News von ACG

BAIT veröffentlicht
Datum: 08.11.2017 | Kategorien: IT-Security, Unternehmensseite

BAIT veröffentlicht

Nach der Publikation der MaRisk am 27.10.2017 hat die BaFin am 6.11.2017 das Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT (BAIT), auf Ihrer Homepage veröffentlicht. Die BAIT konkretisieren spezifische Themen der Mindestanforderungen an das Risikomanagement (MaRisk). Die Anforderungen der MaRisk bleiben unberührt. 

Die BAIT stellen Anforderungen an die IT-Strategie, die IT-Governance, das Informationsrisikomanagement, das Informationssicherheitsmanagement, das Benutzerberechtigungsmanagement, die IT-Projekte, die Anwendungsentwicklung inklusive solcher durch Endbenutzer in den Fachbereichen, den IT-Betrieb inklusive Datensicherung sowie die Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen.

Die IT-Strategie muss den BAIT zufolge nachhaltig sein und konsistent zur Geschäftsstrategie. Zu den Inhalten der IT-Strategie gehören u. a. die Organisation und Bedeutung der Informationssicherheit im Institut, Aussagen zum Notfallmanagement unter Berücksichtigung von IT-Belangen und das Zielbild der IT-Architektur.

Unter dem Blickwinkel IT-Governance ist eine angemessene Personalausstattung u. a. für das Informationsrisiko- und Informationssicherheitsmanagement gefordert.

In Bezug auf das Informationsrisikomanagement muss ein Überblick über den Informationsverbund und dessen Abhängigkeiten und Schnittstellen vorhanden sein. Wichtig ist zudem, dass die Vorgehensweise zur Ermittlung des Schutzbedarfs zu konsistenten Ergebnissen führt. Die Risikoanalyse muss auf Basis eines Soll-Ist-Vergleichs der Maßnahmen stattfinden.

Die Geschäftsleitung muss im Hinblick auf das Informationssicherheitsmanagement eine strategiekonforme Informationssicherheitsleitlinie beschließen und kommunizieren. Informationssicherheitsrichtlinien und Informationssicherheitsprozesse konkretisieren die Informationssicherheitsleitlinie und müssen sich am Stand der Technik orientieren. Die Funktion des Informationssicherheitsbeauftragten muss eingerichtet und sowohl organisatorisch als auch prozessual unabhängig sein.

Beim Benutzerberechtigungsmanagement müssen Berechtigungskonzepte das Need-to-know-Prinzip einhalten, die Funktionstrennung wahren und Interessenskonflikte des Personals vermeiden. Genehmigungs- und Kontrollprozesse müssen die Einhaltung der Berechtigungskonzepte sicherstellen.

Die Anwendungsentwicklung muss über angemessene Prozesse verfügen. Zur Anwendungsentwicklung gehört auch die sogenannte individuelle Datenverarbeitung (IDV). Bei der Anwendungsentwicklung sind in Abhängigkeit vom Schutzbedarf Vorkehrungen zur Sicherheit der verarbeiteten Daten zu ergreifen. Auch die IDV muss geregelt sein, z. B. über eine IDV-Richtlinie. Die Einhaltung von Programmierstandards muss auch bei der IDV sichergestellt sein.

Der IT-Betrieb muss die Komponenten der IT-Systeme sowie deren Beziehungen zueinander verwalten und pflegen. Änderungsprozesse und das Vorgehen bei Störung müssen festgelegt sein. Das Datensicherungskonzept muss die Datensicherung regeln.

„Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen.“ Bei jedem Bezug von Software und jedem sonstigen Fremdbezug von IT-Dienstleistungen ist eine Risikobewertung erforderlich. Zu den IT-Dienstleistungen gehören auch Cloud-Dienstleistungen.

Wenn Sie Beratungsbedarf im Informationssicherheits-, Informationsrisiko-, IT-Service-Continuity oder Business Continuity Management haben, dann sprechen Sie uns gerne an.

Haben Sie Fragen zu diesem Newsbeitrag?

Email senden