Bestimmungen zur Kontrolle externer Lieferanten

Transkript

1 Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

2 Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie die zu ihrer Speicherung oder Verarbeitung benötigten Ressourcen bzw. Systeme müssen vor physischer Sabotage, Verlust, Beschädigung oder Beschlagnahme sowie vor unerwünschten Konfigurationen oder Änderungen geschützt werden. führen, dass Daten von Barclays aufgrund unzureichender Schutzmaßnahmen gefährdet werden, was wiederum rechtliche und regulatorische Strafmaßnahmen sowie Rufschädigung zur Folge haben kann. Außerdem können Dienste von Sicherheitsproblemen betroffen sein, die mit einer Gefährdung der Daten von Barclays, dem Ausfall des Dienstes oder der Einleitung anderer böswilliger Aktivitäten einhergehen. 2. Änderungs- und Patchmanagement Die Daten von Barclays und die zu ihrer Speicherung oder Verarbeitung verwendeten Systeme müssen vor unsachgemäßen Änderungen geschützt werden, welche die Verfügbarkeit oder Integrität beeinträchtigen könnten. Bei Nichtbeachtung dieses Prinzips können Dienste von Sicherheitsproblemen betroffen sein, die mit einer Gefährdung der Verbraucherdaten, dem Ausfall des Dienstes oder der Einleitung anderer böswilliger Aktivitäten einhergehen. 3. Cloud- und Internet-Computing Daten von Barclays, die privat in der Cloud oder öffentlich über das Internet gespeichert wurden, müssen über entsprechende Kontrollmechanismen angemessen geschützt werden, um Datenlecks zu verhindern. führen, dass Daten von Barclays aufgrund unzureichender Schutzmaßnahmen gefährdet werden, was wiederum rechtliche und regulatorische Strafmaßnahmen sowie Rufschädigung zur Folge haben kann. 4. Internet- Sicherheitsrisikomanagement Daten und kritische Infrastrukturen von Barclays müssen über entsprechende Personen, Prozesse und technische Kontrollen angemessen geschützt werden, um einer Unterbrechung des Dienstes oder dem Verlust von Daten durch Attacken aus dem Internet vorzubeugen. führen, dass vertrauliche Informationen offengelegt werden oder Dienste ausfallen, was wiederum rechtliche und regulatorische Strafmaßnahmen sowie Rufschädigung zur Folge haben kann. Internet-Risikobewertung: Das Internet-Sicherheitsrisikoprofil für organisatorische Vorgänge, Ressourcen und Einzelpersonen muss durch folgende Maßnahmen verständlich gemacht werden:

3 Bewertung der Schwachstellen von Ressourcen Erkennung sowohl interner als auch externer Bedrohungen Bewertung möglicher geschäftlicher Auswirkungen Risiken und Bedrohungen müssen erkannt, Prioritäten gesetzt und entsprechende Maßnahmen zur Risikominderung getroffen werden. Internet- 4. Internet- Sicherheitsrisikomanagement (Forts.) Internet-Sicherheitskontrollen Es müssen geeignete Internet-Sicherheitskontrollen angewandt werden, die Folgendes sicherstellen: Eine Fachkraft mit Informations-/Internet- Sicherheitsfunktion, zuständig für die konsistente Integration des Informationsschutzes in die Geschäftsprozesse des Lieferanten, muss vor Ort verfügbar sein. Die Richtlinien, Verfahren und Prozesse zum Verwalten und Überwachen der regulatorischen und rechtlichen sowie der auf Internetrisiko, Umweltschutz und Betrieb bezogenen Anforderungen des Lieferanten müssen allgemein bekannt, dokumentiert und verfügbar sein und einmal jährlich von der Geschäftsführung genehmigt werden. Vorfallbehandlung: Sicherheitsvorfälle und Datenschutzverletzungen müssen behandelt und Barclays gemeldet werden. Es muss ein Vorfallbehandlungsprozess für die zeitnahe Abwicklung und

4 Meldung unbefugter Zugriffe auf Daten von bzw. auf von Barclays genutzte Dienste eingerichtet sein. Dazu gehört u. A. ein geeigneter Ansatz zu forensischen Untersuchungen. 5. Malware-Schutz Es müssen Anti-Malware-Kontrollen und -Tools vorhanden sein, um einen angemessenen Schutz vor gefährlicher Software wie Viren und anderen Malware-Varianten zu gewährleisten. führen, dass vertrauliche Informationen offengelegt werden, was wiederum rechtliche und regulatorische Strafmaßnahmen sowie Rufschädigung zur Folge haben kann. 6. Netzwerksicherheit Alle externen und internen Netzwerke, die Bestandteil des Dienstes sind, müssen bekannt sein und über angemessene Schutzmechanismen verfügen, um Attacken über diese Netzwerke zu unterbinden. Bei Nichtbeachtung dieses Prinzips könnten interne oder externe Netzwerke durch Hacker unterwandert werden, die sich dadurch Zugang zum Dienst bzw. den damit verbundenen Daten verschaffen wollen. Externe Verbindungen: Alle externen Verbindungen zum Netzwerk müssen dokumentiert sein, durch eine Firewall geleitet und vor ihrer Aktivierung geprüft und genehmigt werden, um Datenschutzverletzungen zu verhindern. Internet- 6. Netzwerksicherheit (Forts.) Drahtloszugang: Jeder drahtlose Zugang zum Netzwerk muss durch Protokolle zur Autorisierung, Authentifizierung, Abgrenzung und Verschlüsselung überwacht werden, um Sicherheitsverletzungen zu vermeiden, und mit Barclays vereinbart werden. Erkennung und Verhinderung von Eindringversuchen: Tools und Systeme zur Erkennung und Verhinderung von Eindringversuchen müssen an allen relevanten Punkten des Netzwerks bereitgestellt und ausgehende Datenströme entsprechend überwacht werden, um Internet- Schutzverletzungen wie APTs (Advanced Persistent Threats, nachhaltige fortschrittliche Bedrohungen) zu erkennen.

