Das FOCONIS-ZAK® Funktionspaket
„ISM-Kontrollen“

Optimale Unterstützung für Ihren Informationssicherheitsbeauftragten (ISB)

Sparkassen
Download
Anfrage

Wer benötigt es?

Jede Sparkasse, die die Einhaltung der Anforderung zum Rahmenwerk „Sicherer IT-Betrieb“ (SITB) und damit das Sicherheitsniveau steigern und das Risikopotenzial senken wollen.

Problemstellung

Da die Verpflichtungen aus dem Rahmenwerk auch für Verbundsysteme sowie Systeme von Drittanbietern gelten, ist eine manuelle Kontrolle und Bearbeitung aller Ereignisse nicht mehr realisierbar. Eine lückenlose, nachvollziehbare und dokumentierte Kontrolle aller relevanten Ereignisse ist in diesem Zusammenhang auf manuellem Wege schlicht unmöglich.

Lösung

Mit dem Funktionspaket „ISM-Kontrollen“ erhalten Sie eine Erweiterung für das FOCONIS-ZAK® Kontrollprozess-System, welches durch intelligente Listenauswertung den Kontrollaufwand im Bereich der IT-Sicherheitskontrollen auf ein Minimum reduziert und somit Ihren Informationssicherheitsbeauftragten unterstützt.

Kurzbericht

Interview mit Udo Kunischewski-Frey, Leiter der Organisation in der Kreissparkasse Reutlingen

Die Herausforderung

Die Regulatorik nahm in den vergangenen Jahren vermehrt auch die IT-Sicherheit in den Fokus. Entsprechend gelten heute strenge Vorgaben für Banken und Sparkassen, wonach beispielsweise grundsätzlich die Verpflichtung besteht, die Ausgestaltung der IT-Systeme und zugehörigen -Prozesse auf gängige Standards abzustellen. Ferner sind Prozesse zur Protokollierung und Überwachung zu etablieren. Um den vielseitigen Anforderungen zu entsprechen, wurde das Rahmenwerk „Sicherer IT-Betrieb“ (SITB) ins Leben gerufen. Die Einhaltung der entsprechenden Anforderungen verbessert zweifelsfrei das Sicherheits- und Risikoniveau der Sparkassen und soll die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Höchste Priorität hat die Gewährleistung der Nachvollziehbarkeit aller sicherheitsrelevanten Aktionen mit dem Ziel der Verhinderung bzw. Identifikation von Sicherheitsvorfällen. Erkenntnisse aus dem entsprechenden Monitoring sollen als Basis für eine gezielte Maßnahmensteuerung dienen. Die genannten Verpflichtungen bestehen gleichermaßen für Verbundsysteme und jene Systeme, die über Drittanbieter bezogen werden. Entsprechend kommen Sparkassen mittelfristig nicht um den Einsatz spezialisierter Systeme herum. Eine konsequente Umsetzung des Sicheren IT-Betriebs bedarf intelligenten und vor allem automatisierten Überwachungstechniken, ohne auf der anderen Seite den heutigen Faktor Nummer eins negativ zu beeinflussen: die Mitarbeiterkapazitäten.

Einmal mehr lautet das Zauberwort: Automatisierung

Mit dem FOCONIS-ZAK® Funktionspaket „ISM-Kontrollen“ liefert die FOCONIS AG eine Erweiterung für das hundertfach bewährte Kontrollprozess-System FOCONIS-ZAK® zur Unterstützung einer optimalen Umsetzung der genannten Anforderungen.

Die Erweiterung „ISM-Kontrollen“ nimmt sich der Daten aus verschiedensten Quellen an und reduziert durch intelligente Listenauswertung den Kontrollaufwand bei der Auswertung entsprechender Protokolle auf ein Minimum. Sicherheitsrelevante Auffälligkeiten werden in Form von selbsterklärenden, angereicherten Einzelkontrollvorgängen bereitgestellt, so dass Informationssicherheitsbeauftragte der Sparkassen (2nd-Line-of-Defence) in die Lage versetzt werden, nur noch die Ereignisse zu kontrollieren, die mit Blick auf Risiken und Informationssicherheit Relevanz zeigen. Im Zuge der Bearbeitung können diese Vorgänge dokumentiert, delegiert, abgeschlossen oder mit einer zu beantragenden Fristverlängerung gespeichert werden. So können einzelne Sachverhalte auch zu einem späteren Zeitpunkt überprüft werden. Das unterlegte Eskalationsmanagement kümmert sich weiterhin um die Einhaltung von Bearbeitungsfristen.

Die automatische Dokumentation der Kontrollen unterstützen den Informationssicherheitsbeauftragten (ISB) beim Nachweis der effektiven Umsetzung der geforderten Aufgaben. Im Rahmen der Umsetzung der automatisierten Auswertung von Protokollen und Durchführung der notwendigen Kontrollen werden stets die Grundsätze der FOCONIS AG berücksichtigt; der Betrieb unterliegt stets den Prämissen Wirksamkeit, Wirtschaftlichkeit, Ordnungsmäßigkeit.

Vielfalt und Flexibilität bringen Sicherheit

Ereignisse (wer, was, wann, wie, wo) aus den nachfolgend genannten Systemen werden u. a. vollautomatisch verarbeitet und mit detaillierten Informationen angereichert, die Auskunft über den Grund des Kontrollbedarfs des Ereignisses: OSPlus, SimCorp Dimension (SCD), PARISplus, ILORES, Eurex, TravicDialog, Swift, XETRA, B+S, SAS, Cascade, S-ViA und DAW. Aufgrund der flexiblen Gestaltung und der modernen Konfigurations-Architektur von FOCONIS-ZAK® ist im Rahmen der Weiterentwicklung des Funktionspakets „ISM-Kontrollen“ auch die Integration weiterer Verbund-Systeme vorgesehen und die Unterstützung individuell von der Sparkasse eingesetzter Dienste denkbar.

Auszug aus den Kontrollinhalten

  • Administrative Tätigkeiten
  • Änderung der Administratorenkonten (Anlage/Löschung, Benutzerdaten etc.)
  • Änderung von Berechtigungen
  • Änderung der Gruppenverwaltung
  • Anlage/Änderung von Benutzerkonten
  • Sperre von Benutzerkonten aufgrund von fehlerhafter Anmeldeversuche außerhalb der Geschäftszeiten
  • Fehlgeschlagene Anmeldungen
  • Anmeldung außerhalb der Geschäftszeiten
  • Kennwortänderung durch Dritte (für Benutzer- und Administratorenkonten)
  • Vergabe eines Initialpassworts
  • Fehlgeschlagene Passwortänderungen
  • Passwortänderungen außerhalb der Geschäftszeiten
  • Zugriff auf kritische Daten und Objekte