Schutzbedarfsanalyse – Das Kernelement eines Informations-Sicherheits-Management-Systems

17. März 2017 in Kategorie IT / Orga / Neue Medien

von
Mike Bona-Stecki
IT-Revisor, Interne Revision, Sparkasse Langen-Seligenstadt


Angesichts steigender Bedrohungen müssen sich Finanzdienstleistungsinstitute stärker vor Cyberangriffen schützen. Der Schutz von Unternehmenswerten, Daten und kritischen Informationen erfordert, dass die zur Abbildung von Unternehmensprozessen eingesetzten IT-Systeme und -Infrastruktur ange-messen bewertet und abgesichert sind. Damit einhergehend wird der Fokus außerdem immer stärker auf ein ganzheitliches Informationsrisikomanagement gelenkt, mit welchem u. a. die SOLL-IST-Abweichung bei Sicherheitsmaßnah-men festgestellt werden soll.

Am Anfang eines strukturierten Informationsrisikomanagements stehen die Schutzbedarfsanalyse und damit die Feststellung des Schutzbedarfs. Mit Hilfe der Schutzbedarfsanalyse kann eine (Basis-)Überprüfung der Prozesslandschaft bzw. der (IT-)Infrastruktur vorgenommen werden, um die Vorgaben für ein unternehmensweites Sicherheitsniveau schaffen zu können. Im Fokus der Schutzbedarfsanalyse steht hierbei die Fragestellung, wie viel Schutz die betrachteten Unternehmenswerte und (IT-)Objekte in Bezug auf die Informationssicherheit benötigen.

Gesetzliche und aufsichtliche Anforderungen fordern von Finanzdienstleistungsinstituten bereits seit mehreren Jahren die Etablierung eines angemessenen Informations- Sicherheits-Management-Systems (ISMS) auf Basis eines gängigen Standards. Dabei stellt die Ermittlung des Schutzbedarfs ein grundlegendes Element zur Umsetzung dieser Standards dar. Weiter lesen.. »

Prüfung der Notfallplanung

6. März 2017 in Kategorie IT / Orga / Neue Medien

von
Prof. Dr. Ralf Kühn
WP/CPA, Geschäftsführer Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft


Nach MaRisk AT 7.3. hat jedes Institut für Notfälle in zeitkritischen Aktivitäten und Prozessen Vorsorge zu treffen (Notfallkonzept oder Notfallplanung). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren.

Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Für die Ausgestaltung des Notfallkonzepts empfiehlt sich, da es sich um eine etablierte good practice handelt, die auch aufsichtsrechtlichen Prüfungen zu Grunde gelegt wird, eine enge Orientierung an den Vorgaben des BSI-Standards 100-4 zum Notfallmanagement. Das Notfallkonzept muss demnach Geschäftsfortführungs- sowie Wiederanlaufpläne und im Regelfall auch eine szenariobasierte Notfallplanung umfassen.

Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen, um die zeitkritischen Geschäftsprozesse vor Ablauf der maximal tolerierbaren Ausfallzeit wieder aufnehmen zu können. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen, wobei sich wie auch für die Zeitkorridore der Geschäftsfortführungspläne die „Angemessenheit“ nach dem Schadensverlauf richtet. Weiter lesen.. »

Praxistipps zur Umsetzung der EU Datenschutz-Grundverordnung (DS-GVO)

20. Februar 2017 in Kategorie IT / Orga / Neue Medien

von
Stefan Sulistyo
Mitgründer und Geschäftsführer, Alyne GmbH


Was ist die DS-GVO und warum wurde sie eingeführt?

Die Datenschutz-Grundverordnung (DS-GVO), oder „General Data Protection Regulation“ (GDPR) auf Englisch, ist die neue EU-weite Richtlinie zur Regelung des Datenschutzes. In dieser Form ersetzt sie direkt die bisherigen EU-Regelungen sowie die jeweiligen nationalen Gesetzgebungen. Es ist nun nicht mehr notwendig, dass die Mitgliedsstaaten eine jeweilige lokale Gesetzesimplementierung einführen (sie können jedoch weitergehende Maßnahmen in manchen Bereichen treffen).

