Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
Internes Kontroll System (IKS) im Bankenumfeld
Seite 1ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Kurt Niederbergerseit 1998 bei der Luzerner KantonalbankLeiter Fachstelle für Informations- und IT-SicherheitInformatikprojektleiter mit eidg. FAMaster of Advanced Studies Information Security
Internes Kontroll System (IKS) im Bankenumfeld
Seite 2ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Einleitung
WARUM...
aufgrund gesetzlicher und aufsichtsrechtlicher Anforderungen
zur Sicherstellung der elektronischen Geschäftsführung
zur Sicherstellung der Verfügbarkeit, Integrität, Vertraulichkeit undVerbindlichkeit (Daten; Anwendungen; Systeme)
zur Verhinderung von Betriebsenpässen und Schäden
zum Schutz gegen unbefugte oder zufällige Vernichtung von Datenzum Schutz gegen zufälligen Verlust, technische Fehler, Fälschungzum Schutz gegen Diebstahl oder widerrechtliche Verwendungzum Schutz gegen unbefugtes Ändern, Kopieren oder Zugreifen
...
2
Internes Kontroll System (IKS) im Bankenumfeld
Seite 3ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
After Hour Seminar Ziele
• Sicherheitsmanagement(Risikoanalyse mit Gefährdungskatalog; Kontrollaktivitäten festlegen)
• Internes Kontroll System (IKS) umsetzen top(technische und organisatorische Massnahmen, persönliches Fehlverhalten)
• Messziele / Metriken festlegen(Informationsbeschaffung, Rapportierung)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 4ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Integrale Sicherheit
Datenschutz
Gebäude-schutz
Informations-Sicherheit
Arbeits-sicherheit
Personen-schutz
Krisen-organisation
ICT-Sicherheit
Versicherungs-schutz
Compliance
Katastrophen-organisation
Richtlinien
StandardsSensibili-sierung
Gesetz
3
Internes Kontroll System (IKS) im Bankenumfeld
Seite 5ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Integrale Sicherheit(Sicherheitsregelwerk)
PhysischeSicherheit
Informations- und IT-Sicherheit
Krisen- undKatastrophenorganisation
PersonenschutzSensibilisierung
GebäudeschutzCompliance
VersicherungsschutzArbeitssicherheit
DatenschutzCompliance
Informationsschutz
Business ContinuityManagement (BCM)
Business ContinuityPlanning (BCP)
Informatik-Katastrophenvorsorge
(IKV)
GrundschutzSensibilisierung
Sicherheitsorganisation
Internes Kontroll System (IKS) im Bankenumfeld
Seite 6ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Sicherheitsmanagement
Sicherheitspolitik
ISMS Management Review
Risikoanalyse
Massnahmenerhöhter Schutz
MassnahmenGrundschutz
Massnahmenplanen
Massnahmenumsetzen
Massnahmenüberwachen
Massnahmenüberprüfen
Plan
Do
Check
Act
Ablauf gemäss ISMS ISO 27001
Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse
3.3.3
3.3.4 3.3.6
3.3.5
Ablauf gemäss Sicherheitsstandard Risikoanalyse
3.3.2
3.3.7.1
3.3.7.2
3.3.7.3
3.3.7.4
4
Internes Kontroll System (IKS) im Bankenumfeld
Seite 7ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Risikoanalyse
Internes Kontroll System (IKS) im Bankenumfeld
Seite 8ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Risikoanalyse
E Z3 Z3 Z2 Z1 Z1 Z1
D Z3 Z3 Z2 Z2 Z1 Z1
C Z3 Z3 Z3 Z2 Z1 Z1
B Z3 Z3 Z3 Z3 Z2 Z1
A Z3 Z3 Z3 Z3 Z3 Z1
1 2 3 4 5 6
Tabelle: Zonenzuordnung
Ein
trete
ns-
Wa
hrs
ch
ein
lich
ke
it
Schadenpotential
5
Internes Kontroll System (IKS) im Bankenumfeld
Seite 9ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Internes Kontroll System (IKS)Kontrollaktivtäten festlegen
Schlüsselrisiko 9: Vorsätzliche Handlungen (Viren, Würmer und Trojaner)
Kontrollaktivität A
Welche Massnahme zur Risikoreduzierung
wurde etabliert?
