Aufrufe
vor 2 Jahren

die bank 05 // 2021

  • Text
  • Deutsche
  • Nachhaltigkeit
  • Deutschen
  • Zudem
  • Institute
  • Deutschland
  • Risiken
  • Fintechs
  • Unternehmen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MANAGEMENT 1 | Struktur

MANAGEMENT 1 | Struktur ISO 27001-Standard, Policy-Typen und Aspekte der Umsetzung ... besonders gut geeignet, IT-Sicherheitsthemen zu adressieren Übersicht exemplarischer ISO 27001-Anforderungen Details HLS 1 7 Themenkomplexe + 4 Kontext der Organisation + 5 Führung + 6 Planung 14 Security Controls + ... ... + A5 Informationssicherheitsrichtlinien - A6 Organisation der Informationssicherheit A6.1 Interne Organisation SOA Bausteine A6.1.1 Rollen und Verantwortung A6.1.2 Trennung von Verantwortung ... + A7 Personalsicherheit + ... ... Typen von Policies zur Umsetzung der ISO 27001 » Start mit SOA: HLS + 114 Sicherheitsziele » „Just do it“: Einfach anfangen mit einer beliebigen Zeile in der SOA wie z. B. mit • Dokumentenlenkung • Informationsklassifizierung (3 Klassen und Etikettierung) • IAM: Start mit 3 Prozessen • Risikomanagement: 3 bis 5 Risikoklassen, Einwertung, Risikoprozess » Nicht vergessen: Audits und Management Review der Funktionsfähigkeit des ISMS » Nur KRITIS-Unternehmen müssen ein Mindestsicherheitsniveau vorweisen » Finanzsektor faktisch gezwungen, umfassendes ISMS zu betreiben » Große Player wie z. B. Azure orientierten sich am Standard und erstellen entsprechende Compliance-Reportings 1 Leitlinien: „Wir setzen alles daran informationssicher zu sein.” 2 Konzepte/Richtlinien: „So soll es umgesetzt werden.” 3 Arbeitsanweisungen: „So wird es umgesetzt.” 4 Dokumentation: „Nachweis der Umsetzung.” Quelle: CORE SE. Aufmerksamkeit aller beteiligten Parteien zuteil. Darüber hinaus sollte die Arbeit an der eigenen Informationssicherheit kontinuierlich aufrechterhalten werden, denn das Zertifikat muss jährlich verteidigt werden. Auditierung besser über drei Stufen zu erreichen Ein zertifizierungsfähiges Informationssicherheits-Managementsystem (ISMS) besteht aus mehreren Dutzend Policies und benötigt einen monatelangen Aufbau. Wir empfehlen ein dreistufiges Vorgehen, um durch gut realisierbare Zwischenziele immer ein Licht am Ende des Tunnels zu sehen. Für die Motivation des Teams ist es wichtig, regelmäßig Erfolgserlebnisse feiern zu können. In der Abbildung ÿ 2 sind die drei Stufen zur Erlangung eines ISO 27001-Zertifikats dargestellt. Die erste Stufe korrespondiert mit dem Risikoprofil des zu zertifizierenden Prozesses und stellt die Basis der eigenen Informationssicherheit dar. Beispielsweise adressieren die ersten erstellten Policies das Risikomanagement, Rollen und Rechte (IAM) und die Informationsklassifizierung. Eine zunächst niedergeschriebene Lenkung des Policy-Konvoluts in Form der Dokumentenlenkung stellt einen guten Start des ISMS dar. Die zweite Stufe baut das ISMS gemäß ISO 27001 umfänglich auf, hierzu wird die SOA (Statement of Applicability; Erklärung zur Anwendbarkeit) komplett ausgefüllt, sodass die aus Stage 1 noch fehlenden Artefakte erkennbar werden. Mit dem Aufbau des kompletten Policy-Konvoluts mit den enthaltenen Prozessen ist die Zertifizierungsfähigkeit hergestellt. Diese Fähigkeit kann dann in der dritten Stufe im Audit bewiesen werden. Der Zertifizierungsprozess ist damit abgeschlossen. Zu beachten ist die zeitliche Komponente unter dem besonderen Augenmerk der Verfügbarkeit von Auditoren. Diese seltene Ressource muss mindestens ein halbes Jahr vor dem geplanten Termin von Stage 2 vertraglich gebunden sein, besser noch früher. Alle Stakeholder müssen eingebunden sein Zur Realisierung des Projekts ist ein kleines Team notwendig, das nicht nur aus Sicherheits- und Informatikexperten bestehen darf. Auch hier gilt schon immer: „Diversität ist Trumpf!“ Als Basis dienen zwei bis vier Experten aus IT und Technik. 20 05 // 2021

MANAGEMENT 2 | 3-Stufen-Modell zum Aufbau eines zertifizierten ISMS Vorgehen in 3 Stufen zur Zertifizierung des ISMS Reifegrad der Informationssicherheit in 3 Stufen ISO-Zertifizierung nach ISO 27001 Stage 2 Stage 1 ISMS-Zertifizierung nach ISO 27001 » Außen- & Kundenwirkung » Nachweis IS » Nachhaltige interne Verankerung Zertifizierung des eigenen ISMS nach ISO 27001 schafft Verbindlichkeit der Sicherheitsmaßnahmen nach innen und dokumentiert eine umfängliche und resiliente Sicherheitsorganisation nach außen Anforderung: Alle Policies des zweiten Reifegrads sind erstellt und in Prozessen umgesetzt ISO-Audit besteht aus 2 Prüfungen Zertifizierungsfähigkeit nach ISO 27001 Mindestanforderungen angelehnt an ISO 27001 » Compliance zum ISO-Standard » ohne Verbindlichkeit » Management-Review » Basis Informationssicherheit » Schutz zu einigen ausgewählten Risiken » Stage 1: Feststellung der Zertifizierungsfähigkeit » Stage 2: Überprüfung umgesetzter Prozesse Mögliches Vorgehen in 3 Stufen » Anlehnung: Beginn mit wichtigsten identifizierten Risiken und SOA-Bausteinen (3 Monate) » Herstellung Zertifizierungsfähigkeit: komplette Befüllung der SOA (max. 6 Monate) » Audit: Stage 1 und Stage 2 (2 bis 4 Monate) Das ISO 27001 Zertifikat ist drei Jahre gültig und muss jährlich überprüft werden. Quelle: CORE SE. Unbedingt einzubinden sind zudem die Kontrollfunktionen Informationssicherheitsbeauftragter und Datenschutzbeauftragter (ISB und DSB), die Legal Funktion, die Personal-Abteilung und – wenn vorhanden – das Lieferanten-Management. Wesentlich ist auch die Unterstützung aus dem Management. Ein hochrangiges Mitglied muss regelmäßig an den Vorbereitungssitzungen und auch bei den beiden Prüfungen Stage 1 und Stage 2 teilnehmen. FAZIT Ein Informationssicherheits-Managementsystem ist kein Hexenwerk, sondern kontinuierliche, konzentrierte Arbeit an der eigenen IT-Infrastruktur in den Aspekten Technik, Organisation und Personal. Mit dem vorgestellten dreistufigen Aufbau eines ISMS – beginnend mit der risikoorientierten Mindestsicherheit für die Kernprozesse über die vollständige Auffüllung der SOA bis hin zum Audit zur Erlangung des Zertifikats – kann ein pragmatischer Weg beschritten werden. Der Weg zum Zertifikat erhöht intern den Reifegrad der Sicherheitsorganisation, das erlangte ISO 27001-Zertifikat dokumentiert diese Reife nach außen für alle interessierten Parteien. Autor Dr. Waldemar Grudzien ist Expert Director bei der CORE SE für Informationssicherheit und Datenschutz. Er ist praktizierender ISB und DSB. Im weiteren Teil dieser kleinen Serie wird der Autor den Aufbau eines Datenschutz-Managementsystems sowie die Auslagerung beider Managementsysteme in eine Cloud-Umgebung beschreiben. 05 // 2021 21

die bank