Benutzerberechtigungsmanagement – BAIT – Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

 

Im folgenden Informationsblog erhalten Sie einen Überblick zum Benutzerberechtigungsmanagement – BAIT:

  • Anforderungen an das Verfahrensmanagement
  • Genehmigungs- und Kontrollprozesse im Benutzerberechtigungsmanagement
  • Einrichten von Prozessen zum Benutzerberechtigungsmanagement
  • Rezertifizierung

 

Benutzerberechtigungsmanagement - BAIT

 

Benutzerberechtigungsmanagement – BAIT

Ein Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.

Das Benutzerberechtigungsmanagement hat die Anforderungen nach AT 4.3.1 Tz. 2,AT 7.2 Tz. 2, sowie BTO Tz. 9 der MaRisk zu erfüllen. Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest.

Berechtigungskonzepte haben die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) sicherzustellen, die Funktionstrennung zu wahren und Interessenskonflikte des Personals zu vermeiden.Nicht personalisierte Berechtigungen müssen jederzeit zweifelsfrei einer handelnden Person (möglichst automatisiert) zuzuordnen sein.Abweichungen in begründeten Ausnahmefällen und die hieraus resultierenden Risiken sind zu genehmigen und zu dokumentieren.

 

Benutzerberechtigungsmanagement – BAIT – Verfahrensmanagement

Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben des Berechtigungskonzepts eingehalten werden. Dabei ist die fachlich verantwortliche Stelle angemessen einzubinden, so dass sie ihrer fachlichen Verantwortung nachkommen kann.

Bei der Überprüfung, ob die eingeräumten Berechtigungen weiterhin benötigt werden und ob diese den Vorgaben des Berechtigungskonzepts entsprechen (Rezertifizierung), sind die für die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen zuständigen Kontrollinstanzen mit einzubeziehen.

Die Einrichtung, Änderung, Deaktivierung sowie Löschung von Berechtigungen und die Rezertifizierung sind nachvollziehbar und auswertbar zu dokumentieren.

 

Benutzerberechtigungsmanagement – BAIT – Einrichten von Prozessen

Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten, die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden.

Durch begleitende technisch-organisatorische Maßnahmen ist einer Umgehung der Vorgaben der Berechtigungskonzepte vorzubeugen. Eine Benutzerberechtigungsmanagement – BAIT muß auch eine Befristung der eingeräumten Berechtigungen vorsehen.

Berechtigungen können sowohl für personalisierte, für nicht personalisierte als auch für technische Benutzer vorliegen. Das Benutzerberechtigungsmanagement – BAIT muß daher auch die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen umfassen. Grundlage hierfür ist jeweils die Umsetzung des Berechtigungsantrags im Zielsystem.

 

BenutzerberechtigungsmanagementBAIT – Rezertifizierung

Fällt im Rahmen der Rezertifizierung auf, dass außerhalb des vorgeschriebenen Verfahrens Berechtigungen eingeräumt wurden, so werden diese gemäß der Regelverfahren zur Einrichtung, Änderung und Löschung von Berechtigungen entzogen.

Die übergeordnete Verantwortung für die Prozesse zur Protokollierung und Überwachung von Berechtigungen wird einer Stelle zugeordnet, die unabhängig vom berechtigten Benutzer oder dessen Organisationseinheit ist. Aufgrund weitreichender Eingriffsmöglichkeiten privilegierter Benutzer wird das Institut insbesondere für deren Aktivitäten angemessene Prozesse zur Protokollierung und Überwachung einrichten. Technisch-organisatorische Maßnahmen hierzu sind beispielsweise:

  • Auswahl angemessener Authentifizierungsverfahren
  • Implementierung einer Richtlinie zur Wahl sicherer Passwörter
  • automatischer passwortgesicherter Bildschirmschoner
  • Verschlüsselung von Daten
  • eine manipulationssichere Implementierung der Protokollierung
  • Maßnahmen zur Sensibilisierung der Mitarbeiter.

 

BAIT – Neue Anforderungen an das IT-Sicherheitsmanagement

Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Aktuelle Informationen zu den BAIT sowie zum Benutzerberechtigungsmanagement – BAIT finden Sie direkt in unserem Informationsblog BAIT.

Benutzerberechtigungsmanagement – BAIT

One thought on “Benutzerberechtigungsmanagement – BAIT

Schreibe einen Kommentar