07/2022 – Fachartikel Swiss Infosec AG
Risikomanagement und Business Continuity Management
Ausgangslage
Im Entwurf der Totalrevision des FINMA-Rundschreibens 2008/21 «Operationelle Risiken – Banken» konkretisiert die FINMA ihre Aufsichtspraxis in Bezug auf das Management operationeller Risiken, insbesondere im Zusammenhang mit der Informations- und Kommunikationstechnologie, dem Umgang mit kritischen Daten und den Cyber-Risiken. Weiter finden Anforderungen zur operationellen Resilienz Eingang ins neue Rundschreiben.
Der seitens der Schweizerischen Bankiervereinigung definierte Mindeststandard bezüglich Business Continuity Management ist ebenfalls im Entwurf des Rundschreibens aufgenommen worden.
Die Eingabefrist für Stellungnahmen zum publizierten Entwurf ist auf den 11.7.2022 angesetzt.
Unterstützung durch die Swiss Infosec AG
Die Swiss Infosec AG ist ein Beratungs- und Ausbildungsunternehmen mit 35 Jahren Erfahrung in den Bereichen Risikomanagement, Informationssicherheit, Datenschutz, IT-Sicherheit, Business Continuity Management, Krisen- und Notfallmanagement, Physische Sicherheit und Personensicherheit.
Unsere mehr als 30 Spezialistinnen und Spezialisten können Sie bei der Umsetzung der Grundsätze des FINMA-Rundschreibens «Operationelle Risiken und Resilienz – Banken» unterstützen.
Grundsätze des neuen FINMA-Rundschreibens «Operationelle Risiken und Resilienz – Banken»
Grundsatz 1: Generelle Anforderungen an das Management der operationellen Risiken
Die Geschäftsleitung ist verantwortlich für die Implementierung und Dokumentation des Managements operationeller Risiken, welches alle für das Institut relevanten operationellen Risiken behandelt – insbesondere die IKT-Risiken, Cyber-Risiken und Risiken kritischer Daten.
Das Oberleitungsorgan (VR) soll das Management der operationellen Risiken regelmässig genehmigen und überwachen. Es entscheidet mindestens einmal jährlich über die Risikotoleranz für operationelle Risiken.
Die Swiss Infosec AG unterstützt Sie bei der notwendigen Anpassung der aufbau- und ablauforganisatorischen Aspekte des OpRisk-Managements und des Business Continuity- und Krisenmanagements, insbesondere für Risiken im Bereich der Informationssicherheit und der Cybersicherheit. Unsere Experten begleiten Sie kompetent bei der Risikoidentifikation, Risikoanalyse, der Risikobewertung und der Ausarbeitung von Risikobehandlungen. Wir beraten Sie beim Entscheid bezüglich der Implementierung risikobasierender Sicherheitsmassnahmen, bei der Überwachung der Risiken sowie beim Reporting ans oberste Management.
Sollten Sie noch kein entsprechendes Hilfsmittel für das Managen der Risiken, des IKS, des BCMS und des ISMS im Einsatz haben, unterstützen wir Sie gerne bei der Evaluation und Implementierung eines geeigneten Governance, Risk und Compliance Tools (GRC-Tool).
Grundsatz 2: IKT-Strategie und Governance
Das Oberleitungsorgan (VR) soll eine IKT-Strategie festzulegen, die mit der Geschäftsstrategie abgestimmt ist.
Die Geschäftsleitung soll das Management der IKT-Risiken implementieren und dokumentieren – dies soll eng mit der IKT-Strategie und der jeweiligen Risikotoleranz abgestimmt sein.
Die Swiss Infosec AG unterstützt Sie im Aufbau der Governance-Strukturen und beim Management von IKT-Risiken, welche im Zusammenhang mit den kritischen Prozessen Ihres Instituts stehen. Die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen stehen bei Veränderungen und beim IKT-Betrieb im Fokus. Deshalb ist es von besonderer Bedeutung, dass Informationsinventare zeitnah verfügbar sind und diese regelmässig überprüft werden. Dazu sind Verfahren, Prozesse und Kontrollen zu implementieren, welche die Vertraulichkeit, Integrität und Verfügbarkeit der IKT-Betriebsumgebungen sicherstellen.
