Internes Kontroll System (IKS) im Bankenumfeld

Seite 1ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Kurt Niederbergerseit 1998 bei der Luzerner KantonalbankLeiter Fachstelle für Informations- und IT-SicherheitInformatikprojektleiter mit eidg. FAMaster of Advanced Studies Information Security

Einleitung

WARUM...

aufgrund gesetzlicher und aufsichtsrechtlicher Anforderungen

zur Sicherstellung der elektronischen Geschäftsführung

zur Sicherstellung der Verfügbarkeit, Integrität, Vertraulichkeit undVerbindlichkeit (Daten; Anwendungen; Systeme)

zur Verhinderung von Betriebsenpässen und Schäden

zum Schutz gegen unbefugte oder zufällige Vernichtung von Datenzum Schutz gegen zufälligen Verlust, technische Fehler, Fälschungzum Schutz gegen Diebstahl oder widerrechtliche Verwendungzum Schutz gegen unbefugtes Ändern, Kopieren oder Zugreifen

After Hour Seminar Ziele

• Sicherheitsmanagement(Risikoanalyse mit Gefährdungskatalog; Kontrollaktivitäten festlegen)

• Internes Kontroll System (IKS) umsetzen top(technische und organisatorische Massnahmen, persönliches Fehlverhalten)

• Messziele / Metriken festlegen(Informationsbeschaffung, Rapportierung)

Integrale Sicherheit

Datenschutz

Gebäude-schutz

Informations-Sicherheit

Arbeits-sicherheit

Personen-schutz

Krisen-organisation

ICT-Sicherheit

Versicherungs-schutz

Compliance

Katastrophen-organisation

Richtlinien

StandardsSensibili-sierung

Gesetz

Integrale Sicherheit(Sicherheitsregelwerk)

PhysischeSicherheit

Informations- und IT-Sicherheit

Krisen- undKatastrophenorganisation

PersonenschutzSensibilisierung

GebäudeschutzCompliance

VersicherungsschutzArbeitssicherheit

DatenschutzCompliance

Informationsschutz

Business ContinuityManagement (BCM)

Business ContinuityPlanning (BCP)

Informatik-Katastrophenvorsorge

GrundschutzSensibilisierung

Sicherheitsorganisation

Sicherheitsmanagement

Sicherheitspolitik

ISMS Management Review

Risikoanalyse

Massnahmenerhöhter Schutz

MassnahmenGrundschutz

Massnahmenplanen

Massnahmenumsetzen

Massnahmenüberwachen

Massnahmenüberprüfen

Ablauf gemäss ISMS ISO 27001

Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse

3.3.4 3.3.6

Ablauf gemäss Sicherheitsstandard Risikoanalyse

3.3.7.1

3.3.7.2

3.3.7.3

3.3.7.4

Risikoanalyse

E Z3 Z3 Z2 Z1 Z1 Z1

D Z3 Z3 Z2 Z2 Z1 Z1

C Z3 Z3 Z3 Z2 Z1 Z1

B Z3 Z3 Z3 Z3 Z2 Z1

A Z3 Z3 Z3 Z3 Z3 Z1

1 2 3 4 5 6

Tabelle: Zonenzuordnung

Schadenpotential

Internes Kontroll System (IKS)Kontrollaktivtäten festlegen

Schlüsselrisiko 9: Vorsätzliche Handlungen (Viren, Würmer und Trojaner)

Kontrollaktivität A

Welche Massnahme zur Risikoreduzierung

wurde etabliert?

Wer ist für die Mass-nahme verantwortlich?

Welches Ziel verfolgt die beschriebene

Massnahme?

In welchem Rhythmus erfolgt die Massnahme?

Was für Ressourcen sind jährlich geplant?

Zu welchen Ergebnissen führte die

Massnahme?

Gibt es einen zusätzlichen Handlungsbedarf?

