Informationssicherheitsmanagement – BAIT
Informationssicherheitsmanagement – BAIT
Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:
- IT-Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- Benutzerberechtigungsmanagement
- IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
- IT-Betrieb (inkl. Datensicherung)
- Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Informationssicherheitsmanagement – BAIT
Das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2 Tz. 2 MaRisk). Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichtspflichten des Informationssicherheitsbeauftragten an die Geschäftsleitung sowie der Turnus der Berichterstattung orientieren sich an BT 3.2 Tz. 1 MaRisk.
Die Geschäftsleitung hat eine Informationssicherheitsleitlinie zu beschließen und innerhalb des Instituts angemessen zu kommunizieren.Die Informationssicherheitsleitlinie hat im Einklang mit den Strategien des Instituts zu stehen.
Auf Basis der Informationssicherheitsleitlinie sind konkretisierende, den Stand der Technik berücksichtigende Informationssicherheitsrichtlinien und Informationssicherheitsprozesse mit den Teilprozessen Identifizierung, Das Institut hat die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Funktion umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten.
Sie stellt sicher, dass die in der IT-Strategie, der Informationssicherheitsleitlinie und den Informationssicherheitsrichtlinien des Instituts niedergelegten Ziele und Maßnahmen hinsichtlich der Informationssicherheit sowohl intern als auch gegenüber Dritten transparent gemacht und deren Einhaltung überprüft undüberwacht werden.chutz, Entdeckung, Reaktion und Wiederherstellung zu definieren.
Die Funktion des Informationssicherheitsbeauftragten ist organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden.
Jedes Institut hat die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorzuhalten. Nach einem Informationssicherheitsvorfall sind die Auswirkungen auf die Informationssicherheit zu analysieren und angemessene Nachsorgemaßnahmen zu veranlassen.
Der Informationssicherheitsbeauftragte hat der Geschäftsleitung regelmäßig,mindestens vierteljährlich, über den Status der Informationssicherheit sowie anlassbezogen zu berichten.
In der Informationssicherheitsleitlinie werden die Ziele und der Geltungsbereich für die Informationssicherheit festgelegt und die wesentlichen organisatorischen Aspekte des Informationssicherheitsmanagements beschrieben.
Regelmäßige Überprüfungen und Anpassungen an geänderte Bedingungen werden risikoorientiert vorgenommen. Veränderungen der Aufbau- und Ablauforganisation sowie der IT-Systeme einer Institution(Geschäftsprozesse, Fachaufgaben, organisatorische Gliederung) werden hierbei ebenso berücksichtigt wie Veränderungen der äußeren Rahmenbedingungen (z. B. gesetzliche Regelungen, regulatorische Anforderungen), der Bedrohungsszenarien oder der Sicherheitstechnologien. Informationssicherheitsrichtlinien werden bspw. für die Bereiche Netzwerksicherheit, Kryptografie, Authentisierung und Protokollierung erstellt.
Informationssicherheitsprozesse dienen in erster Linie zur Erreichung der vereinbarten Schutzziele. Dazu gehört u. a., Informationssicherheitsvorfällen vorzubeugen und diese zu identifizieren sowie die angemessene Reaktion und Kommunikation im weiteren Verlauf.
Informationssicherheitsmanagement – BAIT – Aufgaben des Informationssicherheitsbeauftragter
Der Informationssicherheitsbeauftragte hat/ist
- die Geschäftsleitung beim Festlegen und Anpassen der Informationssicherheitsleitlinie zu unterstützen und in allen Fragen der Informationssicherheit zu beraten; dies umfasst auch Hilfestellungen bei der Lösung von Zielkonflikten (z. B. Wirtschaftlichkeit kontra Informationssicherheit),
- die Informationssicherheitsrichtlinie zu erstellen und ggf. weitere einschlägige Regelungen sowie die Kontrolle ihrer Einhaltung einzurichten,
- den Informationssicherheitsprozess im Institut zu steuern und zu koordinieren sowie diesen gegenüber IT-Dienstleistern zu überwachen und bei allen damit zusammenhängenden Aufgaben mitzuwirken,
- bei der Erstellung und Fortschreibung des Notfallkonzepts bzgl. der IT-Belange zu beteiligen,
- die Realisierung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen,
- bei Projekten mit IT-Relevanz zu beteiligen,
- als Ansprechpartner für Fragen der Informationssicherheit innerhalb desInstituts und für Dritte bereitzustehen,
- Informationssicherheitsvorfälle zu untersuchen und diesbezüglich an die Geschäftsleitung zu berichten,
- Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.