Wenn es dann trotzdem zu einem Vorfall kommen sollte, ist es wichtig, dass Ihre Unternehmung über Verfahren, Prozesse und Kontrollen verfügt, welche in Abstimmung mit dem Business Continuity Management (BCM) und den Desaster Recovery-Plänen (DRP) eine zeitgerechte Rückführung in den Normalbetrieb ermöglichen. Auch für diese reaktive Phase können unsere Experten Ihre Organisation tatkräftig unterstützen.
Grundsatz 3: Management der Cyber-Risiken
Die Geschäftsleitung soll ein Management der Cyber-Risiken sicherstellen, dass die Identifikation, Beurteilung, Begrenzung und Überwachung unter Berücksichtigung der jeweiligen Risikotoleranz und in Übereinstimmung mit der Strategie im Umgang mit Cyber-Risiken umfasst. Das Management der Cyber-Risiken ist in das Management der operationellen Risiken zu integrieren und nachvollziehbar zu dokumentieren.
Die Swiss Infosec AG unterstützt Sie bei der Integration und Dokumentation der Cyber-Risiken in die operationellen Risiken. Dabei werden institutsspezifische Risikoanalysen durchgeführt und aufgrund von festgestellten Schwachstellen Massnahmen vorgeschlagen, welche die Vertraulichkeit, Integrität und Verfügbarkeit im Hinblick auf kritische Daten und IT-Systeme sicherstellen. Diese Massnahmen sollen eine zeitnahe Erkennung, Überwachung und Wiederherstellung der IT-Systeme bei Cyberattacken ermöglichen.
Grundsatz 4: Management der Risiken kritischer Daten
Die Geschäftsleitung soll ein Management der Risiken kritischer Daten sicherstellen, dass die Identifikation, Beurteilung, Begrenzung und Überwachung die Identifikation, Beurteilung, Begrenzung und Überwachung der Risiken hinsichtlich kritischer Daten sicherstellen. Dies soll in enger Abstimmung mit einer systematischen und vollständigen Datenstrategie und dem Management der operationellen Risiken (IKT- und Cyber-Risiken) erfolgen.
Die Swiss Infosec AG unterstützt Sie bei der Identifikation und Inventarisierung von kritischen Daten, welche durch die physische und logische IKT gespeichert oder verarbeitet werden. Dies umfasst die Zutritts-, Zugriffskontrollen und Kontrollen mit internem und externem Personal. Bei der Auswahl von Dienstleistern, welche Zugriff auf kritische Daten haben, sind geeignete Verträge zu definieren und deren Einhaltung ist zu überprüfen. Zudem sind Verfahren, Prozesse und Kontrollen zu implementieren, welche Auslagerungen risikoorientiert periodisch überwachen.
Grundsatz 5: Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft
Sollten Sie grenzüberschreitende Dienstleistungen oder Finanzprodukte vertreiben, können JuristInnen der Swiss Infosec AG insbesondere im Bereich Datenschutz unterstützen.
Grundsatz 6: Business Continuity Management
Das Oberleitungsorgan (VR) soll in regelmässigen Abständen die BCM-Strategie auf deren Einhaltung überwachen.
Die Geschäftsleitung ist für die Implementierung der Strategie verantwortlich.
Mit der Ausserkraftsetzung der Selbstregulierung der Schweizerischen Bankiervereinigung «Empfehlungen für das Business Continuity Management» verlangt das neue Rundschreiben «Operationelle Risiken und Resilienz Banken» für die für kritische Funktionen benötigten Ressourcen ein breiteres und detaillierteres Verständnis als bisher.
Die Swiss Infosec AG unterstützt Sie beim Ausbau des Business Continuity Managements als Baustein der operationellen Resilienz. Das heisst, dass die bestehenden Business Continuity- Pläne mit zusätzlichen Desaster Recovery-Plänen (DRP) ergänzt werden müssen. Wenn Teile der Technologieinfrastruktur ausgelagert sind, soll dieser DRP Auskunft über die externen Abhängigkeiten und vertraglichen Regelungen sowie alternative Lösungen geben. Der DRP ist mindestens jährlich oder im Falle wesentlicher Änderungen zu überprüfen.
