umsetzung regulatorischer anforderungen an die it-berechtigungsvergabe für it-infrastrukturkomponenten

aufgabe

Die Prozesse zur IT-Berechtigungsvergabe sind gemäß MaRisk für das Institut angemessen einzurichten. Neben der IT-Berechtigungsvergabe in den Anwendungssystemen sind auch die IT-Berechtigungen auf den darunterliegenden Infrastruktursystemen (Datenbanken und Betriebssysteme) in diese Prozesse zu integrieren. Hierzu ist ein bankweites Konzept zur IT-Berechtigungsvergabe auf allen Ebenen der Architektur von IT-Systemen zu entwickeln und umzusetzen.

vorgehen

  • Entwicklung des konzeptionellen Rahmens:
    • Festlegung der organisatorischen und technischen Rahmenparameter zur Abgrenzung bestehender IT-Berechtigungsvergaben (Anwendungsebene)
    • Ableitung der Zusammenhänge der unterschiedlichen Architekturebenen auf IT-Berechtigungen und den dazugehörigen Anwendungssystemen
    • Definition der Berechtigungsarchitektur und darauf abgeleitet die notwendigen Prozesse zur Verwaltung (Berechtigungsvergabe und -entzug), zu organisatorischen Kontrollen (Attestierung), zu technischen Kontrollen (Reconciliation), von IT-Berechtigungen für Infrastrukturkomponenten (Datenbanken und Betriebssysteme)
  • Festlegung des konzeptionellen Rahmens für die (IT-) Berechtigungsdokumentation unter Berücksichtigung bestehender Standards und Anweisungen (SfO):
    • Rollendefinition der Basisinfrastruktur Datenbank bzw. Betriebssystem
    • Anwendungsbezogene Rollen für Datenbanken bzw. Betriebssysteme 
    • Rollendefinition für Schnittstellen
  • Fach- und DV-Konzeption zur Berechtigungsarchitektur
  • Abgleich mit den bestehenden Prozessen der IT-Berechtigungsvergaben im zentralen Benutzer- und Berechtigungsverwaltungssystem (IAM)
  • Konzeption der automatisierten technischen Kontrolle (Reconciliation) und Beachtung möglicher Manipulationsrisiken
  • Konzernweite Abstimmung der Berechtigungsarchitektur (Fach/IT)
  • Begleitung der Berechtigungskonzeption 
  • Quantitative und qualitative Ermittlung des Änderungsbedarfs
  • Entwicklung des Umsetzungskonzeptes
  • Begleitung der Umsetzung und Überführung in die Linienorganisation
  • Durchführung der Projektkommunikation

nutzen

  • Erfüllung der regulatorischen Anforderungen zur IT-Berechtigungsvergabe auf allen Architekturebenen
  • Standardisierung der Berechtigungsdokumentation für die Basisinfrastrukturkomponenten Datenbanken und Betriebssysteme
  • Hohe, bankweite Akzeptanz der Berechtigungsarchitektur
  • Nutzung bestehender Prozesse und Anweisungen
  • Reduktion bzw. geringe Mehrbelastung der Linienorganisation durch Erhöhung des Automatisierungsgrades
  • Hohe Akzeptanz auf allen beteiligten Ebenen (Informationssicherheitsmanagement, IT-Sicherheit, IT-Betrieb und IT-Entwicklung)