IKT-Sicherheit

Die FMA bietet mit den vorliegenden Leitfäden eine Orientierungshilfe zu Ausgestaltung, Anforderungen und Vorkehrungen an die IKT-Sicherheit. Es werden die folgenden Themen behandelt:

• IKT-Strategie: Die Geschäftsführung definiert und überwacht IKT-Richtlinien mit folgendem Mindestinhalt: IKT-Zielarchitektur, Zuständigkeiten, Rollen und Aufgaben, Auslagerungsaspekte, Notfallmanagement und Aussagen zu Eigenentwicklungen
• IKT-Governance: Die Verpflichteten implementieren Prozesse zur Identifikation, Bewertung, Steuerung und Überwachung der wesentlichen IKT-Risiken und evaluieren diese laufend. Es sind klare Abgrenzungen der Rollen und Verantwortlichkeiten für Identifikation, Beurteilung, Monitoring, Minimierung, Reporting und Beaufsichtigung der Risiken sowie eine angemessene Ressourcenausstattung vorhanden.
  
• Sicherheitsrichtlinien: Institute definieren die reale Betroffenheit, den Schutzbedarf und das anzustrebende Sicherheitsniveau von jenen Daten, die IKT Risiken ausgesetzt sind. Der organisatorisch unabhängige
  Informationssicherheitsbeauftragte überwacht die Einhaltung der Vorgaben und dient als Ansprechperson für intern
  und externe Dritte.
• Informationsrisiko- und sicherheitsmanagement/Cyber-Sicherheit: Institute identifizieren die Schwachstellen
  in ihren Systemen, ergreifen Maßnahmen zur Schwachstellenbeseitigung und überprüfen regelmäßig deren Wirksamkeit (Überprüfungen des Netzwerks und des Firewall-Logging durch Penetrationstests oder Virenscanner) um den effektiven Schutz vor Schadprogrammen („Malware“), Datendiebstahl und speziell auch Cyber-Risiken zu gewährleisten.
• Benutzerberechtigungen
• IKT-Projekte, Anwendungsentwicklung und zugekaufte Software
• IKT-Betrieb und Datenintegrität: Der Ansatz der Ermittlung, Messung und Minderung des Datenintegrationsrisikos ist schriftlich festgehalten. Das Inventar der IKT-Komponenten wird einem Lebenszyklusmanagement unterzogen. Störungsfälle werden erfasst, bewertet und priorisiert behandelt.
• IKT-Auslagerungen
• Verfügbarkeit und Kontinuität/ Notfallmanagement: Ein Koordinierungsgremium, dem Personen aus verschiedenen Bereichen angehören, hilft bei der Umsetzung des Notfallmanagements. Regelmäßige Notfallübungen überprüfen, ob eine rechtzeitige Wiederherstellung nach Betriebsstörungen gewährleistet werden kann.
  

Festgestellte Mängel in der IKT-Sicherheit können sich bei Kreditinstituten auf den SREP-Score auswirken.

Weitere IKT-Standards

Empfehlungen der Aufsicht:

• SO 27001: Aufbau eines Informationssicherheitssystems
• ITIL & CoBIT: IT-Service-organisation und Schnittstelle zum Risikomanagement
• BSI-Grundschutz bzw. Österr. IT-Sicherheitshandbuch: Kontrollausgestaltung zur Abwehr von Bedrohungen

Anforderungen an das IKT-Management

• Einrichtung detaillierter Prozess- und Führungsstrukturen der IKT-Landschaft
• Festlegung der strategischen Entwicklung, des IKT-Aufbaus und der IKT-Ablauforganisation inkl. der IKT-Zielarchitektur
• Implementierung eines zyklischen Prozesses zur Identifikation und Beseitigung von Schwachstellen
• Festlegung und Dokumentation von regelmäßigen Penetrationstests & Virenscans
• Erstellung einer zentralen Informationssicherheitsrichtlinie sowie genauer themenspezifischer Richtlinien
• Entwurf eines schriftlichen Rahmenwerkes für die Minderung des Datenintegritätsrisikos
• Erstellung eines Rahmenwerkes zur Identifikation, Messung und Begrenzung des Verfügbarkeits- und Kontinuitätsrisikos
• Implementierung von Strategien und Maßnahmen zur Notfallvorsorge, -bewältigung und -nachsorge.
• Festlegung von Kriterien, was eine wesentliche IKT-Auslagerung iSd § 25 Abs 2 BWG darstellt
• Durchführung von Risikoanalysen und -bewertungen (nach jeder Änderung der Rahmenbedingungen)

Wir unterstützen Sie mit diesen Leistungen beim Thema IKT Sicherheit