Wer ist für die Mass-nahme verantwortlich?
Welches Ziel verfolgt die beschriebene
Massnahme?
In welchem Rhythmus erfolgt die Massnahme?
Was für Ressourcen sind jährlich geplant?
Zu welchen Ergebnissen führte die
Massnahme?
Gibt es einen zusätzlichen Handlungsbedarf?
Kontrollaktivitäten für Schlüsselrisiken aus Risikoinventur
Bestehen Versicherungen zu obigem Schlüsselrisiko? Falls ja, bitten wir Sie folgende Angaben zu
machen: Versicherungsgesellschaft, -summe, -dauer sowie versichertes Objekt
G 5.021 Trojanische Pferde
G 5.023 Computer Viren
G 5.043 Maktro-Viren
Sicherstellung eines aktuellen Virenschutzes
Prozess zur Entfernung von Viren, Würmer und
Vorname Name
Aktueller Virenschutz (Datfiles; Scanengine;
Software Release)
monatlich / täglich
durch Isolierung und Entfernung von Viren, Würmer,
Trojaner, usw. eine Verbreitung verhindern
Wie wirksam ist die getroffenen Massnahme? adäquat
verbesserungsbedürftig
völlig unzureichend
Internes Kontroll System (IKS) im Bankenumfeld
Seite 10ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Sicherheitsmanagement
Sicherheitspolitik
ISMS Management Review
Risikoanalyse
Massnahmenerhöhter Schutz
MassnahmenGrundschutz
Massnahmenplanen
Massnahmenumsetzen
Massnahmenüberwachen
Massnahmenüberprüfen
Plan
Do
Check
Act
Ablauf gemäss ISMS ISO 27001
Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse
3.3.3
3.3.4 3.3.6
3.3.5
Ablauf gemäss Sicherheitsstandard Risikoanalyse
3.3.2
3.3.7.1
3.3.7.2
3.3.7.3
3.3.7.4
6
Internes Kontroll System (IKS) im Bankenumfeld
Seite 11ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Internes Kontroll System (IKS)
Sicherheitspolitik
ISMS Management Review
Risikoanalyse
Massnahmenerhöhter Schutz
MassnahmenGrundschutz
Massnahmenplanen
Massnahmenumsetzen
Massnahmenüberwachen
Massnahmenüberprüfen
Plan
Do
Check
Act
Ablauf gemäss ISMS ISO 27001
Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse
3.3.3
3.3.4 3.3.6
3.3.5
Ablauf gemäss Sicherheitsstandard Risikoanalyse
3.3.2
3.3.7.1
3.3.7.2
3.3.7.3
3.3.7.4
Internes Kontroll System (IKS) im Bankenumfeld
Seite 12ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Internes Kontroll System (IKS)
Sicherheitspolitik
ISMS Management Review
Risikoanalyse
Massnahmenerhöhter Schutz
MassnahmenGrundschutz
Massnahmenplanen
Massnahmenumsetzen
Massnahmenüberwachen
Massnahmenüberprüfen
Plan
Do
Check
Act
Ablauf gemäss ISMS ISO 27001
Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse
3.3.3
3.3.4 3.3.6
3.3.5
Ablauf gemäss Sicherheitsstandard Risikoanalyse
3.3.2
3.3.7.1
3.3.7.2
3.3.7.3
3.3.7.4 IKS
7
Internes Kontroll System (IKS) im Bankenumfeld
Seite 13ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Internes Kontroll System (IKS)Kontrollprozess
• Überwachung durch Management- Verantwortung VR und GL
• Kontrollkultur und Risikophilosophie• Risikoerkennung und Beurteilung• Kontrollaktivitäten• Feststellungen und Mängel• Korrekturmassnahmen• Information und Kommunikation
Internes Kontroll System (IKS) im Bankenumfeld
Seite 14ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Internes Kontroll System (IKS)Kontrollaktivtäten bearbeiten
Definition Umfang Kontrolle
Identifikation der Risiken
Bewertung der Risiken
Bestimmung der Ziele und Auswahl
Steuerungsmassnahmen zur
Erreichung der Kontrollziele
Durchführung der Kontrollen
Review der Effektifität
Review der Restrisiken und
des akzeptablen Risikos
Implementierung Verbesserungen
Ergeifen Korrekturmassnahmen
Ergreifen Vorbeugungsmassnahmen
Kommunikation Ergebnisse
Kommunikation Massnahmen
8
Internes Kontroll System (IKS) im Bankenumfeld