Die Idee im Wesentlichen: Eine Vereinheitlichung der Standards und Regularien für die gesamte EU und dabei auch Anpassung an die technologisch-ökonomischen Begebenheiten (z. B. Cloud-Technologien und ansteigende Auslagerung von Datenverarbeitungen und Datenexporten).

Die DS-GVO wurde im Frühjahr 2016 verabschiedet und ist damit bis 25.05.2018 umzusetzen. Viel Zeit, dachten sicher noch viele im vergangenen Jahr, doch nun tickt die Uhr immer lauter und viele Organisationen werden langsam nervös, was hierfür ggf. zu tun ist.

Wesentliche Neuerungen zum BDSG im praktischen Umgang

Mit ein wenig googlen findet man mittlerweile viele Artikel über die Neuerungen im Vergleich zum aktuellen Bundesdatenschutzgesetz (BDSG). Weiter lesen.. »

IT-Schutzbedarf nach MaRisk 2016 analysieren

1. Februar 2017 in Kategorie IT / Orga / Neue Medien

von
Karl Viertel
CEO und Co-Founder, Alyne


Der aktuelle Entwurf zur Novellierung der MaRisk fordert neben vielen weitreichenden Neuerungen in einem kleinen Satz im AT 4.3.2 „die Feststellung des Schutzbedarfs, die Ableitung von Sicherheitsanforderungen sowie die Festlegung entsprechender Sicherheitsmaßnahmen“ für die Steuerung und das Controlling von IT-Risiken. Was hier kurz und knapp beschrieben ist, bedeutet für viele Institute eine wesentliche Änderung aktueller Prozesse im IT-Risikomanagement.

Der folgende Beitrag erarbeitet wesentliche Fragen, die sich bei der Durchführung einer Schutzbedarfsanalyse stellen und bietet Antworten zur Umsetzung einer nachhaltigen Lösung für das IT-Risikomanagement. Diesem Ansatz folgend, sind Institute in der Lage, einem Regulator die angemessene und wirksame Umsetzung der Anforderungen aus der MaRisk AT 4.2.3 darzulegen.

Für welche Objekte ist der Schutzbedarf zu ermitteln?

Die Unterscheidung verschiedener Objekttypen sollte sich an den unterschiedlichen Merkmalen eines Objekttyps richten, welche den Schutzbedarf definieren. Beispielsweise sind eine Anwendung im Personalwesen und ein Produktionsgebäude mit großen Mengen leicht entzündlichen Materials sehr schutzbedürftig aus unterschiedlichen Gründen. Zugleich schränkt die Unterscheidung vieler Kategorien die Vergleichbarkeit ein und erhöht die Komplexität in weiteren Schritten. Weiter lesen.. »

MaRisk bieten Chance für prozessorientiertes Anweisungswesen

24. Oktober 2016 in Kategorie IT / Orga / Neue Medien

bit_forumvon
Sven Müller
Management Consultant, Procedera Consult


Auf den ersten Blick bedeutet die MaRisk-Novelle 2016 eine Herkulesausgabe für deutsche Banken. Tatsächlich steckt in der Umsetzung von Risikokultur und Co. die Gelegenheit für vereinfachte Abläufe im Unternehmen. Eine wesentliche Voraussetzung: die konsequente Umstellung auf prozessuale Vorgehensweisen.

Regulatorik bleibt gleich in doppelter Hinsicht ein Zukunftsthema. 93 % der deutschen Bank-Entscheider messen diesem Handlungsfeld hohe oder sogar sehr hohe Bedeutung bei. Das belegt die Studie Bank und Zukunft des Fraunhofer Instituts für Arbeitswirtschaft und Organisation (IAO). Kein Wunder: der Gestaltungswille des Gesetzgebers ist ungebrochen.

Eine Umfrage von Lünendonk zeigt, dass die Bankmanager fest mit weiteren Gesetzesinitiativen rechnen. Doch in der anhaltenden Regulierungsoffensive steckt auch eine Chance, denn zahlreiche Herausforderungen lassen sich aus bankorganisatorischer Sicht prozessual begreifen – und dadurch lösen. Gleichzeitig eröffnet sich den Instituten damit ein Weg, Effizienzgewinne für ihre Häuser zu erzielen. Weiter lesen.. »