 Hier kostenlose Testversion herunterladen.
Ausgangssituation
An die Sicherheit der Bank-IT werden hohe gesetzliche und aufsichtsrechtliche Anforderungen gestellt. Bereits heute sind der §25a KWG und die MaRisk zu erfüllen. Zukünftig wird durch Basel II das IT-Sicherheitsmanagement als Teil des Risikomanagements der Bank geprüft und bewertet. Die Bank ist selbst verantwortlich für eine hohe IT-Sicherheit – egal, ob sie die IT selbst betreibt oder ausgelagert hat. Die Sicherheit der betrieblichen IT ist Gegenstand von Prüfungen. Sie ist aber vor allem Grundlage für eine störungsfreie Geschäftstätigkeit: Sie gewährleistet, dass erforderliche Daten tatsächlich verfügbar sind, dass schützenswerte Daten vertraulich bleiben und dass die Bank mit unverfälschten und zuverlässigen Daten arbeiten kann.
Aufgabenstellung
Die betrieblichen Daten werden über IT-Komponenten – Anwendungen, Systeme und technische Infrastruktur – zur Verfügung gestellt. Es ist Aufgabe der Bank, den Schutz über alle diese IT-Komponenten aufzubauen. Die Verfügbarkeit der Daten, Anwendgungen und Systeme wird durch angemessene Maßnahmen zur Notfallplanung sichergestellt. Die Notfallplanung ist damit Teil des IT-Sicherheitsmanagements. Es ist eine Herausforderung für die Bank, einen angemessenen Schutz mit wirtschaftlich vertretbaren Mitteln zu erreichen.
Lösung
GenoBankSafe-IT - der IT-Sicherheitsmanager bietet ein vollständiges IT-Sicherheitskonzept für die Bank – und zwar in Form einer Lotus Domino Anwendung. Die Pflege eines separaten IT-Sicherheitskonzepts entfällt. Die Notfallplanung ist integriert. Die Bank bearbeitet das bereit gestellte IT-Sicherheitskonzept in fünf Schritten.
-> Schritt 1: Identifikation der IT-Schutzobjekte
Ausgehend von den Geschäftsprozessen werden die IT-Schutzobjekte "Anwendungen", "Systeme" und "Infrastruktur" identifiziert und beschrieben. Dabei wird auch festgehalten, ob die IT-Schutzobjekte "fremdbetrieben" (ausgelagert) oder "eigenbetrieben" sind.
-> Schritt 2: Durchführen der Schutzbedarfsanalyse
Alle IT-Schutzobjekte werden einer standardisierten Schutzbedarfsanalyse unterzogen. Dadurch erhält die Bank ein Risikoprofil für ihre gesamte IT und kann auf dieser Basis ihr IT-Sicherheitsmanagement einschließlich Notfallplanung konsequent risikoorientiert umsetzen.
-> Schritt 3: Modellieren der IT-Schutzmaßnahmen
In diesem Arbeitsschritt werden alle IT-Sicherheitsmaßnahmen festgelegt - abgeleitet aus und gesteuert von den Ergebnissen der Schutzbedarfsanalyse. Nicht immer kann ein IT-Risiko mit wirtschaftlich vertretbaren Mitteln sofort verringert oder ausgeschlossen werden. Daher können auch die verbleibenden Restrisiken dargestellt werden.
-> Schritt 4: Notfallplanung
Auch dieser Schritt baut auf der Schutzbedarfsanalyse auf: Je höher das Ausfall- und Schadensrisiko, desto höhere Priorität haben Notfallplanung und Notfallvorsorge. Für geschäftskritische IT-Schutzobjekte muss ein jeweils objektspezifischer Muster-Notfallplan ausgefüllt werden. Das Notfallhandbuch fasst alle Maßnahmen in ausgedruckter Form zusammen.
> Schritt 5: Bewahrung des erreichten IT-Sicherheitsniveaus
Die MaRisk fordern eine regelmäßige Kontrolle und Aktualisierung der Schutzmaßnahmen. GenoBankSafe-IT ist daher mit einem Aktualisierungs-Workflow versehen. Ein Kontroll-Intervall, das für jedes Schutzobjekt individuell festgesetzt werden kann, dient als Wiedervorlagefunktion. Bei Erreichen der Wiedervorlage muss die Maßnahme auf Vollständigkeit und Aktualität überprüft werden.
Was das Produkt noch bietet:
Orientierung an den BSI Grundschutzkatalogen unter Berücksichtigung banktypischer IT-Komponenten
GenoBankSafe-IT wendet die Methode der BSI Grundschutzkataloge an und ist vollständig kompatibel zu diesen. Darüber hinaus berücksichtigt es die IT-Bausteine – vom Bankverfahren bis zu den SB-Geräten –, die für eine Bank von zentraler Bedeutung sind.
Unterstützung der engen "IT-Verzahnung" zwischen Bank und Rechenzentrale
Genossenschaftliche Institute beziehen im Regelfall einen Großteil ihrer IT-Systeme und IT-Dienstleistungen von der Rechenzentrale. In der Praxis findet dabei häufig ein „Mischbetrieb“ statt: Eine IT-Komponente wird so betrieben, dass die Bank selbst für einige – wenige – IT-Sicherheitsaspekte verantwortlich ist; andere Aufgaben sind ausgelagert. GenoBankSafe-IT unterstützt mögliche Aufgabenverteilungen zwischen Bank und Rechenzentrale.
Ausrichtung an Standards beim Einsatz der IT
Die Orientierung an Standards ergibt eine sehr zeiteffiziente Lösung für das IT-Sicherheitsmanagement. Die Maßnahmen beziehen sich jeweils auf einen Standard. Ausnahmen werden separat beschrieben. Dadurch bleiben Maßnahmenanzahl und das IT-Sicherheitsmanagement insgesamt überschaubar.
Risikobetrachtung ausgehend von den Geschäftsprozessen
In den Vorgaben von GenoBankSafe-IT sind die BVR Standard-Geschäftsprozesse enthalten. Die Risikobetrachtung kann damit bei den Geschäftsprozessen beginnen. Die Bank erhält so ein durchgehendes Risikoprofil, von den Geschäftsprozessen über die Anwendungen und Systeme bis zur Infrastruktur.
Auswertungen und Berichtswesen
Die Datenbank bietet vielfältige Auswertungsmöglichkeiten. Die Auswertungen der Datenbank bilden wiederum die Grundlage für die Berichte des IT-Sicherheitsbeauftragten.
Aktualisierung der Vorgaben
GenoBankSafe-IT enthält eine Reihe von Vorgaben, die die Bank übernehmen und anpassen kann. Zu den Vorgaben gehören die Muster-IT-Schutzobjekte, Muster-Maßnahmenbeschreibungen und z.T. auch Muster-Texte. Die Vorgaben können durch eine Updatefunktion aktualisiert werden. Dadurch ist gewährleistet, dass die Vorgaben auf einem aktuellen Stand bleiben und z. B. gesetzliche Änderungen berücksichtigen.
Revisionssichere Dokumentation
Mit GenoBankSafe-IT dokumentiert die Bank ihr IT-Sicherheitsmanagement und ihre Notfallplanung revisionssicher und nachvollziehbar.
Weitere Informationen
Überzeugen Sie sich selbst von der Leistungsfähigkeit von GenoBankSafe-IT, indem Sie unsere kostenlose Testversion herunterladen.
|