Kontrollaktivitäten für Schlüsselrisiken aus Risikoinventur

Bestehen Versicherungen zu obigem Schlüsselrisiko? Falls ja, bitten wir Sie folgende Angaben zu

machen: Versicherungsgesellschaft, -summe, -dauer sowie versichertes Objekt

G 5.021 Trojanische Pferde

G 5.023 Computer Viren

G 5.043 Maktro-Viren

Sicherstellung eines aktuellen Virenschutzes

Prozess zur Entfernung von Viren, Würmer und

Vorname Name

Aktueller Virenschutz (Datfiles; Scanengine;

Software Release)

monatlich / täglich

durch Isolierung und Entfernung von Viren, Würmer,

Trojaner, usw. eine Verbreitung verhindern

Wie wirksam ist die getroffenen Massnahme? adäquat

verbesserungsbedürftig

völlig unzureichend

Sicherheitsmanagement

Sicherheitspolitik

Risikoanalyse

Massnahmenplanen

Massnahmenumsetzen

3.3.4 3.3.6

3.3.7.1

3.3.7.2

3.3.7.3

3.3.7.4

Internes Kontroll System (IKS)

Sicherheitspolitik

Risikoanalyse

Massnahmenplanen

Massnahmenumsetzen

3.3.4 3.3.6

3.3.7.1

3.3.7.2

3.3.7.3

3.3.7.4

Sicherheitspolitik

Risikoanalyse

Massnahmenplanen

Massnahmenumsetzen

3.3.4 3.3.6

3.3.7.1

3.3.7.2

3.3.7.3

3.3.7.4 IKS

Internes Kontroll System (IKS)Kontrollprozess

• Überwachung durch Management- Verantwortung VR und GL

• Kontrollkultur und Risikophilosophie• Risikoerkennung und Beurteilung• Kontrollaktivitäten• Feststellungen und Mängel• Korrekturmassnahmen• Information und Kommunikation

Internes Kontroll System (IKS)Kontrollaktivtäten bearbeiten

Definition Umfang Kontrolle

Identifikation der Risiken

Bewertung der Risiken

Bestimmung der Ziele und Auswahl

Steuerungsmassnahmen zur

Erreichung der Kontrollziele

Durchführung der Kontrollen

Review der Effektifität

Review der Restrisiken und

des akzeptablen Risikos

Implementierung Verbesserungen

Ergeifen Korrekturmassnahmen

Ergreifen Vorbeugungsmassnahmen

Kommunikation Ergebnisse

Kommunikation Massnahmen

Internes Kontroll System (IKS)Grenzen

• Fehleinschätzung• Funktionsstörungen• Übertriebene oder umgangene Kontrolle• Kollusion• Kosten - Nutzen - Verhältnis• Einsatz von Hilfsmitteln• Gesunder Menschen Verstand (GMV)

IKS im Bereich Informations- und IT-Sicherheit

λ Sicherheitskonzept und Risikomanagement (Kontrollen)

Politiken (jährlich oder bei Bedarf überarbeiten)Weisungen und Richtlinien (Erstellen, Richtigkeit prüfen)Risikoeinschätzung (jährlich mit Verfahren)Checkliste IKS (aktuell halten und nachführen)Risikolandkarte (aktuell halten und nachführen)Audits (je nach Bedarf festlegen und umsetzen)Security Approval (Projektmanagement)Sensibilisierung (e-Learning, Kampagnen, usw.)Tool IKS (Nachvollziehbarkeit IKS)

λ Sicherheitskonzept und Risikomanagement (Messziele/Metriken)

Risiko-analyse

λ Sicherheitskonzept und Risikomanagement (Messziele/Metriken)

Sensibili-sierung

WBT für alle und Identität mit Geschäft (Einstieg)

Umfrage mit Wettbewerb und Auswertung pro Themen

λ Identifizierung und Authentisierung (Kontrollen)

Passwort (Einhaltung, Vorgaben Vergabe, Rücksetzung, usw.)

