Prüfungspraxis der Deutschen Bundesbank Informationsveranstaltung: IT-Aufsicht bei Banken Bonn,

Ähnliche Dokumente
Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken

Arbeitsschwerpunkte des Referats BA 57 zur IT-Aufsicht der BaFin 2014/2015. Dr. Josef Kokert, BaFin

IT-Aufsicht im Bankensektor

IT Governance im Zusammenspiel mit IT Audit

Arbeitsschwerpunkte des Referats zur. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

Security of Internet Payments

Fokus Event 26. August 2014

ITIL Trainernachweise

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Solvency II. Willkommen bei der Skandia! Ausgewählte Aspekte aus der Praxis

3/22/2010. Was ist Business Continuity? Business Continuity (Vollversion) Interface to other operational and product processes

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Analyse der Geschäftsmodelle

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite

Darstellung und Anwendung der Assessmentergebnisse

MaRisk Erfahrungen aus der Prüfungspraxis Christian Schuler

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Less significant institutions: Wie direkt wird die indirekte Aufsicht der EZB?

> Als Mittelständler auf dem Weg in die Cloud

Auf der Suche nach der rich.gen Sourcing Strategie 4. Swiss Business- & IT- Servicemanagement Forum

Information Security Management

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

Privacy trends Alfred Heiter. 10. Juni 2011

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

CHANCEN UND MÖGLICHKEITEN DES MODERNISIERTEN IT-GRUNDSCHUTZES. Delivering Transformation. Together.

ITIL V3 zwischen Anspruch und Realität

6. PRINCE2-Tag Deutschland Erfolgsfaktoren für Projekt Audits

Änderungen ISO 27001: 2013

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Bankenaufsicht (Referat BA 54) Graurheindorfer Straße Bonn

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

CeBIT CARMAO GmbH

Cloud Architektur Workshop

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Anforderungen an individuelle Datenverarbeitung aus aufsichtsrechtlicher Sicht

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

IT-Sicherheit Risiken erkennen und behandeln. Hanau,

BearingPoint RCS Capability Statement

Cloud Computing mit IT-Grundschutz

Cloud Computing in Deutschland

Exkursion zu Capgemini Application Services Custom Solution Development. Ankündigung für Februar 2013 Niederlassung Stuttgart

ÄNDERUNGEN UND SCHWERPUNKTE

als Steuerungsinstrument Björn Schneider Berlin, 29. November 2016

POST MARKET CLINICAL FOLLOW UP

Legal Risk als Folge fehlender Compliance

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

Integrierte und digitale Managementsysteme

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Delegieren von IT- Sicherheitsaufgaben

ITILin60Minuten. Jörn Clausen Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

CMM Mythos und Realität. Forum Forschungsförderung BITKOM / ViSEK Oktober Tilman Seifert, TU München

Die richtigen Dinge tun

Janotta und Partner. Digitalisierung

ACT Gruppe. Effizienz. Innovation. Sicherheit.

Sicherheitsanalyse von Private Clouds

C R I S A M im Vergleich

Der Product Approval Process gem. Solvency II

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

SPiCE und Test: Was hat das denn miteinander zu tun?

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

ITIL & TOGAF die Doppelspitze für IT Governance

CRAMM. CCTA Risikoanalyse und -management Methode

GI FG SECMGT Frankfurt Bernd Ewert

Regelungsvorhaben zur IT- Dr. Markus Held, BaFin Referat IT-Infrastrukturen bei Banken

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter KPMG Information Risk Management 1

in a changing world.

ITIL in 60 Minuten. Jörn Clausen. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg

Cloud-Computing für die öffentliche Verwaltung. Fraunhofer FOKUS. Fraunhofer FOKUS

Teil 1: Neues Obligationenrecht. Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec.

Internes Kontrollsystem in der IT

Notfallmanagement Forum 2011 Nürnberg,

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Was ist CIIP. Fachtagung Schutz strategischer Informationsinfrastrukturen. 7. Oktober 2010

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Business IT Alignment

Validierungsprozess BCBS 239 Framework

BPM Solution Day 2010 T-Systems Multimedia Solutions GmbH

Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen

Der Weg zu einem ganzheitlichen GRC Management

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

ISO SPICE Erste Eindrücke

Standards/IT-Frameworks zur Sicherstellung der IT-Compliance Konformität in hochflexiblen Geschäftsprozessen

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung

Mandat des Prüfungsausschusses

Vorwort. 5 Event Management Das Event Management unter ITIL 39. Bibliografische Informationen digitalisiert durch

Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery

CISA/CISM/CGEIT und die COBIT-Zertifikate

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Informations- / IT-Sicherheit Standards

SaaS leben am Beispiel der

Transkript:

Prüfungspraxis der Deutschen Bundesbank Informationsveranstaltung: IT-Aufsicht bei Banken Bonn, 16.03.2017

Jörg Bretz seit 1989 bei der Deutschen Bundesbank seit 2001 Hauptverwaltung Frankfurt - Bankgeschäftliche Prüfungen Schwerpunktthemen als Prüfer und Prüfungsleiter: IT-Prüfungen im Auftrag von BaFin und EZB IT-Prüfungsaktivitäten im Rahmen von MaRisk- und Zulassungsprüfungen Operational Risk Management, Information Risk Management, Business Continuity Management und Outsourcing-Management Training Seite 2

Agenda Bankenaufsicht und Europa Cybersicherheit Cloud Computing Seite 3

Bankenaufsicht und Europa Seite 4

Bankenaufsicht und Europa Europäische Regulierung in Arbeit Weiterhin existiert das SSM Manual der Europäischen Zentralbank (EZB) als interner Leitfaden für bankgeschäftliche Prüfungen bei Significant Institutions (SI). Weiterhin verantwortet die European Banking Authority (EBA) die europäische Vorgaben der Bankenaufsicht zur IT. Europäische bankaufsichtliche Regulierungen zu IT, Informationssicherheit und Dienstleistungsbezug sind weiterhin in Arbeit. Orientierung an nationalen und internationalen IT-Standards (z. B. BSI, Cobit, ISO270xx, ITIL) sind weiterhin die Benchmark für Prüfungen Seite 5

Bankenaufsicht und Europa Nationale Regulierung kurz vor der Veröffentlichung MaRisk Update steht kurz vor der Veröffentlichung Präzisierungen zu IT und Informationsrisikomanagement BCBS 239 integriert Auslagerung ergänzt BAIT werden konsultiert, Veröffentlichung steht kurz bevor Ergänzung der MaRisk Prinzipienorientierung, kein regelbasierter Ansatz Dokumentation der bisherigen Aufsichtspraxis Seite 6

Europäisches Umfeld Vielfalt (Folie vom 07.10.2015) Vielfalt der Sprachen Herausforderung: inhaltsidentische Übersetzungen von Texten Vielfalt des Verständnisses von Begriffen Herausforderung: einheitlich verwendete Begriffe etablieren Vielfalt der Aufsichtskulturen Herausforderung: einheitliche praktische Umsetzung der Regelungen Vielfalt der Kulturen Herausforderung: wertschätzende Kommunikation von Kritik Seite 7 Update 2017: gemeinsame Prüfungserfahrungen

Prioritäten im europäischen Kontext (Folie vom 07.10.2015) - sehr ähnlich zur bisherigen nationalen Praxis Ablauforganisation, Dokumentation, Strategien und Systemarchitektur Aufbauorganisation und Auslagerungen Informationsrisikomanagement IT-Sicherheitsmanagement IT-Betrieb Einkauf von Software, Anwendungsentwicklung und Projektmanagement Datenqualitätsmanagement IT-Notfallmanagement IT-Berichtswesen IT-Revision Seite 8 Update 2017: Cybersecurity Management ergänzt

Cybersicherheit Seite 9

Cybersicherheit Cybersicherheit genießt weltweit nicht nur bei Bankenaufsehern große Aufmerksamkeit. Das National Institute of Standards and Technology (NIST) hat am 12.02.2014 das Cybersecurity Framework veröffentlicht. Viele Institutionen (z. B. EZB, G7) kopieren bzw. adaptieren dieses NIST Rahmenwerk zur Cybersicherheit. Seit 10.01.2017 steht der Entwurf einer Aktualisierung dieses Rahmenwerks zur Konsultation. Die grundlegende Struktur des Rahmenwerks bleibt bestehen, eine neue Kategorie wird der Sektion Identify hinzugefügt: Supply Chain Risk Management. Seite 10

Cybersicherheit Seite 11

Cybersicherheit - Supply Chain Risk Management ID.SC-1: Cyber supply chain risk management processes are identified, established, assessed, managed, and agreed to by organizational stakeholders ID.SC-2: Identify, prioritize and assess suppliers and partners of critical information systems, components and services using a cyber supply chain risk assessment process ID.SC-3: Suppliers and partners are required by contract to implement appropriate measures designed to meet the objectives of the Information Security program or Cyber Supply Chain Risk Management Plan. Seite 12

Cybersicherheit - Supply Chain Risk Management ID.SC-4: Suppliers and partners are monitored to confirm that they have satisfied their obligations as required. Reviews of audits, summaries of test results, or other equivalent evaluations of suppliers/providers are conducted. ID.SC-5: Response and recovery planning and testing are conducted with critical suppliers/providers Seite 13

