Berechtigungsmanagement einfach gut
Erweiterte BAIT-Anforderungen an den (Neu-)Vergabeprozess • Umgang mit privilegierten Nutzern • Genehmigungsverfahren und Dokumentation • Praxis- & Prüfungssicherheit
Schwerpunkte des Beratungsangebots
Zum Thema
Die neuen BAIT stellen die zentrale Bedeutung des Benutzerberechtigungsmanagements noch einmal klar heraus. Der Zugriff auf sensible Bankdaten und -prozesse soll nur den Personen gewährt werden, die diesen auch wirklich in Anspruch nehmen müssen ("Need-to-know"-Prinzip). Wie ist der Rechtevergabe-Prozess zu definieren bzw. zu dokumentieren? Wie können die Fachbereiche in den Prozess integriert werden und vor allem wie verstehen sie den Hintergrund „ihrer“ Berechtigungen und Systeme? Eingerichtete Rechte stimmen oftmals nicht mit dem Rechtevergabekonzept und der IT-Strategie überein. Durch die neuen MaRisk und neuen BAIT wird explizit eine risikoorientierte regelmäßige Überprüfung kritischer IT-Berechtigungen gefordert. Die aktuellen regulatorischen Vorgaben sowie häufig identifizierte Schwachstellen bei (Aufsichts-)Prüfungen stehen daher im Mittelpunkt der Beratung.
Vorgehen
Sie erhalten auf der Basis einer IST-Analyse Hinweise zu:
- Anforderungen an das Rollenmodell und die Genehmigungs- und Kontrollprozesse - Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer (system- und funktionsbezogene Rollen)
- Überwachung privilegierter User, insbesondere Systemadministratoren- Anforderungen an Logging, Protokollierung und Protokollauswertung
- Soll/Soll und Soll/Ist-Abgleiche – identifizierte Schwachstellen aufgrund fehlerhafter Schutzbedarfsanalysen
- Prüfung der Notwendigkeit und Zulässigkeit beantragter Rechte - Organisatorische und technische Sicherstellung der minimalen Rechtevergabe
- Wirksamkeit der Rezertifizierung und vorgegebener Funktionstrennungen inkl. des Vergabeprozesses sowie anlassbezogener Aktualisierungen des Berechtigungsmanagementkonzeptes
- Sicherstellung der Vergabe von Berechtigungen an Benutzer nach dem Prinzip der minimalen Rechtevergabe
- Analyse der Ausgangslage - Vermeidung der Anträge auf "Zuruf" – Schaffung einer Unternehmensweiten Sicht der Funktionen
- Überprüfung eingeräumter Berechtigungen
Ergebnisse
Durch den Umsetzungs-Check können Sie schnell überprüfen, ob und an welcher Stelle die Prozesse im Bereich der IT-Berechtigungen angepasst werden müssen. Sie können den Umsetzungsaufwand schnell einschätzen und gezielt in die Umsetzung der besprochenen Maßnahmen einsteigen.
Beratungsangebot anfordern