VAIT – Inhalt und Umsetzung
PixabayKerninhalte der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)
Die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sind Verwaltungsanweisungen für die sichere Ausgestaltung der IT-Systeme in der Versicherungsbranche. Diese ziehen die zugehörigen Prozesse und die in diesem Zusammenhang stehenden Anforderungen an die IT-Governance mit ein. Die VAIT wurden von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit dem Rundschreiben 10/2018 (VA) vom 02. Juli 2018 veröffentlicht und danach im März 2019 erstmals aktualisiert.
In den VAIT ist ein Rahmen für die technisch-organisatorische Ausstattung der Unternehmen formuliert. Hierbei wird insbesondere auf das Management der IT-Ressourcen und das IT-Risikomanagement näher eingegangen. Da die Versicherungsgesellschaften mit zunehmender Häufigkeit IT-Dienstleistungen beziehen, fordert die VAIT nun unabhängig vom Umfang der Dienstleistung (als Teil der Hauptdienstleistung) beispielsweise vorab zwingend eine Risikoanalyse.
Ebenso wird durch die VAIT in der Informationssicherheit gefordert, dass mindestens der aktuelle Stand der Technik umzusetzen ist.
Neuerungen der VAIT-Novelle vom 03. März 2022
Die neuen VAIT sind mit dem Rundschreiben vom 03. März 2022 direkt in Kraft getreten. Die vorherige Version des Rundschreibens vom 20. März 2019 tritt damit gleichzeitig außer Kraft.
Übergangsfristen sind nicht erforderlich, da in die neue VAIT-Novelle keine grundlegend neuen Anforderungen aufgenommen, sondern lediglich bereits zuvor bestehende Anforderung präzisiert wurden.
Insbesondere die operative Informationssicherheit und das IT-Notfallmanagement wurden zusammen mit den anderen Kapitel weiter konkretisiert und finden sich nun in jeweils einem eigenen Kapitel wieder.
Operative Informationssicherheit
Im Bereich Operative Informationssicherheit wird weiter spezifiziert, was konkret darunter zu verstehen ist. Es wird insbesondere erläutert, was bei Informationssicherheitsmaßnahmen, -prozessen und -vorfällen zu berücksichtigen ist. Erwähnt und erläutert ist hier unter anderem die Wichtigkeit des Schwachstellenmanagements, der Dokumentation und Reaktion auf Sicherheitsvorfälle und der Abweichungsanalysen (Gap-Analyse). Letztere sollten für kritische Systeme im Sinne der Überprüfung mindestens jährlich erfolgen. Der Turnus sollte sich dabei insbesondere am tatsächlichen Schutzbedarf orientieren.
IT-Notfallmanagement
Im Bereich IT-Notfallmanagement wird konkretisiert, welche Szenarien im IT-Notfallkonzept mindestens berücksichtigt werden müssen, welche Inhalte IT-Notfallpläne enthalten sollen und wie Risikoanalysen (hinsichtlich IT-Prozessen, Systeme und Ressourcen) auf das IT-Notfallmanagement Einfluss nehmen. IT-Notfallpläne umfassen demnach u. a. Wiederanlauf- und Wiederherstellungspläne sowie alle erforderlichen Informationen für eine effektive Kommunikation im Notfall. Die Risikoanalyse soll bei der Erstellung der IT-Notfallpläne berücksichtigt werden und die Entwicklung geeigneter Maßnahmen ermöglichen, die entweder der Risikoreduzierung oder der Wiederherstellung der Prozesse dienen.
Informationsrisikomanagement und Informationssicherheitsmanagement
Der Bereich Informationsrisikomanagement wurde um folgende Aussage ergänzt: „Die Risikokriterien berücksichtigen die Kritikalität der Geschäftsprozesse und -aktivitäten sowie bekannte Gefährdungen und Vorfälle, welche das Unternehmen bereits in der Vergangenheit beeinflusst haben.“ Der Fokus des Risikomanagements wird demzufolge noch stärker auf die Darstellung der Gesamtzusammenhänge sowie der historischen Risikobetrachtung gerichtet. Neben der reinen Risikoanalyse ist es hierbei insbesondere relevant, die dem Risiko zugrundeliegenden bzw. das Risiko beeinflussenden Prozesse, Vorfälle und Gefährdungen zu berücksichtigen.
Umsetzung mit der Software ibi systems iris
Die Software ibi systems iris unterstützt Sie auch in der neuen Fassung der VAIT vollumfänglich bei der Umsetzung der im vorangegangenen Kapitel erläuterten Anforderungen. Im Folgenden sind diese Bereiche in der Grafik hervorgehoben, kurz beschrieben und in Form von Screenshots weiter veranschaulicht.
Operative Informationssicherheit
Zur Umsetzung der VAIT aus dem Bereich Operative Informationssicherheit unterstützt die ISMS Software ibi systems iris etwa bei der Durchführung einer Abweichungsanalyse (Gap-Analyse) und dem Management der identifizierten Schwachstellen. Gap-Analysen (siehe Screenshot 1) werden mit Hilfe von individuell gestaltbaren Prüfungen durchgeführt. Mit der durch die Software angebotenen Flexibilität kann jede beliebige Checkliste softwaregestützt durchlaufen werden. Im Rahmen der Prüfungsdurchführung können bei Bedarf eine (oder mehrere) Schwachstelle(n) an die jeweilige Kontrolle hinterlegt werden. Im nächsten Schritt erfolgen Definition und Umsetzung von Maßnahmen zur Schließung dieser Schwachstellen. Abhängig davon wird schließlich der Status der Schwachstelle angepasst (z. B. Offen, Geschlossen).
Auch Sicherheitsvorfälle können umfassend im Tool dokumentiert und angemessene Reaktionen (durch Maßnahmen) definiert werden. Zudem können sowohl aus Feststellungen wie auch aus Vorfällen neue Risiken abgeleitet bzw. bestehende Risiken verknüpft werden.
IT-Notfallmanagement
Im Sinne des IT-Notfallmanagement können für alle Prozesse und Assets in ibi systems iris Wiederanlauf- und Wiederherstellungspläne sowie alle erforderlichen Informationen für eine effektive Kommunikation im Notfall angegeben werden. Auf Knopfdruck kann ein komplettes Notfallhandbuch als PDF-Report erstellt werden.
Ein Notfallszenario, welches nach VAIT mindestens betrachtet werden sollte, ist der „Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)“. Für diesen Anwendungsfall können neben den Verknüpfungen zu direkt betroffenen Assets und Prozessen auch Prozess- und Asset-unabhängige Aktivitäten im Notfall festgelegt werden. Sobald dieses Szenario tatsächlich eintritt, kann direkt aus dem Szenario heraus ein konkretes Notfallereignis mit detaillierter Beschreibung angelegt werden. Schließlich folgt die Verknüpfung von Maßnahmen um auf das Ereignis angemessen zu reagieren und dieses zu behandeln.
Informationsrisikomanagement und Informationssicherheitsmanagement
Hinsichtlich der VAIT zum Informationsrisikomanagement bzw. Informationssicherheitsmanagement gilt anzumerken, dass mithilfe der Software ibi systems iris Risiken umfangreich beschrieben, bewertet und behandelt werden können und dabei auch vergangene Vorfälle Einfluss auf diesen Prozess nehmen.
Zur Beschreibung eines Risikos gilt es grundlegende Angaben zu machen und u.a. die Verknüpfungen zu Bedrohungen, Schwachstellen und Assets und/oder Prozessen anzugeben. Danach erfolgt die Bewertung des Risikos hinsichtlich Schadenauswirkung und Eintrittswahrscheinlichkeit, wobei dem Anwender hierbei für die Bewertung verschiedene Optionen zur Verfügung stehen. Beispielsweise kann bei Durchführung der Bewertung (je nach konfigurierter Einstellung) die Anzahl und die Schadensumme der Vorfälle aufgelistet werden, die direkt mit dem Risiko verknüpft sind. Diese Informationen stehen dann dem Anwender anschaulich als Bewertungshilfe für die durchzuführende IST- Bewertung des Risikos zur Verfügung. Im nächsten Schritt erfolgen die Angabe und die Definition einer konkreten Risikobehandlungsstrategie inklusive zugehöriger Maßnahmen und einer angestrebten SOLL-Bewertung. Das Risiko kann danach im Zeitverlauf durch eine Iteration des beschriebenen Ablaufs gemanaged werden, bis es akzeptiert werden kann oder nicht mehr existiert.
Das Risiko verbleibt auf diese Art und Weise perfekt dokumentiert im Tool. Der Umgang in der Vergangenheit mit einzelnen Risiken als auch die aktuelle Risikolage können jederzeit in ibi systems iris eingesehen und nachvollzogen werden.
Fazit zur VAIT mit ibi systems iris
Eine Besonderheit der ISMS Software ibi systems iris ist die Darstellungen eines gesamtheitlichen Zusammenhangs zwischen den relevanten Elementen der Informationssicherheit in nur einem Tool. Zudem kann der Pfad einer Verknüpfung zu jeder Zeit eingesehen und nachverfolgt werden.
____________________
