Bankaufsichtliche Anforderungen an die IT (BAIT) 29. Juni 2017
Sustainable Excellence.
Agenda
Hintergrund, zeitlicher Rahmen, Zielsetzung und Adressaten Rechtliche Einordnung Inhalte und Handlungsfelder Prüfungsschwerpunkte Zusammenfassung und Gesamtwürdigung
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
BAIT detailliert Vorgaben von KWG und MaRisk Hintergrund, zeitlicher Rahmen, Zielsetzung und Adressaten
Konkretisierung § 25a + 25b KWG i.V.m den MaRisk‐Vorgaben Relevant für alle KWG Institute Reaktion auf zunehmende Digitalisierung im Finanzsektor und Wunsch der Kreditwirtschaft auf Detaillierung der allgemeinen Vorgaben Proportionalitätsprinzip bleibt erhalten Konsultationsende 05. Mai 2017 Finale Veröffentlichung in 2017 erwartet Sustainable Excellence.
Seite 3
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 4 Seite 4
BAIT betrifft Fach‐ und IT‐Bereiche Aufbau und Inhalt
Bankaufsichtliche Anforderungen an die IT (BAIT) 1. IT‐Strategie
Governance 2. IT‐Governance 3. Informations‐ risikomanagement
4. Informations‐ sicherheitsmanagement
8. Auslagerungen und sonstiger Fremdbezug von IT‐Dienstleistungen
6. IT‐Projekte, Anwendungsentwicklung (inkl. IDV)
5. Benutzerberechtigungs‐ management
7. IT‐Betrieb
Steuerung
Operativ
Change the Bank
Sustainable Excellence.
Run the Bank
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 5
IT‐Strategie Wesentliche Anforderungen MaRisk AT 4.2 Strategien
Festlegung einer nachhaltigen Geschäftsstrategie (Ziele, Maßnahmen) durch die Geschäftsleitung Einrichtung eines Strategieprozesses (Planung, Umsetzung, Beurteilung und Anpassung) Aussagen zur zukünftig geplanten Ausgestaltung der IT‐Systeme Große und komplexe Institute: Aussagen zu Aggregationskapazitäten für Risikodaten
BAIT II.1 IT‐Strategie Festlegung einer nachhaltigen IT‐Strategie (Ziele, Maßnahmen) Konsistenz der IT‐Strategie mit der Geschäftsstrategie Mindestinhalte: IT‐Aufbau‐ und IT‐Ablauforganisation (inkl. dazugehöriger Prozesse) IT‐Auslagerungsstrategie (Dienstleistungsportfolios mit IT‐Bezug) Zuordnung der genutzten IT‐Standards auf die Bereiche Eckpunkte zur Informationssicherheitsorganisation Strategische Entwicklung der IT‐Architektur (Anwendungslandschaft, Infrastruktur) Aussagen zum Notfallmanagement Aussagen zu IT‐Systemen in den Fachbereichen
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
IT‐Strategie Auswirkungen und Maßnahmen
Mögliche Handlungsfelder
Aufnahme von strategischen Aussagen zur IT in die Geschäftsstrategie oder Integration einer IT‐Strategie in den Strategieprozess (regelmäßige Überprüfung und Anpassung der IT‐Strategie) Ergänzung und Verfeinerung der IT‐Strategie oder weitergehender Dokumentationen um Aussagen bspw. zu BCBS 239, IDV, Informationssicherheit, Auslagerungen Definition von KPIs zur Überprüfung der Umsetzung der IT‐Strategie Sustainable Excellence.