5 DDoS (Distributed Denial of Service, verteilte Überlastangriffe): Das Netzwerk und die wichtigsten Systeme müssen mit einem gestaffelten Sicherheitskonzept versehen sein, das jederzeit einen Schutz vor Dienstunterbrechungen durch Attacken aus dem Internet bietet. Dies können beispielsweise DoS-Attacken (Denial of Service, Überlastangriffe) oder DDoS-Attacken (Distributed Denial of Service, verteilte Überlastangriffe) sein. 7. Sichere Entwicklung Dienste und Systeme, die mit mobilen Anwendungen arbeiten, müssen so gestaltet und entwickelt werden, dass Sicherheitslücken und Bedrohungen weitestgehend unterbunden werden. Verfahren zur sicheren Entwicklung: Bei Nichtbeachtung dieses Prinzips können Dienste von Sicherheitsproblemen betroffen sein, die mit einer Gefährdung der Verbraucherdaten, dem Ausfall des Dienstes oder der Einleitung anderer böswilliger Aktivitäten einhergehen. Alle Entwicklungsprozesse müssen permanent im Einklang mit einem genehmigten, dokumentierten Systementwicklungsverfahren stehen, um Sicherheitslücken zu vermeiden und Schwachstellen auszubessern. Abgrenzung der Umgebung: Alle Systementwicklungs- und Versionierungsprozesse müssen in einer Nicht-Produktionsumgebung stattfinden und Aufgabenbereiche jederzeit strikt voneinander abgegrenzt werden, um Datenlecks und versehentlichen Datenänderungen bzw. - löschungen vorzubeugen. Es dürfen keine Live-Daten für Tests benutzt werden, es sei denn, dass dies vorher mit Barclays ausdrücklich vereinbart wurde. Internet-

6 7. Sichere Entwicklung (Forts.) Qualitätssicherung: Die Qualitätssicherungsfunktion muss sicherstellen, dass alle grundlegenden Sicherheitsmaßnahmen in den Systementwicklungsprozess eingebunden sind, um Dienstunterbrechungen und Sicherheitslücken zu vermeiden. 8. Sicherheitsbewertung Software, IT-Systeme und Dienste müssen unabhängig voneinander strikt auf Sicherheitslücken überprüft werden. führen, dass vertrauliche Informationen offengelegt werden oder Dienste ausfallen, was wiederum rechtliche und regulatorische Strafmaßnahmen sowie Rufschädigung zur Folge haben kann. 8. Sicherheitsbewertung (Forts.) Penetrationstest Der Lieferant führt eine unabhängige IT- Sicherheitsbewertung bzw. einen Penetrationstest an der IT- Infrastruktur einschließlich ihrer Disaster-Recovery- Standorte durch. Dies muss mindestens einmal jährlich erfolgen, um Sicherheitslücken zu erkennen, die ausgenutzt werden könnten, um durch Cyberattacken an Daten von Barclays zu gelangen. Alle Sicherheitslücken müssen vorrangig behandelt und bis zu ihrer Auflösung überwacht werden. Der Test muss von einem anerkannten Sicherheitsbewertungsanbieter nach den bewährten Praktiken der Branche durchgeführt werden.

7 Sicherheitsbewertung heißt, dass Tests an den Systemen des Lieferanten mit folgender Zielsetzung durchgeführt werden: a) Erkennung von Entwicklungs- bzw. Funktionsproblemen bei den Anwendungen oder der Infrastruktur b) Ermittlung von Schwachstellen bei Anwendungen, rund ums Netzwerk oder bei sonstigen Infrastrukturelementen sowie von Schwachstellen bei prozessbedingten oder technischen Abhilfen c) Erkennung potenzieller Sicherheitslücken, die sich aus einer schlechten bzw. falschen Systemkonfiguration oder aus bekannten bzw. unbekannten Hardware- oder Software-Schwachstellen ergeben. Dazu gehören beispielsweise folgende Infrastruktur- und Anwendungstests, bei denen sowohl der Lieferant als auch die Firma Barclays durch böswillige Aktivitäten gefährdet werden könnten: i. unbrauchbare bzw. nicht bereinigte Eingangsdaten ii. defekte Zugriffssteuerung iii. defektes Authentifizierungs- und Sitzungsmanagement iv. standortübergreifende Skripting-Schwachstellen (XSS) v. Pufferüberlauf vi. Injection-Schwachstellen vii. falsche Fehlerbehandlung viii. unsichere Speicherung ix. Überlastangriffe x. unsicheres Konfigurationsmanagement xi. falsche Handhabung von SSL/TLS xii. falsche Handhabung der Verschlüsselung xiii. Zuverlässigkeit und Tests des Antivirusprogramms Zu dieser Bewertung gehören in der Regel Maßnahmen, die gemeinhin als Penetrationstests bezeichnet werden. Sicherheitsbewertungsanbieter ist ein angemessen qualifizierter Drittanbieter, der mit der Sicherheitsbewertung beauftragt wird.

8 IT- 9. Systemüberwachung Zur Erkennung unerwünschter oder böswilliger Aktivitäten müssen die Systeme über Automatismen für Überwachung, Audit und Protokollierung verfügen. Bei Nichtbeachtung dieses Prinzips sind Lieferanten nicht in der Lage, eine unerwünschte oder böswillige Nutzung ihrer Dienste bzw. Daten zeitnah zu erkennen und darauf zu reagieren.