Skip to main content

Benutzerberechtigungsmanagement – BAIT

Welche Anforderungen sind für das Benutzerberechtigungsmanagement – BAIT zu beachten? Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Benutzerberechtigungsmanagement - BAIT

 

Benutzerberechtigungsmanagement – BAIT

Ein Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.

Das Benutzerberechtigungsmanagement hat die Anforderungen nach AT 4.3.1 Tz. 2,AT 7.2 Tz. 2, sowie BTO Tz. 9 der MaRisk zu erfüllen. Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest.

Berechtigungskonzepte haben die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) sicherzustellen, die Funktionstrennung zu wahren und Interessenskonflikte des Personals zu vermeiden.Nicht personalisierte Berechtigungen müssen jederzeit zweifelsfrei einer handelnden Person (möglichst automatisiert) zuzuordnen sein.Abweichungen in begründeten Ausnahmefällen und die hieraus resultierenden Risiken sind zu genehmigen und zu dokumentieren.

 

Benutzerberechtigungsmanagement – BAIT – Verfahrensmanagement

Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben des Berechtigungskonzepts eingehalten werden. Dabei ist die fachlich verantwortliche Stelle angemessen einzubinden, so dass sie ihrer fachlichen Verantwortung nachkommen kann.

Bei der Überprüfung, ob die eingeräumten Berechtigungen weiterhin benötigt werden und ob diese den Vorgaben des Berechtigungskonzepts entsprechen (Rezertifizierung), sind die für die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen zuständigen Kontrollinstanzen mit einzubeziehen.

Die Einrichtung, Änderung, Deaktivierung sowie Löschung von Berechtigungen und die Rezertifizierung sind nachvollziehbar und auswertbar zu dokumentieren.

 

Benutzerberechtigungsmanagement – BAIT – Einrichten von Prozessen

Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten,die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden.

Durch begleitende technisch-organisatorische Maßnahmen ist einer Umgehung der Vorgaben der Berechtigungskonzepte vorzubeugen. Eine mögliche Nutzungsbedingung ist die Befristung der eingeräumten Berechtigungen.

Berechtigungen können sowohl für personalisierte, für nicht personalisierte als auch für technische Benutzer vorliegen.Die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen umfassen jeweils die Umsetzung des Berechtigungsantrags im Zielsystem.

 

Benutzerberechtigungsmanagement – BAIT – Rezertifizierung

Fällt im Rahmen der Rezertifizierung auf, dass außerhalb des vorgeschriebenen Verfahrens Berechtigungen eingeräumt wurden, so werden diese gemäß der Regelverfahren zur Einrichtung, Änderung und Löschung von Berechtigungen entzogen.

Die übergeordnete Verantwortung für die Prozesse zur Protokollierung und Überwachung von Berechtigungen wird einer Stelle zugeordnet, die unabhängig vom berechtigten Benutzer oder dessen Organisationseinheit ist.Aufgrund weitreichender Eingriffsmöglichkeiten privilegierter Benutzer wird das Institut insbesondere für deren Aktivitäten angemessene Prozesse zur

Protokollierung und Überwachung einrichten. Technisch-organisatorische Maßnahmen hierzu sind beispielsweise:

  • Auswahl angemessener Authentifizierungsverfahren
  • Implementierung einer Richtlinie zur Wahl sicherer Passwörter
  • automatischer passwortgesicherter Bildschirmschoner
  • Verschlüsselung von Daten
  • eine manipulationssichere Implementierung der Protokollierung
  • Maßnahmen zur Sensibilisierung der Mitarbeiter.

 

BAIT – Neue Anforderungen an das IT-Sicherheitsmanagement

Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

IT-Strategie

IT-Governance

Informationsrisikomanagement

Informationssicherheitsmanagement

Benutzerberechtigungsmanagement

IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)

IT-Betrieb (inkl. Datensicherung)

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Aktuelle Informationen zu den BAIT finden Sie direkt in unserem Informationsblog BAIT.

BAIT, Benutzerberechtigungen - IT-Aufsicht, Benutzerberechtigungsmanagement

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert