ikt sicherkeit - produktblatt deloitte fsi advisory › content › dam › deloitte › at ›...
TRANSCRIPT
![Page 1: IKT Sicherkeit - Produktblatt Deloitte FSI Advisory › content › dam › Deloitte › at › ...IKT-Strategie Die Geschäftsführung definiert und überwacht IKT-Richtlinien mit](https://reader031.vdocuments.pub/reader031/viewer/2022011902/5f0b829b7e708231d430dfd2/html5/thumbnails/1.jpg)
IKT-SicherheitMindeststandards der FMASeit Mai 2018 veröffentlicht die FMA Leitfäden zur Informations- und Kommunikationstechnologie-Sicherheit – teilweise basierend auf den EBA-Leitlinien für die IKT-Risikobewertung im Rahmen des SREP und konkretisiert grundlegende Anforderungen für Kredit-, Zahlungs- und E-Geldinstitute, Wertpapierfirmen und Verwaltungsgesellschaften Die FMA bietet mit den vorliegenden Leitfäden eine Orientierungshilfe zu Ausgestaltung, Anforderungen und Vorkehrungen an die IKT-Sicherheit. Es werden die folgenden Themen behandelt:
• IKT-Strategie
• IKT-Governance
• Sicherheitsrichtlinien
• Informationsrisiko- und sicherheitsmanagement/Cyber-Sicherheit
• Benutzerberechtigungen
• IKT-Projekte, Anwendungsentwicklung und zugekaufte Software
• IKT-Betrieb und Datenintegrität
• IKT-Auslagerungen
• Verfügbarkeit und Kontinuität/Notfallmanagement
Festgestellte Mängel in der IKT-Sicherheit können sich bei Kreditinstituten auf den SREP-Score auswirken. Anforderungen an das IKT-Management
• Einrichtung detaillierter Prozess- und Führungsstrukturen der IKT-Landschaft
• Festlegung der strategischen Entwicklung, des IKT-Aufbaus und der IKT-Ablauforganisation inkl. der IKT-Zielarchitektur
• Implementierung eines zyklischen Prozesses zur Identifikation und Beseitigung von Schwachstellen
• Festlegung und Dokumentation von regelmäßigen Penetrationstests & Virenscans
• Erstellung einer zentralen Informationssicherheitsrichtlinie sowie genauer themenspezifischer Richtlinien
![Page 2: IKT Sicherkeit - Produktblatt Deloitte FSI Advisory › content › dam › Deloitte › at › ...IKT-Strategie Die Geschäftsführung definiert und überwacht IKT-Richtlinien mit](https://reader031.vdocuments.pub/reader031/viewer/2022011902/5f0b829b7e708231d430dfd2/html5/thumbnails/2.jpg)
Ihre Ansprechpartner
Alexander Ruzicka+43 1 537 [email protected]
Erika Singer+43 1 537 [email protected]
www.deloitte.at/risk
Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited, eine "UK private company limited by guarantee" („DTTL“), deren Netzwerk von Mitgliedsunternehmen und deren verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständige und unabhängige Unternehmen. DTTL (auch "Deloitte Global" genannt) erbringt keine Dienstleistungen für Kunden. Unter www.deloitte.com/about finden Sie eine detaillierte Beschreibung von DTTL und ihrer Mitgliedsunternehmen.
© 2018. Für weitere Informationen kontaktieren Sie Deloitte Financial Advisory GmbH.Gesellschaftssitz Wien | Handelsgericht Wien | FN 199744 t
2018 2019
• Entwurf eines schriftlichen Rahmenwerkes für die Minderung des Datenintegritätsrisikos
• Erstellung eines Rahmenwerkes zur Identifikation, Messung und Begrenzung des Verfügbarkeits- und Kontinuitätsrisikos
• Implementierung von Strategien und Maßnahmen zur Notfallvorsorge, -bewältigung und -nachsorge.
