NEWS 22.05.2019
FMA veröffentlicht Leitfaden für digitale Sicherheit
in Kreditinstituten – was wird gefordert und wie sieht die Umsetzung aus?
22.05.2019
Österreichs Finanzmarktaufsichtsbehörde (FMA) hat kürzlich Leitfäden zur Sicherheit von Informations- und Kommunikationstechnologien (IKT) in Kreditinstituten sowie zur IT-Sicherheit in Versicherungsunternehmen veröffentlicht. Hintergrund der Leitfäden ist sicherlich die zunehmende Bedeutung von Informations- und Kommunikationstechnologie in Banken und Versicherungen. Notgedrungen steigen dadurch auch die damit verbundenen Risiken stark an.
„Die Chancen und Risiken der Digitalisierung am Finanzmarkt sind derzeit einer der großen FMA Schwerpunkte. Mit diesem Leitfaden stellen wir klar, was wir von den Banken in Bezug auf IT-Sicherheit erwarten. Das schafft Transparenz für die Institute und fördert das Vertrauen der Bankkunden in digitale Technologien und in die Datensicherheit“, werden die Vorstände der FMA, Helmut Ettl und Klaus Kumpfmüller, zitiert.
Der Leitfaden fasst die Anforderungen der FMA an das IT-Sicherheitsmanagement der Kreditinstitute unter anderem folgend zusammen:
-
Eine Informationssicherheitsorganisation ist zu etablieren und zudem die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Rolle ist zentraler Ansprechpartner für Informationssicherheit in der Organisation, sei es für den Vorstand, für die Mitarbeiter oder Externe.
-
Insbesondere IT-Risiken müssen im Rahmen des Risikomanagements betrachtet und entsprechend bewertet werden.
-
Ein Benutzermanagement ist entsprechend zu etablieren, welches eine missbräuchliche Verwendung oder unautorisierte Zugriffe verhindert.
-
Die Integrität, Verfügbarkeit und die Vertraulichkeit der Daten und Informationen sind sicherzustellen.
-
Sicherheitsrichtlinien und Vorgaben für Mitarbeiter und gegebenenfalls Externe sind umzusetzen, dabei sind Good Practices der entsprechenden Normen zu beachten.
-
Für Hard- und Softwarekomponenten gilt, dass diese entsprechend State of the Art zu halten sind.
-
Ein Notfallmanagement ist zu etablieren, das im Falle einer Störung einen geordneten und schnellen Wiederanlauf sicherstellt.
-
Für Cloud Anbieter ist im Speziellen sicherzustellen, dass diese den Anforderungen der Informationssicherheit gerecht werden.
Mit diesen Forderungen ergreift die FMA die Initiative zu einer umfassenden Verbesserung der Sicherheit von digitalen Technologien. Diese sind notwendig um einerseits die Effizienz in den Instituten zu steigern, andererseits wollen Kunden immer häufiger ihre Geschäfte und Erledigungen mittels eben dieser Technologien erledigen. Dabei bleibt immer zu beachten, dass technische Mängel oder Angriffe auf Systeme große Schäden bei Kreditinstituten und damit auch bei deren Kunden hervorrufen können. Daher sind derartige Schäden entsprechend zu verhindern.
Die FMA hat sich in den letzten Monaten und Jahren zu einer Organisation mit hoher IT -Kompetenz mit den Themenbereichen IT-Sicherheit und Digitalisierung etablieren können und weitere Leitfäden wie z.B. für Wertpapierfirmen oder Asset Manager werden folgen.
Den Volltext des „FMA Leitfadens IKT-Sicherheit in Kreditinstituten“ finden Sie auf der FMA-Website
https://www.fma.gv.at/fma/fma-leitfaeden/.
Betrachtet man die Vorgaben aus dem Leitfaden, so ist generell festzustellen, dass die Forderungen der Norm ISO 27001 entsprechen – zumindest in den wichtigsten Zügen – und somit eine Umsetzung der Norm auch die Anforderungen aus dem Leitfaden für Kreditinstitute erfüllt.
secriso Consulting kann hier mit einer umfassenden Dokumentation und tiefer Projekterfahrung unterstützen und Organisationen somit bis zur Zertifizierungsreife begleiten. Dazu gehören beispielsweise Vorlagen und Tools für alle im Leitfaden angeführten Punkte - angefangen von einer methodischen Umsetzung des Risikomanagements bis hin zu einem individuell anpassbaren Richtlinien-Framework.
Kontaktieren Sie uns zu weiteren Informationen einfach unter office@secriso.com oder unter 0463/276 376
und werfen Sie einen Blick auf https://www.secriso.com/aufbau-eines-isms-nach-iso-27001