Post on 21-Jan-2018
MaRisk Anforderungen erfüllen:
Analyse von Rechten und Rollen in IBM Domino automatisieren
Hartmut Koch, Key Account Manger
Agenda
Anforderungen & Informationsquellen
3 stufige Realisierung (für den Moment und die
Zukunft)
Die Praxis …• Audit Berichte für Ihre „Rezertifizierung“
• Lückenlose Dokumentation
• Change Management im 4 Augenprinzip
Live Demo von Schutzfunktionen
Exkurs: Risiken in der „nativen“ IBM Domino
Administration
Anforderungen zur IT Sicherheit
MaRisk (BaFin) > z. B. „Rezertifizierung“ und mehr
Bestandteil Unternehmenssicherungskonzept
IT Sicherheitskonzept (z. B. „Sicherer IT Betrieb“)
Handbuch IT Change Management
Arbeits- und Verfahrensanweisungen
• Definition der konkreten Change Prozesse
• Prozessüberwachung & Eskalation
• Dokumentation
Informationsquellen
BaFin Veröffentlichungen / Bundesbank (https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2013/fa_bj_2013_11_it_sicherheit.html)
BSI Grundschutzhandbuch• Sicherer Betrieb IBM Domino
• Organisationsempfehlungen• Konfigurationsempfehlungen• Systemschutzempfehlungen
Finanz Informatik GmbH• Betriebskonzept IBM Domino / Notes
SIZ Informationen und Beratung
MaRisk konkret:
MaRisk (Mindestanforderungen an das Risikomanagement) ist eine für alle Kreditinstitute und Finanzdienstleistungsinstitute in Deutschland gültige Regelung der Bundesanstalt für Finanzdienstleistungsaufsicht BaFin. Inhaltlich geht es um Maßnahmen zur
Abdeckung von Risiken im operativen
Geschäft der Finanzdienstleister.
Eine wesentliche Maßnahme im IT Bereich ist die s. g. „Rezertifizierung“
… wird etwa eine strikte Benutzerberechtigungsverwaltung mit regelmäßigen Rezertifizierungen umgesetzt, so ist dies ein wichtiger
Baustein der IT-Sicherheit, der aber allein nicht ausreicht. Die
IT-Systeme müssen auch
tatsächlich so ausgelegt und
konfiguriert sein, dass die
Berechtigungen nicht
umgangen werden können.
Der Schutzbedarf steigt …
Date
nfl
uss
Sch
utz
bed
arf
3 stufige Realisierung
Modul „Rezertifizierung“• stichtagsbezogene Darstellung aller IBM Domino User
nach ACL Rechten,Rollen und Gruppenmitgliedschaften
Modul „Sichere Dokumentation“• Revisionssichere und lückenlose Dokumentation aller
administrativen Änderungen in allen relevanten Anwendungen (Notes Datenbanken)
Modul „Sicheres Changemanagement“• Änderungsrequests mit Workflow Verfahren und 4
Augenprinzip
Modul „Rezertifizierung“
Modul „Rezertifizierung“
Modul „Sichere Dokumentation“
Modul „Sicheres Changemanagement“
Modul „Sicheres Changemanagement“
Schutzfunktionen in der Praxis …
Demo
Risiken in der „nativen“ Administration
ID-Typen & Schutzbedarf
• CERT.IDs > Mehrfachkennwortschutz
• SERVER.IDs > Kennwortschutz
• USER.IDs > Kennwortschutz
• ALLE ID-Typen, physikalischer Schutz (Verlust,
Korruption, Diebstahl)
• ALLE ID-Typen, lückenlose Historie, Dokumentation von
Erstellung, Änderung und Löschung
Risiken in der „nativen“ Administration
ID Typen & Schutzbedarf
Risiken in der „nativen“ Administration
Systemdatenbanken & Schutzbedarf
Vorteile IT-Abteilung
Vereinfachungder Administration
Zuwachs an Sicherheitdurch etablierte Change Prozesse
DokumentationAutomatische aktuelle Doku
Kaum Einarbeitungbei Personalwechsel da Workflows vorhanden
Management Vorteile:
Unternehmenssicherung• Sichere IT Prozesse• Erfüllung aller Auflagen• Prüfungsbelastbar
Standardisierung• Durchgängigkeit der Prozesse
Automatisierung• Lückenlose Dokumentation
erfolgt automatisch
BCC UnternehmensberatungHartmut Kochhartmut_koch@bcc.biz
+49 172 66 28 556
Ihre Fragen …