Seite 15ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Internes Kontroll System (IKS)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 16ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Internes Kontroll System (IKS)Grenzen
• Fehleinschätzung• Funktionsstörungen• Übertriebene oder umgangene Kontrolle• Kollusion• Kosten - Nutzen - Verhältnis• Einsatz von Hilfsmitteln• Gesunder Menschen Verstand (GMV)
9
Internes Kontroll System (IKS) im Bankenumfeld
Seite 17ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Sicherheitskonzept und Risikomanagement (Kontrollen)
Politiken (jährlich oder bei Bedarf überarbeiten)Weisungen und Richtlinien (Erstellen, Richtigkeit prüfen)Risikoeinschätzung (jährlich mit Verfahren)Checkliste IKS (aktuell halten und nachführen)Risikolandkarte (aktuell halten und nachführen)Audits (je nach Bedarf festlegen und umsetzen)Security Approval (Projektmanagement)Sensibilisierung (e-Learning, Kampagnen, usw.)Tool IKS (Nachvollziehbarkeit IKS)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 18ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Sicherheitskonzept und Risikomanagement (Messziele/Metriken)
Risiko-analyse
10
Internes Kontroll System (IKS) im Bankenumfeld
Seite 19ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Sicherheitskonzept und Risikomanagement (Messziele/Metriken)
Sensibili-sierung
WBT für alle und Identität mit Geschäft (Einstieg)
Umfrage mit Wettbewerb und Auswertung pro Themen
Internes Kontroll System (IKS) im Bankenumfeld
Seite 20ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Identifizierung und Authentisierung (Kontrollen)
Passwort (Einhaltung, Vorgaben Vergabe, Rücksetzung, usw.)
RemoteControl Interne und Externe (Prozess Vergabe, Einhaltung)
SWIFT Net Security (Registration und Kontrolle Benutzer)
Device Control (Prozesse Neue; Mutationen; Shadowing)
11
Internes Kontroll System (IKS) im Bankenumfeld
Seite 21ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Identifizierung und Authentisierung (Messziele/Metriken)
DeviceControl
Berechtigungsvergaben auf Devices (Link)
Shadowing pro Benutzer auf Devices (Link)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 22ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Zugriffskontrolle (Kontrollen)
Rollenkonzepte (Datenstrukturen, Berechtigungsgruppen,Administration, Überwachung Rollenmodell, monatliche Reports, usw.)
Firewall - Traffic (Erstellen und Kontrolle Matrix)
Prozessabläufe Berechtigungen (Eröffnen, Mutieren, Löschen)
12
Internes Kontroll System (IKS) im Bankenumfeld
Seite 23ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Zugriffskontrolle (Messziele/Metriken)
Monitoring
Berechtigungsvorgaben DetectionZugriff auf File-Server (Link)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 24ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Nachweisbarkeit von Transaktionen (Kontrollen)
Notusereinsätze (Einträge und Protokollierung, Audittrails)
Datenbankveränderungen (Produktive Systeme Audittrails)
13
Internes Kontroll System (IKS) im Bankenumfeld
Seite 25ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Nachweisbarkeit von Transaktionen (Messziele/Metriken)
Notuser
Vergleich Notuser mit Aufträgen und Bericht SLA
Internes Kontroll System (IKS) im Bankenumfeld
Seite 26ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Integrität und Authentizität (Kontrollen)
ICT-Grundschutzeinstellungen(Monitoring Einstellungen/Hardening Kontrolle)
Virenschutz(Aktualität, Vorfälle, Prozess Behebung, usw.)
Monitoring (Netzwerk, LOG's, usw.)