Seite 6
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 7
IT‐Governance Wesentliche Anforderungen MaRisk Governance
Aufbau‐ und Ablauforganisation: Unvereinbare Tätigkeiten / Cooling‐Off Zeiten (MaRisk AT 4.3.1) Einrichtung von Risikosteuerungs‐ und ‐controllingprozessen (MaRisk AT 4.3.2) Sicherstellung von personellen und technisch‐organisatorischen Ressourcen (MaRisk AT 7.1) Einrichtung eines IT‐Sicherheitsmanagements (MaRisk AT 7.2) Sicherstellung der Geschäftsaktivität auf der Grundlage von Organisationsrichtlinien (MaRisk AT 5 Tz. 1)
BAIT II.2 IT‐Governance Festlegung und Umsetzung der IT‐Aufbau‐ und IT‐Ablauforganisation Vermeidung von Interessenskonflikten und unvereinbarer Tätigkeiten innerhalb der IT‐Aufbau‐ und IT‐Ablauforganisation Angemessene Personalausstattung unter Berücksichtigung vom Stand der Technik sowie der Bedrohungslage: IT Risikomanagement(?), IT Security, IT Betrieb, IT Entwicklung Festlegung und Überwachung von quantitativen und qualitativen Kriterien für den Betrieb und Weiterentwicklung der IT‐Systeme
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
IT‐Governance Auswirkungen und Maßnahmen
Mögliche Handlungsfelder Einleitung von IT‐aufbau‐ oder IT‐ablauforganisatorischen Maßnahmen, um Interessenskonflikten und unvereinbaren Tätigkeiten zu begegnen, z.B. Rollendefinitionen, SFO KPIs und System für die Steuerung von IT Betrieb und IT Entwicklung, z.B. SLAs Verfügbarkeit Wartbarkeit Sicherheit Kosten Anpassbarkeit Sustainable Excellence.
Seite 8
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 9
Informationsrisikomanagement Wesentliche Anforderungen aus den BAIT MaRisk IT Risikomanagement AT 7.2 Tz. 1: Ausrichtung der technisch‐organisatorischen Ausstattung an den betriebsinternen Erfordernissen, den Geschäftsaktivitäten und der Risikosituation AT 7.2 Tz. 2: Sicherstellung der Integrität, Verfügbarkeit, Authentizität, Vertraulichkeit der Daten AT 4.3.1: Definition von Prozessen, Aufgaben, Kompetenzen, Verantwortlichkeiten und Kontrollen AT 4.3.2: Risikosteuerungs‐ und ‐controllingprozesse und Berichtspflichten (BT 3.2 Tz. 7)
BAIT II.3 Aufbau und Umsetzung eines Managementsystems für Informationsrisiken unterer Beteiligung aller maßgeblicher Stellen und Funktionen Überblick über Bestandteile des Informationsverbunds, Abhängigkeiten und Schnittstellen Methodik zur Ermittlung des Schutzbedarfs Festlegung/Dokumentation eines Referenzmaßnahmenkatalogs zur Umsetzung der Schutzziele Durchführung einer Risikoanalyse (Schadenspotenzial und –häufigkeit) Überführung der akzeptierten Restrisiken in den operationellen Risikomanagementprozess Reporting der Risikosituation an die Geschäftsleitung
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 10
Informationsrisikomanagement Auswirkungen und Maßnahmen
Mögliche Handlungsfelder
Transparente, vollständige und aktuelle Sicht des Informationsverbunds Überblick über Abhängigkeiten und Schnittstellen Einführung einer konsistenten Methodik zur Ermittlung des Schutzbedarfs und Festlegung eines Referenzkatalogs Einrichtung eines Prozesses zur Durchführung der Risikoanalyse
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 11
Informationssicherheitsmanagement Wesentliche Anforderungen aus den BAIT MaRisk AT 7.2 Tz. 2 IT Systeme und Prozesse müssen Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit der Daten sicherstellen Abstellung auf gängige Standards (BSI, ISO 2700X) BT 3.2 Tz. 6 u. 7.: mindestens vierteljährliche Berichtserstattung über bedeutende Schadensfälle und Risikosituation
BAIT II.4 Beschluss und Kommunikation einer Informationssicherheitsrichtlinie Informationssicherheitskonzepte/‐prozesse: Identifikation, Schutz, Entdeckung, Reaktion und Wiederherstellung Einrichtung eines „Informationssicherheitsbeauftragten“ als Gesamtverantwortlicher, organisatorisch und prozessual unabhängig ausgestaltet: Erstellung und Fortschreibung der Informationssicherheitskonzepte Steuerung / Koordination der Informationssicherheitsprozesse Initiierung und Überwachung von Informationssicherheitsmaßnahmen Untersuchung von Informationssicherheitsvorfällen und Bericht an die Geschäftsleitung
