Relevante Handlungsfelder rund um den Managementprozess, um die bestehenden Erfordernisse im Sinne der regulatorischen Anforderungen zu erfüllen
Martina Vinken, Teamleiterin Organisation, Prozessmanagement und Organisation, Volksbank Mittelhessen
Die heute geltenden regulatorischen Anforderungen an das Management von Benutzerrechten und den Berechtigungsvergabeprozess stellen Banken im Praxistransfer vor hohe Herausforderungen. Die Institute sind in der Pflicht, den rechtlichen Erfordernissen durch entsprechende aufbauorganisatorische Regelungen und vollumfänglicher Dokumentation nachzukommen.
SEMINARTIPPS
Brennpunkt Schutzbedarfsanalyse, 18.03.2019, Berlin.Berechtigungsmanagement: Rezertifizierung und minimale Rechtevergabe, 19.03.2019, Berlin.
7. Fachtagung Informationssicherheit, 20–21.03.2019, Berlin.
Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019 in Frankfurt/M.
Sollkonzept der Berechtigungen
Zur Realisierung der Anforderungen gem. den MaRisk, ist das Vorhandensein eines anwendungsübergreifenden Sollkonzepts für Benutzerberechtigungen unter Einhaltung von Funktionstrennung und Sparsamkeitsgrundsatz elementar. Idealerweise baut das Sollkonzept dabei auf ein bestehendes Rechte-/Rollenkonzept auf.
BUCHTIPP
Bona-Stecki/Riediger/Uribe (Hrsg.): Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement, 2016.
Rezertifizierung
Die Existenz eines Sollkonzepts ist Voraussetzung für die erforderliche Umsetzung der regelmäßigen Überprüfung von Benutzerrechten. Die Rezertifizierung gelingt, indem ordentliche Prozesse, Zuständigkeiten und institutsinterne Regularien diesbezüglich bestehen. Im Anschluss eines Rezertifizierungsdurchlaufs erfolgt im Idealfall der Abgleich zwischen Sollkonzept und den Anwendungssystemen, um darin erforderliche Korrekturen umgehend vorzunehmen.
PRAXISTIPPS
- Die Umsetzung des Berechtigungsmanagements erfordert die Etablierung von ganzheitlichen Prozessen und Dokumentationsverfahren sowie die Bereitstellung von Mitarbeiterressourcen.
- Idealtypisch gelingt die Umsetzung, wenn die Zuständigkeit im Institut einer zentralen und unabhängigen Stelle obliegt.
- Zum Praxistransfer im Gesamthaus gehört ebenfalls die Unterrichtung und Sensibilisierung der Führungskräfte und Mitarbeiter zum Berechtigungsvergabeprozess, insbesondere bezüglich der Einhaltung des Sparsamkeitsgrundsatzes.
- Die Implementierung des Sollkonzepts erfolgt bestenfalls systemisch durch Verwendung einer Berechtigungsmanagementsoftware.
- Für den ordentlichen Rezertifizierungsablauf werden Prozessdefinitionen und Ablaufbeschreibungen, wie beispielsweise ein institutseigener Rezertifizierungskalender, benötigt.
- Es sollen eindeutige Verfahrensweisen sowie Zuständigkeiten bei Personalveränderungen oder Berechtigungsveränderungen bestehen. Denn jede Neuanlage, Änderung oder Löschung von Benutzerrechten in einem Anwendungssystem bedeutet die Veränderung des Sollkonzepts.
Beitragsnummer: 946