Informationssicherheitsmanagement – BAIT – Maßnahmen des Informationssicherheitsbeauftragten
Zur Vermeidung möglicher Interessenkonflikte werden insbesondere folgende Maßnahmen in den BAIT gefordert:
- Funktions- und Stellenbeschreibung für den Informationssicherheitsbeauftragten und seinen Vertreter
- Festlegung der erforderlichen Ressourcenausstattung für die Funktion des Informationssicherheitsbeauftragten
- ein der Funktion zugewiesenes Budget für Informationssicherheitsschulungen im Institut und die persönliche Weiterbildung des Informationssicherheitsbeauftragten sowie seines Vertreters
- unmittelbare und jederzeitige Gelegenheit zur Berichterstattung des Informationssicherheitsbeauftragten an die Geschäftsleitung
- Verpflichtung der Beschäftigten des Instituts sowie der IT-Dienstleister zur sofortigen und umfassenden Unterrichtung des Informationssicherheitsbeauftragten über alle bekannt gewordenen IT-sicherheitsrelevanten Sachverhalte, die das Institut betreffen
- Die Funktion des Informationssicherheitsbeauftragten wird aufbauorganisatorisch von den Bereichen getrennt, die für den Betrieb und die Weiterentwicklung der IT-Systeme zuständig sind.
- Der Informationssicherheitsbeauftragte nimmt keinesfalls Aufgaben der Internen Revision wahr.
Informationssicherheitsmanagement – BAIT – Proportionalitätsprinzip
Im Hinblick auf regional tätige (insbesondere verbundangehörige) Institute sowie kleine (insbesondere gruppenangehörige) Institute ohne wesentliche eigenbetriebene IT mit einem gleichgerichteten Geschäftsmodell und gemeinsamen IT-Dienstleistern für die Abwicklung von bankfachlichen Prozessen ist es im Hinblick auf die regelmäßig (verbund- oder gruppenseitig) vorhandenen Kontrollmechanismen zulässig, dass mehrere Institute einen gemeinsamen Informationssicherheitsbeauftragten bestellen, wobei vertraglich sicherzustellen ist, dass dieser gemeinsame Informationssicherheitsbeauftragte die Wahrnehmung der einschlägigen Aufgaben der Funktion in allen betreffenden Instituten jederzeit gewährleisten kann.
In diesem Fall ist jedoch in jedem Institut eine zuständige Ansprechperson für den Informationssicherheitsbeauftragten zu benennen.Institute können die Funktion des Informationssicherheitsbeauftragten grundsätzlich mit anderen Funktionen im Institut kombinieren.
Die Möglichkeit, sich externer Unterstützung per Servicevertrag zu bedienen,bleibt für die Institute unberührt.
Die Definition des Begriffes „Informationssicherheitsvorfall“ nach Art und Umfang basiert auf dem Schutzbedarf der betroffenen Geschäftsprozesse, IT-Systeme und den zugehörigen IT-Prozessen. Ein Informationssicherheitsvorfall kann auch dann vorliegen, wenn mindestens eines der Schutzziele („Verfügbarkeit“, „Integrität“, „Vertraulichkeit“, „Authentizität“) gemäß den Vorgaben des institutsspezifischen Sollkonzepts der Informationssicherheit – über dem definierten Schwellenwert – verletzt ist.
Der Begriff „Informationssicherheitsvorfall“ ist nachvollziehbar vom Begriff„Abweichung vom Regelbetrieb“ (im Sinne von „Störung im Tagesbetrieb“)abzugrenzen.
Der Statusbericht enthält beispielsweise die Bewertung der Informationssicherheitslage im Vergleich zum Vorbericht, Informationen zu Projekten zur Informationssicherheit, Informationssicherheitsvorfälle sowie Penetrationstest-Ergebnisse.
BAIT – Neue Anforderungen an das IT-Sicherheitsmanagement
Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:
- IT-Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- Benutzerberechtigungsmanagement
- IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
- IT-Betrieb (inkl. Datensicherung)
- Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Aktuelle Informationen zu den BAIT finden Sie direkt in unserem Informationsblog BAIT.