Benutzerberechtigungsmanagement – BAIT
Welche Anforderungen sind für das Benutzerberechtigungsmanagement – BAIT zu beachten? Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:
- IT-Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- Benutzerberechtigungsmanagement
- IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
- IT-Betrieb (inkl. Datensicherung)
- Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Benutzerberechtigungsmanagement – BAIT
Ein Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.
Das Benutzerberechtigungsmanagement hat die Anforderungen nach AT 4.3.1 Tz. 2,AT 7.2 Tz. 2, sowie BTO Tz. 9 der MaRisk zu erfüllen. Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest.
Berechtigungskonzepte haben die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) sicherzustellen, die Funktionstrennung zu wahren und Interessenskonflikte des Personals zu vermeiden.Nicht personalisierte Berechtigungen müssen jederzeit zweifelsfrei einer handelnden Person (möglichst automatisiert) zuzuordnen sein.Abweichungen in begründeten Ausnahmefällen und die hieraus resultierenden Risiken sind zu genehmigen und zu dokumentieren.
Benutzerberechtigungsmanagement – BAIT – Verfahrensmanagement
Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben des Berechtigungskonzepts eingehalten werden. Dabei ist die fachlich verantwortliche Stelle angemessen einzubinden, so dass sie ihrer fachlichen Verantwortung nachkommen kann.
Bei der Überprüfung, ob die eingeräumten Berechtigungen weiterhin benötigt werden und ob diese den Vorgaben des Berechtigungskonzepts entsprechen (Rezertifizierung), sind die für die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen zuständigen Kontrollinstanzen mit einzubeziehen.
Die Einrichtung, Änderung, Deaktivierung sowie Löschung von Berechtigungen und die Rezertifizierung sind nachvollziehbar und auswertbar zu dokumentieren.
Benutzerberechtigungsmanagement – BAIT – Einrichten von Prozessen
Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten,die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden.
Durch begleitende technisch-organisatorische Maßnahmen ist einer Umgehung der Vorgaben der Berechtigungskonzepte vorzubeugen. Eine mögliche Nutzungsbedingung ist die Befristung der eingeräumten Berechtigungen.
Berechtigungen können sowohl für personalisierte, für nicht personalisierte als auch für technische Benutzer vorliegen.Die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen umfassen jeweils die Umsetzung des Berechtigungsantrags im Zielsystem.
Benutzerberechtigungsmanagement – BAIT – Rezertifizierung
Fällt im Rahmen der Rezertifizierung auf, dass außerhalb des vorgeschriebenen Verfahrens Berechtigungen eingeräumt wurden, so werden diese gemäß der Regelverfahren zur Einrichtung, Änderung und Löschung von Berechtigungen entzogen.
Die übergeordnete Verantwortung für die Prozesse zur Protokollierung und Überwachung von Berechtigungen wird einer Stelle zugeordnet, die unabhängig vom berechtigten Benutzer oder dessen Organisationseinheit ist.Aufgrund weitreichender Eingriffsmöglichkeiten privilegierter Benutzer wird das Institut insbesondere für deren Aktivitäten angemessene Prozesse zur
Protokollierung und Überwachung einrichten. Technisch-organisatorische Maßnahmen hierzu sind beispielsweise:
- Auswahl angemessener Authentifizierungsverfahren
- Implementierung einer Richtlinie zur Wahl sicherer Passwörter
- automatischer passwortgesicherter Bildschirmschoner
- Verschlüsselung von Daten
- eine manipulationssichere Implementierung der Protokollierung
- Maßnahmen zur Sensibilisierung der Mitarbeiter.
BAIT – Neue Anforderungen an das IT-Sicherheitsmanagement
Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:
IT-Governance
Informationsrisikomanagement
Informationssicherheitsmanagement
Benutzerberechtigungsmanagement
IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
IT-Betrieb (inkl. Datensicherung)
Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Aktuelle Informationen zu den BAIT finden Sie direkt in unserem Informationsblog BAIT.
BAIT, Benutzerberechtigungen - IT-Aufsicht, Benutzerberechtigungsmanagement