RemoteControl Interne und Externe (Prozess Vergabe, Einhaltung)

SWIFT Net Security (Registration und Kontrolle Benutzer)

Device Control (Prozesse Neue; Mutationen; Shadowing)

λ Identifizierung und Authentisierung (Messziele/Metriken)

DeviceControl

Berechtigungsvergaben auf Devices (Link)

Shadowing pro Benutzer auf Devices (Link)

λ Zugriffskontrolle (Kontrollen)

Rollenkonzepte (Datenstrukturen, Berechtigungsgruppen,Administration, Überwachung Rollenmodell, monatliche Reports, usw.)

Firewall - Traffic (Erstellen und Kontrolle Matrix)

Prozessabläufe Berechtigungen (Eröffnen, Mutieren, Löschen)

λ Zugriffskontrolle (Messziele/Metriken)

Monitoring

Berechtigungsvorgaben DetectionZugriff auf File-Server (Link)

λ Nachweisbarkeit von Transaktionen (Kontrollen)

Notusereinsätze (Einträge und Protokollierung, Audittrails)

Datenbankveränderungen (Produktive Systeme Audittrails)

λ Nachweisbarkeit von Transaktionen (Messziele/Metriken)

Notuser

Vergleich Notuser mit Aufträgen und Bericht SLA

λ Integrität und Authentizität (Kontrollen)

ICT-Grundschutzeinstellungen(Monitoring Einstellungen/Hardening Kontrolle)

Virenschutz(Aktualität, Vorfälle, Prozess Behebung, usw.)

Monitoring (Netzwerk, LOG's, usw.)

GoupPolicyManagementConsole (GPMC)

λ Integrität und Authentizität (Messziele/Metriken)

Viren-schutz

Aktualität Client und Server (Zahlen) (Link)

Aktualität Client und Server (Grafik) (Link)

Vorfälle Beschreibung (Link)

Vorfälle Alarmierung (e-Mail) (Link)

λ Datenvertraulichkeit und Richtigkeit (Kontrollen)

Dateneinsicht(Prozesseinhaltung bei Vorfällen und Kontrollen, SensibilisierungUmgang mit Daten, Prozess Recovery mit Audittrail)

E-Mailüberwachung(Audits, Sensibilisierung Umgang mit IT-Sachmitteln)

Fachgerechte Vernichtung/Löschung(Datenlöschung gemäss Prozess, Kontrolle Vernichtung alte HW)

Überwachung CD Brennprotokolle(Kontrolle zentrale Brenner inkl. Protokolle gemäss Vorgaben)

λ Datenvertraulichkeit und Richtigkeit (Messziele/Metriken)

E-MailÜberwachung

Einhaltung Weisungen Umgang mit E-Mail (Link)

λ Datenvertraulichkeit und Richtigkeit (Messziele/Metriken)

fachgerechtVernichtenLöschen

Kontrolle SW/HW Löschung u. Vernichtung

λ Verfügbarkeit von IT-Systemen und Daten (Kontrollen)

Provider(Verträge, Audits Rechenzentrum, Netzwerk)

Informatik Katastrophen Vorsoge (IKV)(Abstimmung Organisaiton, Einbindung Businessverantwortliche,Sicherstellung Geschäftsfähigkeit, Aufbau und PflegeSicherheitsdispositiv)

Change ICT Infrastruktur(Changelisten, Patchmanagement)

Warnsysteme CERT(Früherkennung Risiken, KnowHow Aufbau, usw.)

λ Verfügbarkeit von IT-Systemen und Daten (Messziele/Metriken)

Provider

SAS70 Berichte(Statement on Auditing Standards No. 70: ServiceOrganizations)

ChangeIT-Infr.