Cybersicherheit - Prüfungserfahrungen Im Wesentlichen nichts Neues aus Prüfersicht, Prüfung von Informationsund Cybersicherheit ist weitgehend dasselbe Eine bedeutsame Herausforderung sind die sich rapide enwickelnden technischen und prozessualen Möglichkeiten der Angreifer und Verteidiger Defizite in Organisation, Technik und Prozessen behindern in vielen Häusern die Verteidigung gegen Cyberangriffe Seite 14

Cybersicherheit - Prüfungserfahrungen Wesentliche Feststellungen werden nach wie vor auch bei Cybersicherheits-Prüfungen in folgenden Themengebieten getroffen: Informationsrisikomanagement Security Information and Event Management (SIEM) Auslagerung Business Continuity Management Benutzerrechte Anwendungsentwicklung und Individuelle Datenverarbeitung Seite 15

Exemplarische Ausführungen zu Fokusthemen - Three Lines of Defence (Folie vom 07.10.2015) 1st Line of Defence Operatives Management und internes Kontrollsystem 2nd Line of Defence Unabhängige Funktion (z. B. CISO) Setzung von Regeln Von der 1st Line unabhängige Überwachung der Einhaltung der Regeln Risikomanagement 3rd Line of Defence Interne Revision prozessunabhängige Überprüfung Seite 16 Update 2017: Nach wie vor relevant

Exemplarische Ausführungen zu Fokusthemen - Facetten zum IT-Sicherheitsmanagement (Folie vom 07.10.2015) Keine ausreichend unabhängige IT-Sicherheitsfunktion Mangelhafte Governance zu Firewall-Regeln Keine ausreichenden Penetrationstests für IT-Systeme Unzureichende Verschlüsselung vertraulicher Daten Unsystematisches Schwachstellenmanagement (Vulnerability Scans) Mangelnde Übersicht zu IT-Systemen und deren Konfiguration (CMDB) Unsystematische Maßnahmen zur Data Leakage Prevention Unzureichende Behandlung von Cloud Computing Seite 17 Update 2017: Nach wie vor relevant

Cloud Computing Seite 18 Caspar David Friedrich: Der Wanderer über dem Nebelmeer

Cloud Computing Aufsichtliche Vorgaben Einige Cloud Computing Lösungen (z. B. on-premise private cloud) sind gar keine Auslagerung. Es gelten die üblichen Regelungen zur Informationssicherheit. Viele Cloud Computing Lösungen (z. B. on-premise private cloud (managed), offpremise private cloud, public cloud, hybrid cloud) sind selbstverständlich Auslagerungen. Daher gelten neben den üblichen Regelungen zur Informationssicherheit auch die Regelungen zu Auslagerung. Das BSI veröffentlichte explizite Anforderungen an Cloud-Dienste: Anforderungskatalog Cloud Computing (C5) Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten: https://www.bsi.bund.de/de/themen/digitalegesellschaft/cloudcomputing/anforder ungskatalog/anforderungskatalog_node.html Seite 19

Cloud Computing Herausforderungen Viele Herausforderungen bei Cloud-Diensten sind unabhängig davon, ob diese ausgelagert sind oder nicht Ist das spezifische Know-How samt Erfahrung zur Virtualisierung (z. B. für virtuelle Netzwerke) in angemessenem Umfang intern vorhanden? Kann die zusätzliche Komplexität aus der Virtualisierung nahezu sämtlicher Systemebenen angemessen beherrscht werden? Wie ist die Mandantentrennung gewährleistet? Wie berücksichtigt die Interne Revision Cloud Computing? Können die Risiken aus der Wertschöpfungs- und Lieferkette angemessen gesteuert werden (Supply Chain Risk Management)? Seite 20

Cloud Computing Transparenz des Cloud Anbieters Wo? In welchem Land und an welchem Ort liegen meine Daten physisch bzw. können meine Daten aus Vertragssicht liegen? Wie kann ich das verifizieren? Wer? Welche Menschen greifen lesend/ schreibend/ administrierend auf meine Daten zu? In welchem Land arbeiten diese Menschen? Dienstleister des Cloud Anbieters? Wie? Nach welchen Arbeitsabläufen (Entwicklung, Betrieb, Datenmanagement) werden meine Daten in der Cloud verarbeitet? Welche Schlüsselkontrollen sind in diese Arbeitsabläufe integriert? Kann das Institut bzw. die Aufsicht diese Arbeitsabläufe und Schlüsselkontrollen (auch bei Dienstleistern des Cloud Anbieters) ungehindert vor Ort prüfen? Werden Rechtsrisiken bei Datenverarbeitung im europäischen und außereuropäischen Ausland angemessen gesteuert (Durchsetzbarkeit)? Seite 21

Zusammenfassung Seite 22

Kontakt Jörg Bretz Deutsche Bundesbank Hauptverwaltung Frankfurt Referat Bankgeschäftliche Prüfungen Taunusanlage 5 60329 Frankfurt Seite 23

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback