyse, 18.03.2019, Berlin.

Pflichten des ISB: Prüfungs- und Praxiserfahrungen, 07.05.2019, Frankfurt/Offenbach.

BAIT - Prüfungs- und Praxisfragen am 06.05.2019, Frankfurt/Offenbach.

IT-Risikomanagement aktuell, 08.05.2019 in Frankfurt/Offenbach.


Die Dokumentation kann durchaus in einer Tabelle erfolgen, die nachfolgende Felder enthalten sollte: Dateiname, Speicherort, Beschreibung, Abteilung, Version, Datum, Fremd-/Eigenentwicklung, verantwortliche Mitarbeiter, Trägersystem, zugeordneter Geschäftsprozess inkl. Schutzbedarf und Schutzniveau der IDV.

2. Inwieweit sind proportionale Erleichterungen/Spielräume möglich?

Die gängigen Standards (BSI, ISO) sehen durchaus Spielräume je nach Schutzniveau vor (z. B. CON.5.A4 oder CON.5.A8), die jedoch durch die Vorgaben der BAIT oftmals aufgehoben werden.

Eigenentwicklungen unterliegen normalerweise einem Entwicklungsprozess. Mit steigendem Entwicklungsgrad muss auch das Schutzniveau überprüft und ggf. angepasst werden.

PRAXISTIPPS

  • Identifizieren Sie vorhandene Eigenprogrammierungen im File-System und bilden aus der Gesamtmenge eine händelbare Stichprobe von z. B. 10 %.

    Beispiel einer Abfrage nach Excel-Tabellen auf dem Laufwerk O:

    for /f "delims=" %i in ('dir o:*.xl* /s /b') do @echo %~ti;%~zi;%~dpi;%~nxi >> C:Scanlauf_xls-lw-o.txt

  • Besprechen Sie das Ergebnis der Stichprobe mit den Fachverantwortlichen. Evtl. können auch IDV-Anwendungen gelöscht werden.
  • Erfassen Sie die bestehenden Anwendungen mit ihren Grunddaten wie oben beschrieben (Dateiname, Speicherort, Beschreibung, usw.).
  • Ermitteln Sie das Schutzniveau jeder einzelnen Anwendung Anhand der dokumentierten Einstufung (niedrig, mittel, hoch und sehr hoch)
  • Ordnen Sie die Anwendung den Geschäftsprozessen zu und ermitteln so evtl. Sicherheitslücken.
  • Führen Sie eine Risikoanalyse der GAP durch und leiten ggf. entsprechende Maßnahmen (z. B. „Blattschutz“ oder „Änderungen nachverfolgen“ in Excel) ein, um das Schutzniveau der Anwendung zu erhöhen.




Beitragsnummer: 972

Produkte zum Thema:

Produkticon
NEUE BAIT 2021

1.290,00 € exkl. 19 %

17.03.2021 - 18.03.2021

Produkticon
Auslagerungen im Fokus der neuen MaRisk & neuen BAIT

790,00 € exkl. 19 %

15.04.2021

Produkticon
Berechtigungsmanagement im Fokus der neuen BAIT

299,00 € exkl. 19 %

10.05.2021

Produkticon
Excel-Anwendungen und IDV nach neuen MaRisk & neuen BAIT

790,00 € exkl. 19 %

11.05.2021

Produkticon
IT-Risikomanagement nach neuen MaRisk & neuen BAIT

790,00 € exkl. 19 %

12.05.2021

Produkticon
ForumBCM: Ganzheitliches Business Continuity Management (BCM)
Produkticon
ForumISM: MaRisk- und BAIT- konformes Risiko- und Informationssicherheitsmanagement
Produkticon
ForumOSM: Wirksame Steuerung und Überwachung von Dienstleistern und Auslagerungen
Produkticon
FOCONIS-ZAK<sup>®</sup> Zusammenführen, Analysieren, Korrigieren

Beiträge zum Thema:

Beitragsicon
IDV und Excel-Anwendungen

Sind IDV und Excel wieder stärker im Fokus durch die neuen MaRisk & BAIT?

03.05.2021

Beitragsicon
3G am Bankarbeitsplatz: Knifflige Umsetzung, Arbeitsrecht, Datenschutz

Der Bundestag hat am 18.11.2021 umfangreiche Veränderungen des Infektionsschutzgesetzes und weiterer Gesetze und Verordnungen beschlossen.

29.11.2021

Beitragsicon
Digitalisierung ist mehr als ein papierloses Büro

Digitalisierung des Kreditprozesses bedeutet, den komplette Geschäftsprozess neu zu denken. Wichtigster Stellhebel ist ein gutes Dokumentenmanagement.

03.12.2021

Beitragsicon
Vermögensverwaltung nachhaltig und digital

Nachhaltige Kriterien werden für Verbraucher beim Thema Geldanlage immer wichtiger. Die Stadtsparkasse Düsseldorf reagiert auf das veränderte Kundenverhalten und bietet bei ihrer digitalen Vermögensverwaltung fyndus jetzt auch nachhaltige Portfolios an.

03.02.2021

Beitragsicon
Vom Fachbereichsleiter zum Prozessmanager

Einführung eines prozessorientierten Organisationsmodelles aus der Sicht eines FachbereichsleitersEberhard Mailach, Leiter Kreditsekretariat, Gestaltung von

26.06.2019


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.