Projekte

Erwartungen der BaFin an die Informationssicherheit bei Banken

Veröffentlicht amAutorKarl-Josef Schiffhauer

Informationssicherheit bei Banken und die Anforderungen der BaFinGelegentlich werden wir zur Beurteilung der Informationssicherheit bei Banken herangezogen. Teilweise im Rahmen der direkten Unterstützung des Informationssicherheitsmanagements oder in Form der fachlichen Unterstützung der internen Revision einer Bank.

Bei einem unserer Projekte ging es um die Beurteilung der Informationnssicherheit einer Bank durch die interne Revision mit unserer fachlichen Unterstützung. Hierbei galt es insbesondere zu prüfen, ob die Erwartungen der Bankenaufsicht an die Informationssicherheit in dem Institut adäquat umgesetzt wurden.

Informationssicherheit bei Banken und die Anforderungen der BaFin

Grundlage  für die Prüfung waren die diesbezüglichen Anforderungen aus den MaRisk sowie die angemessene Umsetzung der veröffentlichten  Erwartungen des BaFin an die IT Sicherheit bei Banken. Darüber hinaus haben wir weitere Publikationen des BaFin mit Aussagen zur IT Sicherheit bei Banken, beispielsweise im BaFin-Journal, Ausgabe November 2013, auf Seite 22, bei unserer Prüfung, berücksichtigt.

Grundsätzlich erwartet das BaFin bei Banken eine ISO 27001 konforme Umsetzung im Bereich der Informationssicherheit, am besten auf Basis von IT-Grundschutz des BSI. Jedoch können die Maßnahmen der ISO 27001 ggf. nicht mehr ausreichend sein, um die Informationssicherheit in einer Bank zu gewährleisten. In diesem Fall müssen die Banken zusätzliche Sicherheitsmaßnahmen implementieren.

Gerne unterstützen wir Banken bei der Einführung eines Informationssicherheitsmanagements gemäß ISO 27001 bzw. führen entsprechende Zertifizierungen des Informationsverbundes durch. Sprechen Sie uns einfach an.

K-Fall-Test gemäß BSI Notfallmanagement

Veröffentlicht amAutorKarl Josef Schiffhauer

Notfallmanagement Prozess kontinuierlich verbessernBei dem Projekt K-Fall Test galt es, die getroffenen Maßnahmen gemäß BSI Notfallmanagement zu beurteilen und nachzuweisen. Grundlage für die Prüfung bildete der BSI-Standard 100-4 Notfallmanagement. In diesem Zusammenhang wurden das Notfallhandbuch, die Notfallorganisation, die Notfallmanagementprozesse sowie die geplanten Aktivitäten für den K-Fall Test bei dem IT-Dienstleister eines Banken-Verbandes beurteilt und der anschließend durchgeführte K-Fall Test vor Ort begleitet.

Der BSI Notfallmanagement wird in dem BSI Standard 100-4 umfangreich beschrieben und behandelt im Wesentlichen die folgenden Themengebiete:

  • Notfallmanagement Prozess
  • Initiierung des Notfallmanagement Prozesses
  • Konzeption des Notfallmanagements
    • Business Impact Analyse
    • Risikoanalyse
    • Aufnahme des Ist-Zustandes
    • Kontinuitätsregeln
    • Notfallvorsorgekonzept
  • Umsetzung des Notfallvorsorgekonzepts
  • Notfallbewältigung und Krisenmanagement
  • Test und Übungen
  • Aufrechterhaltung und kontinuierliche Verbesserung

Ziel des Projektes war es u.a., die Katastrophenfall-Fähigkeit der wesentlichsten Anwendungssysteme im Rahmen des geplanten Notfalltests unter Beweis zu stellen und gegenüber den Kunden des IT-Dienstleisters in Form einer Bescheinigung zu bestätigen. Bei der Erstellung des Notfallhandbuches sowie der darauf aufbauenden Notfallmaßnahmen wurde darauf geachtet, dass neben den Anforderungen aus dem BSI-Standard 100-4 BSI Notfallmanagement auch die bankaufsichtsrechtlichen Sachverhalte des BaFin (Bundesamt für Finanzdienstleistungsaufsicht)  berücksichtigt wurden und die geschäftskritischen Anwendungen für die Banken innerhalb von maximal vier Stunden wieder zur Verfügung gestellt werden konnten. Hierbei galt es, die IT-Systeme mit den geschäftskritischen Anwendungen zu bestimmen und die Abhängigkeiten dieser Systeme im Rahmen des Notfalltests, insbesondere jedoch im Rahmen der Wiederherstellung des Produktionsbetriebes, zu untersuchen.

Vor Beginn des eigentilichen Notfalltests wurden der K-Fall in Form eines “Trockentest” durchgespielt. Im Anschluss daran wurde der eigentliche K-Fall getestet. Hierzu wurden die Produktionssysteme an einem Feiertag nahezu vollständig ausgeschaltet. Im Anschluss daran wurde anhand des zuvor gemeinsam erarbeitete Notfallhandbuches der Wiederanlauf im Backup-Rechenzentrum des IT-Dienstleisters innerhalb der maximalen Ausfallzeit von vier Stunden wiederhergestellt. Dieser Notfallbetrieb wurde über mehrere Tage aufrechterhalten. An einem darauf folgenden Wochenende wurde die Rückführung in den Normalbetrieb, d.h. der IT-Betriebes wurde im eigentlichen Produktionsrechenzentrum wiederhergestellt.

Die Kunden des IT-Dienstleisters wurden im Anschluss über den erfolgreichen Katastrophenfall-Test informiert und der erfolgreiche K-Fall-Test wurde in Form eines Testats bescheinigt.