GoupPolicyManagementConsole (GPMC)
14
Internes Kontroll System (IKS) im Bankenumfeld
Seite 27ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Integrität und Authentizität (Messziele/Metriken)
Viren-schutz
Aktualität Client und Server (Zahlen) (Link)
Aktualität Client und Server (Grafik) (Link)
Vorfälle Beschreibung (Link)
Vorfälle Alarmierung (e-Mail) (Link)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 28ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Datenvertraulichkeit und Richtigkeit (Kontrollen)
Dateneinsicht(Prozesseinhaltung bei Vorfällen und Kontrollen, SensibilisierungUmgang mit Daten, Prozess Recovery mit Audittrail)
E-Mailüberwachung(Audits, Sensibilisierung Umgang mit IT-Sachmitteln)
Fachgerechte Vernichtung/Löschung(Datenlöschung gemäss Prozess, Kontrolle Vernichtung alte HW)
Überwachung CD Brennprotokolle(Kontrolle zentrale Brenner inkl. Protokolle gemäss Vorgaben)
15
Internes Kontroll System (IKS) im Bankenumfeld
Seite 29ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Datenvertraulichkeit und Richtigkeit (Messziele/Metriken)
E-MailÜberwachung
Einhaltung Weisungen Umgang mit E-Mail (Link)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 30ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Datenvertraulichkeit und Richtigkeit (Messziele/Metriken)
fachgerechtVernichtenLöschen
Kontrolle SW/HW Löschung u. Vernichtung
16
Internes Kontroll System (IKS) im Bankenumfeld
Seite 31ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Verfügbarkeit von IT-Systemen und Daten (Kontrollen)
Provider(Verträge, Audits Rechenzentrum, Netzwerk)
Informatik Katastrophen Vorsoge (IKV)(Abstimmung Organisaiton, Einbindung Businessverantwortliche,Sicherstellung Geschäftsfähigkeit, Aufbau und PflegeSicherheitsdispositiv)
Change ICT Infrastruktur(Changelisten, Patchmanagement)
Warnsysteme CERT(Früherkennung Risiken, KnowHow Aufbau, usw.)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 32ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Verfügbarkeit von IT-Systemen und Daten (Messziele/Metriken)
Provider
SAS70 Berichte(Statement on Auditing Standards No. 70: ServiceOrganizations)
17
Internes Kontroll System (IKS) im Bankenumfeld
Seite 33ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Verfügbarkeit von IT-Systemen und Daten (Messziele/Metriken)
ChangeIT-Infr.
Changemangement (Link)
Patchmanagement (Link)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 34ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Informations- und IT-Sicherheit
λ Verfügbarkeit von IT-Systemen und Daten (Messziele/Metriken)
WarnsystemCERT
MELANI (Closed Usergruppe)(MELde- und ANalysestelle Informationssicherung)
18
Internes Kontroll System (IKS) im Bankenumfeld
Seite 35ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
IKS im Bereich Phyische Sicherheit
λ Personenschutz(Sicherheitsorganisation; Notfalldispositiv; Sicherheitsschulung;Fluchtweg-Einrichtungen)
λ Gebäudeschutz und Wertschutz(Zonenkonzept; Brandschutz; elektrische Anlagen:Schliessanlage; Zutrittskontrolle; Videoanlage; Wertbehältnisse; Bargeld)
λ Arbeitssicherheit und Gesundheitsschutz
Internes Kontroll System (IKS) im Bankenumfeld
Seite 36ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Rapportierungen / Metriken
Führungskontrollen (Link)
Bereich ICT Sicherheit (Link)
Bereich Physische Sicherheit (Link)
Berichterstattung Geschäftleitung
Metriken Darstellung (Vorlage/Variante) (Link)
19
Internes Kontroll System (IKS) im Bankenumfeld
Seite 37ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008
Zusammenfassung
• Sicherheitsmanagement(Risikoanalyse mit Gefährdungskatalog; Kontrollaktivitäten festlegen)
• Internes Kontroll System (IKS) umsetzen top(technische und organisatorische Massnahmen, persönliches Fehlverhalten)
• Messziele / Metriken festlegen(Informationsbeschaffung, Rapportierung)
Internes Kontroll System (IKS) im Bankenumfeld
Seite 38ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008