MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

19
MaRisk Anforderungen erfüllen: Analyse von Rechten und Rollen in IBM Domino automatisieren Hartmut Koch, Key Account Manger

Transcript of MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Page 1: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

MaRisk Anforderungen erfüllen:

Analyse von Rechten und Rollen in IBM Domino automatisieren

Hartmut Koch, Key Account Manger

Page 2: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Agenda

Anforderungen & Informationsquellen

3 stufige Realisierung (für den Moment und die

Zukunft)

Die Praxis …• Audit Berichte für Ihre „Rezertifizierung“

• Lückenlose Dokumentation

• Change Management im 4 Augenprinzip

Live Demo von Schutzfunktionen

Exkurs: Risiken in der „nativen“ IBM Domino

Administration

Page 3: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Anforderungen zur IT Sicherheit

MaRisk (BaFin) > z. B. „Rezertifizierung“ und mehr

Bestandteil Unternehmenssicherungskonzept

IT Sicherheitskonzept (z. B. „Sicherer IT Betrieb“)

Handbuch IT Change Management

Arbeits- und Verfahrensanweisungen

• Definition der konkreten Change Prozesse

• Prozessüberwachung & Eskalation

• Dokumentation

Page 4: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Informationsquellen

BaFin Veröffentlichungen / Bundesbank (https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2013/fa_bj_2013_11_it_sicherheit.html)

BSI Grundschutzhandbuch• Sicherer Betrieb IBM Domino

• Organisationsempfehlungen• Konfigurationsempfehlungen• Systemschutzempfehlungen

Finanz Informatik GmbH• Betriebskonzept IBM Domino / Notes

SIZ Informationen und Beratung

Page 5: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

MaRisk konkret:

MaRisk (Mindestanforderungen an das Risikomanagement) ist eine für alle Kreditinstitute und Finanzdienstleistungsinstitute in Deutschland gültige Regelung der Bundesanstalt für Finanzdienstleistungsaufsicht BaFin. Inhaltlich geht es um Maßnahmen zur

Abdeckung von Risiken im operativen

Geschäft der Finanzdienstleister.

Eine wesentliche Maßnahme im IT Bereich ist die s. g. „Rezertifizierung“

… wird etwa eine strikte Benutzerberechtigungsverwaltung mit regelmäßigen Rezertifizierungen umgesetzt, so ist dies ein wichtiger

Baustein der IT-Sicherheit, der aber allein nicht ausreicht. Die

IT-Systeme müssen auch

tatsächlich so ausgelegt und

konfiguriert sein, dass die

Berechtigungen nicht

umgangen werden können.

Page 6: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Der Schutzbedarf steigt …

Date

nfl

uss

Sch

utz

bed

arf

Page 7: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

3 stufige Realisierung

Modul „Rezertifizierung“• stichtagsbezogene Darstellung aller IBM Domino User

nach ACL Rechten,Rollen und Gruppenmitgliedschaften

Modul „Sichere Dokumentation“• Revisionssichere und lückenlose Dokumentation aller

administrativen Änderungen in allen relevanten Anwendungen (Notes Datenbanken)

Modul „Sicheres Changemanagement“• Änderungsrequests mit Workflow Verfahren und 4

Augenprinzip

Page 8: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Modul „Rezertifizierung“

Page 9: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Modul „Rezertifizierung“

Page 10: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Modul „Sichere Dokumentation“

Page 11: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Modul „Sicheres Changemanagement“

Page 12: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Modul „Sicheres Changemanagement“

Page 13: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Schutzfunktionen in der Praxis …

Demo

Page 14: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Risiken in der „nativen“ Administration

ID-Typen & Schutzbedarf

• CERT.IDs > Mehrfachkennwortschutz

• SERVER.IDs > Kennwortschutz

• USER.IDs > Kennwortschutz

• ALLE ID-Typen, physikalischer Schutz (Verlust,

Korruption, Diebstahl)

• ALLE ID-Typen, lückenlose Historie, Dokumentation von

Erstellung, Änderung und Löschung

Page 15: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Risiken in der „nativen“ Administration

ID Typen & Schutzbedarf

Page 16: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Risiken in der „nativen“ Administration

Systemdatenbanken & Schutzbedarf

Page 17: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Vorteile IT-Abteilung

Vereinfachungder Administration

Zuwachs an Sicherheitdurch etablierte Change Prozesse

DokumentationAutomatische aktuelle Doku

Kaum Einarbeitungbei Personalwechsel da Workflows vorhanden

Page 18: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

Management Vorteile:

Unternehmenssicherung• Sichere IT Prozesse• Erfüllung aller Auflagen• Prüfungsbelastbar

Standardisierung• Durchgängigkeit der Prozesse

Automatisierung• Lückenlose Dokumentation

erfolgt automatisch

Page 19: MaRisk Andorderungen erfüllen - Analyse von Rechten und Rollen in IBM Domino automatisieren

BCC UnternehmensberatungHartmut [email protected]

+49 172 66 28 556

Ihre Fragen …