MaRisk Anforderungen erfüllen:

Analyse von Rechten und Rollen in IBM Domino automatisieren

Hartmut Koch, Key Account Manger

Agenda

Anforderungen & Informationsquellen

3 stufige Realisierung (für den Moment und die

Zukunft)

Die Praxis …• Audit Berichte für Ihre „Rezertifizierung“

• Lückenlose Dokumentation

• Change Management im 4 Augenprinzip

Live Demo von Schutzfunktionen

Exkurs: Risiken in der „nativen“ IBM Domino

Administration

Anforderungen zur IT Sicherheit

MaRisk (BaFin) > z. B. „Rezertifizierung“ und mehr

Bestandteil Unternehmenssicherungskonzept

IT Sicherheitskonzept (z. B. „Sicherer IT Betrieb“)

Handbuch IT Change Management

Arbeits- und Verfahrensanweisungen

• Definition der konkreten Change Prozesse

• Prozessüberwachung & Eskalation

• Dokumentation

Informationsquellen

BaFin Veröffentlichungen / Bundesbank (https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2013/fa_bj_2013_11_it_sicherheit.html)

BSI Grundschutzhandbuch• Sicherer Betrieb IBM Domino

• Organisationsempfehlungen• Konfigurationsempfehlungen• Systemschutzempfehlungen

Finanz Informatik GmbH• Betriebskonzept IBM Domino / Notes

SIZ Informationen und Beratung

MaRisk konkret:

MaRisk (Mindestanforderungen an das Risikomanagement) ist eine für alle Kreditinstitute und Finanzdienstleistungsinstitute in Deutschland gültige Regelung der Bundesanstalt für Finanzdienstleistungsaufsicht BaFin. Inhaltlich geht es um Maßnahmen zur

Abdeckung von Risiken im operativen

Geschäft der Finanzdienstleister.

Eine wesentliche Maßnahme im IT Bereich ist die s. g. „Rezertifizierung“

… wird etwa eine strikte Benutzerberechtigungsverwaltung mit regelmäßigen Rezertifizierungen umgesetzt, so ist dies ein wichtiger

Baustein der IT-Sicherheit, der aber allein nicht ausreicht. Die

IT-Systeme müssen auch

tatsächlich so ausgelegt und

konfiguriert sein, dass die

Berechtigungen nicht

umgangen werden können.

Der Schutzbedarf steigt …

Date

nfl

uss

Sch

utz

bed

arf

3 stufige Realisierung

Modul „Rezertifizierung“• stichtagsbezogene Darstellung aller IBM Domino User

nach ACL Rechten,Rollen und Gruppenmitgliedschaften

Modul „Sichere Dokumentation“• Revisionssichere und lückenlose Dokumentation aller

administrativen Änderungen in allen relevanten Anwendungen (Notes Datenbanken)

Modul „Sicheres Changemanagement“• Änderungsrequests mit Workflow Verfahren und 4

Augenprinzip

Modul „Rezertifizierung“

Modul „Rezertifizierung“

Modul „Sichere Dokumentation“

Modul „Sicheres Changemanagement“

Modul „Sicheres Changemanagement“

Schutzfunktionen in der Praxis …

Demo

Risiken in der „nativen“ Administration

ID-Typen & Schutzbedarf

• CERT.IDs > Mehrfachkennwortschutz

• SERVER.IDs > Kennwortschutz

• USER.IDs > Kennwortschutz

• ALLE ID-Typen, physikalischer Schutz (Verlust,

Korruption, Diebstahl)

• ALLE ID-Typen, lückenlose Historie, Dokumentation von

Erstellung, Änderung und Löschung

Risiken in der „nativen“ Administration

ID Typen & Schutzbedarf

Risiken in der „nativen“ Administration

Systemdatenbanken & Schutzbedarf

Vorteile IT-Abteilung

Vereinfachungder Administration

Zuwachs an Sicherheitdurch etablierte Change Prozesse

DokumentationAutomatische aktuelle Doku

Kaum Einarbeitungbei Personalwechsel da Workflows vorhanden

Management Vorteile:

Unternehmenssicherung• Sichere IT Prozesse• Erfüllung aller Auflagen• Prüfungsbelastbar

Standardisierung• Durchgängigkeit der Prozesse

Automatisierung• Lückenlose Dokumentation

erfolgt automatisch

BCC UnternehmensberatungHartmut Kochhartmut_koch@bcc.biz

+49 172 66 28 556

Ihre Fragen …