Digitale Sicherheit in Banken | KPMG | AT
close
Share with your friends

Die FMA veröffentlicht einen Leitfaden für die digitale Sicherheit in Banken

Digitale Sicherheit in Banken

Am 8. Mai 2018 veröffentlichte die Österreichische Finanzmarktaufsichtsbehörde (FMA) den finalen Leitfaden zur Sicherheit von Informations- und Kommunikationstechnologien (IKT) in Kreditinstituten.

Verwandte Inhalte

Der FMA-Leitfaden zur IKT-Sicherheit fasst die Erwartungshaltung der FMA an das IKT-Sicherheitsmanagement der Institute zusammen und könnte den österreichischen Instituten dazu dienen ihre IKT-Organisation mit diesen Anforderungen abzugleichen. Der Leitfaden gliedert sich in folgende Abschnitte:

1. Rechtsgrundlagen und Grundlegendes

Neben Gesetzen wie dem BWG und KI-RMV definieren auch Leitlinien und Standards im Aufsichtsrecht das regulatorische Umfeld zur IKT-Sicherheit. Dabei sind insbesondere die EBA Leitlinien zur Risikobewertung der Informations- und Kommunikationstechnologie (IKT) als Ergänzung der SREP Leitlinien (EBA/GL/2017/05), die EBA Leitlinien zur Internen Governance (EBA/GL/2017/11), der BCBS Standard 239, die CEBS/EBA Leitlinien zur Auslagerung aber auch etablierte Standards in der IKT (COBIT, ISO 27001) hervorzuheben.

2. IKT-Strategie

Mithilfe der kohärenten IKT-Strategie soll ein unternehmens- und gruppenweites Bewusstsein für Informationssicherheit geschaffen werden. Dies soll durch die Angleichung der IT-Strategie an die Geschäftsstrategie und die Verankerung der Berücksichtigung der IT-Strategie in den Fachbereichen gewährleistet werden.

3. IKT-Governance

Aufbauend auf der IKT-Strategie erfolgt die Steuerung und Überwachung des Betriebs und der Weiterentwicklung der im Institut verwendeten IKT-Systeme mit den dazugehörigen IKT-Prozessen. Es liegt im Verantwortungsbereich der Geschäftsleitung Regelungen zur Umsetzung der IKT-Aufbau- und IKT-Ablauforganisation (zB IKT-Risikomanagementrichtlinien, etc) im Einklang mit der IKT-Strategie festzulegen.

4. Sicherheitsrichtlinien

Zum Schutz von Informationen und zur Gewährleistung der Informationssicherheit sind Sicherheitsrichtlinien einzurichten und regelmäßig zu überprüfen.

5. Informationsrisikomanagement und -sicherheitsmanagement/Cyber-Sicherheit

Mithilfe eines Informationsrisikomanagements soll die Unterstützung der Informationsverarbeitung und -Weitergabe durch adäquate IKT-Systeme und Prozesse im Institut gewährleistet werden. Dabei werden Schutzmaßnahmen, Methoden zur Identifikation, Reaktion und Wiederherstellungsabläufe bei Sicherheitsvorfällen in einer Informationssicherheitsrichtlinie festgelegt und nach Sicherheitsvorfällen erfolgen Analysen der Auswirkungen auf die Informationssicherheit und Initiierung angemessener Nachsorgemaßnahmen. Die entsprechenden Prozesse müssen regelmäßig evaluiert und risikoorientiert an geänderte Rahmenbedingungen angepasst werden.

6. Benutzerberechtigungsmanagement

Mithilfe eines effizienten Benutzerberechtigungsmanagements soll der Zugriff auf IT-Services und -Anwendungen nur für autorisierte Benutzer möglich sein. Dabei soll ein dokumentiertes Berechtigungskonzept bzw. Benutzerberechtigungsprozesse eingerichtet werden. Insbesondere sollen die Institute Vergabekriterien und –prozesse festlegen. Die Einräumung, Änderung, Deaktivierung und Löschung von Berechtigung soll nachvollziehbar, zuordenbar und auswertbar dokumentiert sein.

7. Schwachstellenmanagement

Institute sollen angemessene Verfahren, Prozesse und technisch-organisatorische Maßnahmen zum Schutz vor Datenbeschädigung, Datenverlust, Datendiebstahl, Cyberkriminalität und Schadprogrammen („Malware“) einrichten und Schutzmaßnahmen zur Schwachstellenbeseitigung ergreifen.

8. IKT-Projekte, Anwendungsentwicklung und zugekaufte Software

Institute sollen eine angemessene Steuerung von IKT-Projekten, Anwendungsentwicklung und zugekaufter Software durchführen, deren Risiken laufend berücksichtigen und eine vollständige Dokumentation gewährleisten.

9. IKT-Betrieb und Datenintegrität

Eine Organisationseinheit des Instituts soll die Verwaltung sowie die Zurverfügungstellung der IKT-Infrastruktur (Hard- und Software) und deren störungsfreien Betrieb ermöglichen und verwalten.

10. IKT-Auslagerungen

Als Rechtsgrundlagen für die Einrichtung von IKT-Auslagerungen sind § 25 BWG, § 11 KI-RMV, die CEBS Leitlinien zur Auslagerung, die EBA Leitlinien zur Internen Governance und die EBA Empfehlung zur Auslagerung zu Anbietern von Cloud-Diensten zu berücksichtigen und die IKT-Auslagerung entsprechend zu erfassen und zu überwachen.

11. Verfügbarkeit und Kontinuität, Notfallmanagement (BCM)

Um Beeinträchtigungen der Leistung und Verfügbarkeit von IKT-Systemen zu vermeiden, sollen im Rahmen einer Business-Impact-Analyse „Recovery Time Objectives“ (RTO) und „Recovery Point Objectives“ (RPO) erhoben und durch ein adäquates Notfallmanagement eine rasche Wiederherstellung kritischer Prozesse und Ressourcen bei unvorhergesehenen Unterbrechungen gewährleistet werden.

FMA-Leitfaden IKT-Sicherheit

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden