Services
IKT-Sicherheit
Mindeststandards der FMA
Seit Mai 2018 veröffentlicht die FMA Leitfäden zur Informations- und Kommunikationstechnologie-Sicherheit – teilweise basierend auf den EBA-Leitlinien für die IKT-Risikobewertung im Rahmen des SREP und konkretisiert grundlegende Anforderungen für Kredit-, Zahlungs- und E-Geldinstitute, Wertpapierfirmen und Verwaltungsgesellschaften
Die FMA bietet mit den vorliegenden Leitfäden eine Orientierungshilfe zu Ausgestaltung, Anforderungen und Vorkehrungen an die IKT-Sicherheit. Es werden die folgenden Themen behandelt:
- IKT-Strategie: Die Geschäftsführung definiert und überwacht IKT-Richtlinien mit folgendem Mindestinhalt: IKT-Zielarchitektur, Zuständigkeiten, Rollen und Aufgaben, Auslagerungsaspekte, Notfallmanagement und Aussagen zu Eigenentwicklungen
- IKT-Governance: Die Verpflichteten implementieren Prozesse zur Identifikation, Bewertung, Steuerung und Überwachung der wesentlichen IKT-Risiken und evaluieren diese laufend. Es sind klare Abgrenzungen der Rollen und Verantwortlichkeiten für Identifikation, Beurteilung, Monitoring, Minimierung, Reporting und Beaufsichtigung der Risiken sowie eine angemessene Ressourcenausstattung vorhanden.
- Sicherheitsrichtlinien: Institute definieren die reale Betroffenheit, den Schutzbedarf und das anzustrebende Sicherheitsniveau von jenen Daten, die IKT Risiken ausgesetzt sind. Der organisatorisch unabhängige
Informationssicherheitsbeauftragte überwacht die Einhaltung der Vorgaben und dient als Ansprechperson für intern
und externe Dritte. - Informationsrisiko- und sicherheitsmanagement/Cyber-Sicherheit: Institute identifizieren die Schwachstellen
in ihren Systemen, ergreifen Maßnahmen zur Schwachstellenbeseitigung und überprüfen regelmäßig deren Wirksamkeit (Überprüfungen des Netzwerks und des Firewall-Logging durch Penetrationstests oder Virenscanner) um den effektiven Schutz vor Schadprogrammen („Malware“), Datendiebstahl und speziell auch Cyber-Risiken zu gewährleisten. - Benutzerberechtigungen
- IKT-Projekte, Anwendungsentwicklung und zugekaufte Software
- IKT-Betrieb und Datenintegrität: Der Ansatz der Ermittlung, Messung und Minderung des Datenintegrationsrisikos ist schriftlich festgehalten. Das Inventar der IKT-Komponenten wird einem Lebenszyklusmanagement unterzogen. Störungsfälle werden erfasst, bewertet und priorisiert behandelt.
- IKT-Auslagerungen
- Verfügbarkeit und Kontinuität/ Notfallmanagement: Ein Koordinierungsgremium, dem Personen aus verschiedenen Bereichen angehören, hilft bei der Umsetzung des Notfallmanagements. Regelmäßige Notfallübungen überprüfen, ob eine rechtzeitige Wiederherstellung nach Betriebsstörungen gewährleistet werden kann.
Festgestellte Mängel in der IKT-Sicherheit können sich bei Kreditinstituten auf den SREP-Score auswirken.
Weitere IKT-Standards
Empfehlungen der Aufsicht:
- SO 27001: Aufbau eines Informationssicherheitssystems
- ITIL & CoBIT: IT-Service-organisation und Schnittstelle zum Risikomanagement
- BSI-Grundschutz bzw. Österr. IT-Sicherheitshandbuch: Kontrollausgestaltung zur Abwehr von Bedrohungen
IKT-Sicherheit Produktblatt
Anforderungen an das IKT-Management
- Einrichtung detaillierter Prozess- und Führungsstrukturen der IKT-Landschaft
- Festlegung der strategischen Entwicklung, des IKT-Aufbaus und der IKT-Ablauforganisation inkl. der IKT-Zielarchitektur
- Implementierung eines zyklischen Prozesses zur Identifikation und Beseitigung von Schwachstellen
- Festlegung und Dokumentation von regelmäßigen Penetrationstests & Virenscans
- Erstellung einer zentralen Informationssicherheitsrichtlinie sowie genauer themenspezifischer Richtlinien
- Entwurf eines schriftlichen Rahmenwerkes für die Minderung des Datenintegritätsrisikos
- Erstellung eines Rahmenwerkes zur Identifikation, Messung und Begrenzung des Verfügbarkeits- und Kontinuitätsrisikos
- Implementierung von Strategien und Maßnahmen zur Notfallvorsorge, -bewältigung und -nachsorge.
- Festlegung von Kriterien, was eine wesentliche IKT-Auslagerung iSd § 25 Abs 2 BWG darstellt
- Durchführung von Risikoanalysen und -bewertungen (nach jeder Änderung der Rahmenbedingungen)
Wir unterstützen Sie mit diesen Leistungen beim Thema IKT Sicherheit
|
|
|
|
|
|