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 12
Informationssicherheitsmanagement Auswirkungen und Maßnahmen
Mögliche Handlungsfelder Erarbeitung einer Informationsrichtlinie Ziele, Geltungsbereich, Organisation Regelmäßige Überprüfungen und Anpassungen an geänderte interne und externe Bedingungen Definition von Informationssicherheitskonzepten und ‐prozessen Einrichtung eines Informationssicherheitsbeauftragten im eigenen Haus
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 13
Benutzerberechtigungsmanagement Wesentliche Anforderungen aus den BAIT MaRisk Berechtigungen AT 4.3.1 Tz. 2: IKS: Regelmäßige und anlassbezogene Überprüfung von IT‐Berechtigungen AT 7.2 Tz. 2: Prozesse für eine angemessene IT‐Berechtigungsvergabe BTO Tz. 9: Sicherstellung von Funktionstrennung bei IT‐gestützter Bearbeitung
BAIT II.5
Benutzerberechtigungskonzept bestimmt Umfang und Nutzungsbedingungen der Zugriffsrechte Beachtung des Prinzips der minimalen Rechtevergabe („Need‐To‐Know“) Klare Zuordnung nicht‐personalisierter Berechtigungen inkl. Dokumentation derselben Einhaltung des Berechtigungskonzepts bei Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen durch Genehmigungs‐ und Kontrollprozesse Einbeziehung der fachlich verantwortlichen Stelle beim Prozess der Rechtevergabe Regelmäßige Überprüfung der Berechtigungen im Rahmen eines Rezertifzierungsverfahrens Dokumentation von Berechtigungsvergabe und Rezertifizierung Prozesse zur Protokollierung von IT Zugriffen ausgerichtet am Schutzbedarf Umsetzung technisch‐organisatorischer Maßnahmen
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Benutzerberechtigungsmanagement Auswirkungen und Maßnahmen
Mögliche Handlungsfelder Überprüfung der IT‐Berechtigungskonzepte (Konsistenz zum ermittelten Schutzbedarf der IT‐Systeme, Prinzip der minimalen Rechtevergabe) Überprüfung Berechtigungsvergabeprozesse, Genehmigungs‐ und Kontrollprozesse sowie Rezertifizierungsprozesse ‐> Einbindung der fachlich verantwortlichen Stelle Anpassung der IT Systeme, z.B. Integration eines zentralen Systems für IT‐Berechtigungen Authentifizierungsverfahren Verschlüsselung Zugriffsprotokollierung
Sustainable Excellence.
Seite 14
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 15
IT‐Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen) Wesentliche Anforderungen MaRisk AT 7.2 und 8.2 AT 8.2: Auswirkungsanalyse für wesentliche Veränderungen in IT‐Systemen AT 7.2 Tz 3: Etablierung eines Regelprozess für Entwicklung, Test, Freigabe und Produktionseinsatz sowie Trennung von Produktions‐ und Testumgebung AT 7.2 Tz 5 (neu): Anforderungen aus AT 7.2 sind auch für IDV entsprechend zu beachten
BAIT II.6 IT‐Projekte
Vorgehensmodelle für die Steuerung von IT‐Projekten (Quality Gates für Phasenübergänge) Einrichtung einer Portfoliosteuerung von IT‐Projekten und deren Abhängigkeiten Wesentliche IT‐Projekte und IT‐Projektrisiken sind der Geschäftsleitung zu berichten Prozesse für die Anwendungsentwicklung inklusive Anforderungsmanagement, Dokumentation, Quellcodeüberprüfung und –versionierung (auch für IDV) Definition und Einführung einer Testmethodik Erstellung einer Richtlinie und eines zentralen Registers für IDV (Identifizierung, Dokumentation, Programmierrichtlinien, Schutzbedarfsanalyse, Berechtigungen)
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 16
IT‐Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen) Auswirkungen und Maßnahmen
Mögliche Handlungsfelder IT‐Projektmanagement Vorgehensmodell für die Durchführung und Überwachung von IT‐Projekten (Risikosteuerung Time/Quality/Budget‐Zielen) Aufbau einer einheitlichen IT‐Projekt‐Portfoliosicht für das IT Projektrisikomanagement und Reporting
Angemessene Prozesse für die Anwendungsentwicklung Anforderungsermittlung (Fachbereich), Entwicklungsziel, (technische) Umsetzung, QS, Test, Abnahme und Freigabe, Dokumentation , Versionierung von Ergebnistypen
Einführung Testmethodik Test von Funktionalität, Security, Performance (Stressbelastungsszenarien) IDV‐ Anwendungen Schutzbedarfsklassifizierung Zentrales Register IDV Richtlinie
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 17
IT‐Betrieb (inkl. Datensicherung) Wesentliche Anforderungen MaRisk AT 7.2 Tz. 1 und 2 IT‐Betrieb hat sich an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren Sicherstellung Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten Regelmäßige Überprüfung der Eignung der IT‐Systeme und der zugehörigen Prozesse
BAIT II.7 IT‐Betrieb Steuerung und Verwaltung des Portfolios der IT‐Systeme in einem Inventar (Lebens‐Zyklus‐ Management) Risikoorientierte Ausgestaltung der Prozesse zur Änderung von IT‐Systemen Erfassung, risikoorientierte Bewertung, Steuerung und Reporting von Störungen, deren Ursachen und Lösungen Datensicherungskonzept abgeleitet aus den Geschäftsfortführungsplänen inklusive regelmäßiger Tests
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 18
IT‐Betrieb (inkl. Datensicherung) Auswirkungen und Maßnahmen
Mögliche Handlungsfelder Aufbau / Erweiterung des Inventars der IT‐Systeme
Verwendungszweck der Komponenten der IT‐Systeme Standort der Komponenten der IT‐Systeme Gewährleistungen und sonstige Supportverträge Ablaufdatum des Supportzeitraums der Komponenten der IT‐Systeme Akzeptierter Zeitraum der Nichtverfügbarkeit der IT‐Systeme sowie der maximal tolerierbare Datenverlust
Erweiterung des Change Management Prozesses für Produktionseinsätze Bewertung von Umsetzungsrisiken Maßnahmen für eine sichere Umsetzung (z.B. Datensicherung, Fallback)
Aufbau / Erweiterung des Incident‐Managements Überprüfung der Backup‐Konzepte und Backup‐Tests (mindestens jährlich und anlassbezogen) Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 19
Auslagerung und sonstiger Fremdbezug IT‐Dienstleistungen Wesentliche Anforderungen MaRisk AT 9 – Auslagerungen Beachtung der allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG Angemessene Bewertung von Risiken beim Fremdbezug von Dienstleistungen
BAIT II.8 Auslagerung und sonstiger Fremdbezug Strategische Steuerung von IT‐Dienstleistungsverträgen Einbindung der Funktionen Informationssicherheit und Notfallmanagement bei der Risikobewertung Berücksichtigung von ableitbaren Maßnahmen der Risikobewertung bei der Vertragsgestaltung Regelmäßige und anlassbezogene Überprüfung der IT‐Risikobewertungen Überwachung der Leistungserbringung sowie von Restrisiken
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 20
Auslagerung und sonstiger Fremdbezug IT‐Dienstleistungen Auswirkungen und Maßnahmen
Mögliche Handlungsfelder
Überprüfung und Anpassung der Auslagerungs‐ und sonstiger Fremdbezugsverträge von IT‐Dienstleistungen (Aufnahme Vereinbarungen und KPI‘s) Festlegung von initialen und regelmäßigen Risikobewertungen und Einbeziehung weiterer Funktionen in den Prozess Festlegung von Prozessen für die Überwachung und Dokumentation der Leistungserbringung Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 21
Prüfungen fokussieren auf BAIT Neuerungen Prüfungsschwerpunkte (exemplarisch)
Governance •IT Strategie (Mindestinhalte) und Governance (Aufbau‐/Ablauforganisation, SFO), Budget/Personal
Informationsrisikomgt. •Schutzbedarfsanalyse und Ableitung Soll‐/Referenzmaßnahmen, Risikoanalyse (Abgleich Schadenspotential‐ und ‐häufigkeit) mit Soll‐/Ist‐Maßnahmen
Operations •IT Landkarte und Datenflüsse (inkl. genutzter DL), IT Lebens‐Zyklus‐Management, Incident‐ und Notfallmanagement, Benutzerverwaltung
IT Development •IT Projekte Portfolio und Steuerung, Festlegung von IT Änderungsstandards (gängige Normen bspw. ISO) und Kontrolle der Einhaltung
Bezug von IT Leistungen •Sonstiger Fremdbezug von IT‐Dienstleistungen (strategische Steuerung, Vertragsevidenz, Vertragsinhalte, Leistungsüberwachung, Risikobewertung)
Sustainable Excellence.
BAIT – Konkretisierung und Verschärfung der IT‐Anforderungen
Seite 22 Seite 22
Die BAIT Handlungsfelder im Überblick Zusammenfassung und Gesamtwürdigung Ergänzung der IT‐Strategie (z.B. BCBS 239, Informationssicherheit, Auslagerungen, IDV) Definition von KPIs
IT‐Organisation
IT‐Strategie
IT‐Strategieprozess Entwicklung von Vorgehensmodellen für IT‐Projekte (auch für IDV) Erweiterung Change‐ und Incidentmanagement Schutzbedarfs‐ und Risikoanalyse Vertragssteuerung für den sonstigen Fremdbezug von IT
Sustainable Excellence.
Angemessene IT‐ Personalausstattung (Betrieb, Entwicklung, Risikomanagement und Security) Funktion Informations‐ sicherheitsbeauftragter Zentrales Auslagerungsmanagement
BAIT
IT‐Prozesse
IT‐Systeme
IT‐Produktinventar Projektportfoliomgt. Umsetzung Back‐Up Konzepte Umsetzung Security Berechtigungen, Logging
Kontakt
Seite 23
RFC Professionals GmbH Matthias Oßmann Hauptstraße 112 65375 Oestrich‐Winkel
Mobil: +49 (0) 151 422 40 784 Tel.: +49 (0)6723‐994 88 85 Fax: +49 (0)6723‐994 95 28
E‐Mail: matthias.ossmann@rfc‐professionals.com Web: www.rfc‐professionals.com
Mobil: +49 (0) 151 422 40 774 Tel.: +49 (0)6723‐994 88 85 Fax: +49 (0)6723‐994 95 28
E‐Mail: volker.oostendorp@rfc‐professionals.com Web: www.rfc‐professionals.com
Mobil: +49 (0) 151 527 64 006 Tel.: +49 (0) 69‐90 74 54‐76
E‐Mail: jochen.kindermann@simmons‐simmons.com Web: www.simmons‐simmons.com
RFC Professionals GmbH Volker Oostendorp Hauptstraße 112 65375 Oestrich‐Winkel
Simmons & Simmons LLP Jochen Kindermann Friedrich‐Ebert‐Anlage 49 60308 Frankfurt am Main
Dieses Material wurde ausschließlich zu Informationszwecken erstellt. Jede Form der Kenntnisnahme, Veröffentlichung, Vervielfältigung oder Weitergabe des Inhalts durch/an nicht vorgesehene Adressaten ist unzulässig bzw. bedarf der ausdrücklichen Zustimmung der RFC Professionals GmbH. Mai 2017 ‐ © RFC Professionals GmbH
Sustainable Excellence.
Seite 24
Vielen Dank für Ihre Aufmerksamkeit
RFC Professionals Ihr Copilot auf dem Weg zum Ziel. Ihre Beratung für Risikomanagement, Finanzen, Controlling und Compliance Beratung mit Sustainable Excellence
Sustainable Excellence.