Changemangement (Link)

Patchmanagement (Link)

WarnsystemCERT

MELANI (Closed Usergruppe)(MELde- und ANalysestelle Informationssicherung)

IKS im Bereich Phyische Sicherheit

λ Personenschutz(Sicherheitsorganisation; Notfalldispositiv; Sicherheitsschulung;Fluchtweg-Einrichtungen)

λ Gebäudeschutz und Wertschutz(Zonenkonzept; Brandschutz; elektrische Anlagen:Schliessanlage; Zutrittskontrolle; Videoanlage; Wertbehältnisse; Bargeld)

λ Arbeitssicherheit und Gesundheitsschutz

Rapportierungen / Metriken

Führungskontrollen (Link)

Bereich ICT Sicherheit (Link)

Bereich Physische Sicherheit (Link)

Berichterstattung Geschäftleitung

Metriken Darstellung (Vorlage/Variante) (Link)

Zusammenfassung

• Sicherheitsmanagement(Risikoanalyse mit Gefährdungskatalog; Kontrollaktivitäten festlegen)

• Internes Kontroll System (IKS) umsetzen top(technische und organisatorische Massnahmen, persönliches Fehlverhalten)

• Messziele / Metriken festlegen(Informationsbeschaffung, Rapportierung)

Internes Kontroll System (IKS) im Bankenumfeld

Documents

{ IKS – Informations und Kommunikations-systeme Sicherheitsaspekte im WLAN

IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung

iks Thementag - IKS GmbH · iks Thementag: „Mehr Softwarequalität“ - Definitionen, Wünsche, Grenzen Seite 15 / 36 Qualitätsmodelle Qualitätsmerkmale definieren objektiv bestimmbare

GeschäftsprozessmanaGement IKs & rIsIKomanaGement It

DAS INTERNE KONTROLLSYSTEM (IKS) - alexandria.unisg.ch Studie_Broschüre... · Das Interne Kontrollsystem (IKS) dient als wichtiges Instrument in der Beurteilung und der Steuerung

Benchlearning Bericht Internes Community Management (blp15)

Weitere Informationen - BOC UK€¦ · Risikomanagement & IKS Etablierung des Risikomanagement Systems, effektives Management und Reporting für Risikomanagement und IKS Prozess-Governance

atmoMAG - Vaillant · Betrieb4 0020271930_02atmoMAGBetriebsanleitung 7 3.3 LED-Kontrollleuchte Funktion Bedeutung LED-Kontroll-leuchteleuchtet (blau) BrenneristinBetrieb LED-Kontroll-leuchteblinkt

IKS GmbH – Leistungssprektrum und Portfolio Industrie

NICHTFINANZIELLE BERICHT ERSTATTUNG - boeckler.de · IFRS International Financial Reporting Standards IKS Internes Kontrollsystem ILO International Labour Organization ISAE International

(VR 1) Programm 2020-2022€¦ · Kredit- und Debitorenmanagement (inkl. Inkasso) Produktesicherheit Wirksames Internes Kontrollsystem (IKS) Compliance Management . Individuelle Konsultationsgespräche

Internes curriculum geschichte eph

Hygiene-Selbst-Kontrolle (HSK) Hygiene-Selbst-Kontrolle ... · HYGIENE-INFO-MAIL Was beinhaltet das Hygiene-Selbst-Kontroll-Konzept? Das Hygiene-Selbst-Kontroll-Konzept beinhaltet

Kapitel 12 - Willkommen bei eval.at · PDF fileKapitel 12: Internes Audit – Management Review AUVA – BMVIT – Lebensministerium – WIFI Österreich Internes Audit Betriebsinternes

205192 Mondphasenkalender 2021 Kontroll - Moosburger KG

Internes Kontrollsystem des Rückerstattungsprozesses der ... · Ein existierendes und wirksames IKS schützt das Bundesvermögen, verhindert oder deckt Fehler und Unregelmässigkeiten

Rescue Engineering Internes Rechnungswesen Peter Stegmaier (Diplom-Betriebswirt FH) Rescue Engineering Internes Rechnungswesen 5. Semester

Neue Erwartungen an Ihr IKS Unser IKS-Fitness-Check ... · eue Erwartungen an Ihr IKS Unser IKS-Fitness-Check minimiert Risiken und gibt Ihnen einen Überblick 3 Nationale Aufsichtsbehörden

Internes Community Management - Rolle, Anforderungen, Fähigkeiten

Internes KontRollsystem und GRC · 2012. 10. 2. · Bonn Boston Maxim Chuprunov Handbuch SAP -Revision Internes KontRollsystem und GRC ®