it-sa 2019 Nürnberg Halle 10.0 – Stand 421 Frank Hensel Leiter ISM-Services Beratung 09.10.2019 Dr. Jörg Kandels Leiter ISM-Services Produkte 10.10.2019
Anforderungen der Finanzaufsicht
praktikabel umsetzen - ist das möglich?
Die SIZ GmbH – in aller Kürze
> 200 Mitarbeiter / Umsatz 2018: ca. 27 Mio. € / div. Spezialisierungen
Unser breites Produktportfolio zur Informationssicherheit und Notfallplanung (> 30 Mitarbeiter)
BCM und IT-Notfallplanung Proaktive Vorbereitung
auf den Notfall
Audits und Penetrationstests Risiken und Schwachstellen frühzeitig erkennen und abstellen Beratung und Unterstützung
Kompetenz zu allen Sicherheitsfragen
Sichere IT-Plattform Einordnung, Bewertung und
Auditierung von IT
Sicherer IT-Betrieb Aufbau und Betrieb von
ISO 27001-konformen Informationssicherheits- Managementsystemen (ISMS)
Zertifizierung ISMS
und IT-Anwendungen
IDV-Suite
Lösung für alle Risikofelder im
Umgang mit IDV-Anwendungen
Was ist relevant … wie passt das zusammen … wer sammelt und kanalisiert die Flut ?
Anforderungen der Finanzaufsicht praktikabel umsetzen Alles klar – oder nicht
Anforderungen
COBIT IDW KRITIS
PCI/DSS
Cybersicherheit MaSI
MaRisk
BAIT / VAIT
DSGVO KWG / VAG
BDSG Neu AO
Basel II/III Solvency II
PSD 2
MaGo MaComp
NIST B3S
ISO 2700x
IT-Grundschutz
WPHG
HGB ITIL CRD IV
MaRisk AT 7.2
IT-Systeme… unddie zugehörigen IT-Prozesse müssendie Integrität, … Verfügbarkeit, … Authentizität … Vertraulichkeitder Daten sicherstellen.
Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme undder zugehörigen IT-Prozessegrundsätzlich auf gängige Standards abzustellen, …
Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.
Ausrichtung am Risiko als übergeordnetes Prinzip - Bewertung und Steuerung erforderlich
Anforderungen der Finanzaufsicht praktikabel umsetzen ISMS + IS-Risikomanagement: Was bedeutet das genau?
BAIT / VAIT
Ausgestaltung der IT-Systeme und … IT-Prozesse grundsätzlich auf gängige Standards abzustellen.
Zu diesen zählen … die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization.
BAIT / VAIT
konkretisierende, den Stand der Technik berücksichtigende
Informationssicherheitsrichtlinienund Informationssicherheitsprozesse
BAIT / VAIT
Das Institut hat … das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betriebund die Anwendungsentwicklungquantitativ und qualitativ angemessen mit Personal auszustatten.
BAIT
Wegen der grundlegenden Bedeutung der IT für das Institut ist auch für jeden sonstigen Fremdbezug von IT-Dienstleistungen vorab eine Risikobewertungdurchzuführen.
BAIT / VAIT
Die Risikoanalyseauf Basis der festgelegten
Risikokriterienhat auf Grundlage eines Vergleichs der Sollmaßnahmen mit den jeweils wirksam
umgesetzten Maßnahmenzu erfolgen.
Sonstige risikoreduzierende Maßnahmen aufgrund unvollständig umgesetzter Sollmaßnahmen sind wirksam zu koordinieren, zu dokumentieren, zu überwachen und zu steuern.
Die Ergebnisse der Risikoanalyse sindzu genehmigen und in den Prozess des Managementsder operationellen Risiken zu überführen.
BAIT / VAIT
Die Anforderungen des Instituts zur Umsetzung der Schutzzielein den Schutzbedarfskategorien sind festzulegenund in geeigneter Form zu dokumentieren (Sollmaßnahmenkatalog).
Anforderungen
IT-Systeme & zugehörige IT-Prozesse
Integrität – Verfügbarkeit – Vertraulichkeit konkretisierende Richtlinien & Leitlinien
Maßnahmen nach Stand der Technik angemessene Personalausstattung
Sollmaßnahmen / -katalog sonstiger IT-Fremdbezug Risikobewertung / -analyse
Kontrolle / Audit u.v.m.
BAIT / VAIT u.v.m.
Prüfung durch Revision -Durchführung der Kontrollen - Eignung der Kontrollen
-Bewertung / Umsetzung Maßnahmen
Dienstleistersteuerung
Jedes Finanzinstitut hat mehrere wichtige – insgesamt aber sogar viele Dienstleister
Anforderungen der Finanzaufsicht praktikabel umsetzen Sollmaßnahmen und Dienstleister
Die Schutzbedarfsfeststellung ergab für eine (intern) betriebene Anwendung die Vertraulichkeitsstufe „Hoch“
Erwartung des Fachbereichs zur Qualität der Maßnahmen bei Betreiber -Auswahlaus Sollmaßnahmenkatalog -abhängig von Schutzbedarf+ Szenario ISMS-Umsetzungsvorgaben gemäß der
Anforderungen aus Normen als Sollmaßnahmenkatalog des Instituts - gem. nationaler Vorgaben
- gem. Stand der Technik -…
MaRisk AT 7.2
IT-Systeme… unddie zugehörigen IT-Prozesse müssendie Integrität, … Verfügbarkeit, … Authentizität … Vertraulichkeit der Daten sicherstellen …
Sollmaßnahmen des Betreibers (SLA) Antwort des Betreibers wie /wodurch die Sollmaßnahme umgesetzt werden sollen (Absichtserklärung)
Bewertung durch Fachbereich (SOLL) -Erfüllen die Maßnahmen des Betreibers
den Schutzbedarf
-Kompensierende Maßnahmen nötig?
-Risikoübernahme erforderlich?
Kontrollen durch Fachbereich (IST) - Audits zur Umsetzung
- Berichterstattung durch Betreiber -Prüfung durch Dritte
Überwachung / Kontrollen durch ISMS - Audits zur Beachtung der
Sollmaßnahmen durch 1st Line
-Kontrollen zur Durchführung der Audits in der 1st Line
A udi t- b eri cht
Wie die „3 Lines“ gedacht sind – so sieht‘s die Aufsicht
Das Dilemma der drei Verteidigungslinien - 3 Lines of Defence
Der TEAM-Gedanke führt in der Praxis oft zu: „Toll Ein Anderer Macht‘s“
IT-Betreiber (intern/extern) und Fachbereiche haben die Verantwortung zur Kontrolle der Einhaltung der Vorgaben und resultierender Risiken
Das ISM erarbeitet Vorgaben zur Absicherung, steuert und überwacht deren Umsetzung unabhängig von der 1st Line
Die Revision überprüft prozessunabhängig Angemessenheit und Wirksamkeit des IKS
1
2
3
Nur mit der richtigen Aufstellung kann man heutzutage noch die Champions League gewinnen
Die „3-Lines of defence“ – wo steht wer und wie viele machen was?
Was die Praxis aussieht, bzw. aussehen sollte
defensiv – nur keine Feststellungen? offensiv – alles für den Markt? professionell – am richtigen Ort!
Revision=Referee ISM=Trainer/Analyse