• Festlegung von Kriterien, was eine wesentliche IKT-Auslagerung iSd § 25 Abs 2 BWG darstellt
• Durchführung von Risikoanalysen und -bewertungen (nach jeder Änderung der Rahmenbedingungen)
Details zu den Inhalten
IKT-StrategieDie Geschäftsführung definiert und überwacht IKT-Richtlinien mit folgendem Mindestinhalt: • IKT-Zielarchitektur
• Zuständigkeiten, Rollen und Aufgaben
• Auslagerungsaspekte
• Notfallmanagement und
• Aussagen zu Eigenentwicklungen
IKT-GovernanceDie Verpflichteten implementieren Prozesse zur Identifikation, Bewertung, Steuerung und Überwachung der wesentlichen IKT-Risiken und evaluieren diese laufend. Es sind klare Abgrenzungen der Rollen und Verantwortlichkeiten für Identifikation, Beurteilung, Monitoring, Minimierung, Reporting und Beaufsichtigung der Risiken sowie eine angemessene Ressourcenausstattung vorhanden.
IKT- SicherheitsmanagementInstitute definieren die reale Betroffenheit, den Schutzbedarf und das anzustrebende Sicherheitsniveau von jenen Daten, die IKT Risiken ausgesetzt sind. Der organisatorisch unabhängige Informationssicherheitsbeauftragte überwacht die Einhaltung der Vorgaben und dient als Ansprechperson für intern und externe Dritte.
Schwachstellenmanagement/Cyber RisikoInstitute identifizieren die Schwachstellen in ihren Systemen, ergreifen Maßnahmen zur Schwachstellenbeseitigung und überprüfen regelmäßig deren Wirksamkeit (Überprüfungen des Netzwerks und des Firewall-Logging durch Penetrationstests oder Virenscanner) um den effektiven Schutz vor Schadprogrammen („Malware“), Datendiebstahl und speziell auch Cyber-Risiken zu gewährleisten.
IKT-Betrieb & DatenintegritätDer Ansatz der Ermittlung, Messung und Minderung des Datenintegrationsrisikos ist schriftlich festgehalten. Das Inventar der IKT-Komponenten wird einem Lebenszyklusmanagement unterzogen. Störungsfälle werden erfasst, bewertet und priorisiert behandelt.
NotfallmanagementEin Koordinierungsgremium, dem Personen aus verschiedenen Bereichen angehören, hilft bei der Umsetzung des Notfallmanagements. Regelmäßige Notfallübungen überprüfen, ob eine rechtzeitige Wiederherstellung nach Betriebsstörungen gewährleistet werden kann.
Implementierung & Dokumentation einer IKT-Strategie, IKT-Governance und eines institutsspezifischen IKT-Standards
Schulungen und Trainings zu ausgewählten Themen des Leitfadens, bspw. Strategie, Governance, Penetrationstesting
IKT-Gap Analyse anhand des Scoring-Systems der EBA-GL zum IKT-Risiko unter Berücksichtigung des FMA-Leitfadens
Optimierung des IKT-Risiko-Scorings durch Aufarbeitung der aufgezeigten Defizite im Rahmen der IKT – Gap Analyse
Durchführung von Security Assessments, Penetrationstests und Phishing-Prävention
Institutsspezifische Vorbereitung auf mögliche Prüfungen durch die Aufsichtsbehörde
01.01.: Inkraftreten der EBA Leitlinien für die IKT-Risikobe-wertung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP)08.05.: Veröffentlichung FMA-Leitfaden IKT-Sicherheit in Kreditinstituten
30.06.: Inkrafttreten der EBA Leitlinien zu Auslagerungsvereinbarungen
Weitere IKT-StandardsEmpfehlungen der Aufsicht:
• SO 27001: Aufbau eines Informationssicherheitssystems
• ITIL & CoBIT: IT-Service-organisation und Schnittstelle zum Risikomanagement
• BSI-Grundschutz bzw. Österr. IT-Sicherheitshandbuch: Kontrollausgestaltung zur Abwehr von Bedrohungen
Wir unterstützen Sie gerne bei