Die Swiss Infosec AG unterstützt Sie beim Aufbau eines Führungssystems für den Krisenfall. Dabei wird die Krisenorganisation massgeschneidert auf die Geschäftstätigkeit ausgerichtet. Unsere krisenerprobten Schulungsexperten bilden die Mitglieder Ihrer Krisenorganisation rollenbasiert und als Team praxisorientiert aus. Im Vorfeld der ersten Ausbildungen werden die Aufgaben, Kompetenzen und Verantwortlichkeiten für jede einzelne Rolle definiert. Bei Krisenübungen und Business Continuity Tests sind die relevanten internen und externen Anspruchsgruppen – einschliesslich den Business- und Dienstleistungsfunktionen – einzubeziehen und mit den Wiederherstellungsprozessen vertraut zu machen. Die Tests sollen verschiedene schwerwiegende, aber plausible Szenarien einschliesslich der internen und externen Wiederherstellungsabhängigkeiten beinhalten. Weiter unterstützen wir Sie bei der regelmässigen Berichterstattung über die durchgeführten Test- und Überprüfungsaktivitäten sowie deren Ergebnisse an das Oberleitungsorgan (VR) und die Geschäftsleitung.Die Berichterstattung soll vorgenommene Priorisierungen und erkannte Lücken in der Abdeckung kritischer Prozesse aufzeigen.
Grundsatz 7: Operationelle Resilienz
Das Institut soll seine kritischen Funktionen und deren Unterbrechungstoleranzen identifizieren und Massnahmen zur Sicherstellung der operationellen Resilienz unter Berücksichtigung schwerwiegender, aber plausibler Szenarien treffen. Das Oberleitungsorgan (VR) soll das Vorgehen zur Sicherstellung der operationellen Resilienz regelmässig genehmigen und überwachen.
Die Swiss Infosec AG unterstützt Sie beim Managen der operationellen Risiken, beim Managen der Geschäftsfortführungsplanung und beim Managen der ausgelagerten Dienstleistungen dahingehend, dass diese zu einer Stärkung der operationellen Resilienz des Instituts beitragen. Dies umfasst die Berichterstattung an die Geschäftsleitung und das Oberleitungsorgan (VR) sowie die regelmässige Identifikation interner / externer Schwachstellen und Bedrohungen. Die daraus resultierenden operationellen Risiken können dann durch die Verantwortlichen der Organisation beurteilt, behandelt, kommuniziert und überwacht werden.
Zudem unterstützen unsere Experten Sie beim Aufbau eines risikobasierenden internen Kontrollsystems (IKS), in welchem die Schlüsselkontrollen bei den kritischen Funktionen, Prozessen und Ressourcen eine zentrale Bedeutung für die operationelle Resilienz der Organisation einnehmen.
Grundsatz 8: Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken
Systemrelevante Banken sollen im Rahmen ihrer Notfallplanung, die für die unterbruchsfreie Weiterführung von systemrelevanten Funktionen nötigen Massnahmen (Art. 9 Abs. 2 Bst. d BankG i.V.m. Art. 60 ff. BankV) treffen. Sie sollen die zur Fortführung der systemrelevanten Funktionen im Fall der Abwicklung, Sanierung oder Restrukturierung notwendigen Dienstleistungen („kritische Dienstleistungen“) identifizieren und sollen die für deren Weiterführung nötigen Massnahmen ergreifen. Dabei sollen sie die in diesem Zusammenhang von internationalen Standardsettern erlassenen Vorgaben berücksichtigen.
Die Swiss Infosec AG kann die systemrelevanten Banken bei der Notfallplanung, die für die unterbruchsfreie Weiterführung von systemrelevanten Funktionen notwendig ist, massgeschneidert unterstützen.
Übergangsbestimmung betreffend dem Grundsatz 7 «Operationelle Resilienz»
Die Identifikation der kritischen Funktionen und die Definition der Unterbrechungstoleranzen hat innert einer Übergangsfrist von einem Jahr ab Inkrafttreten zu erfolgen. Für die Erstellung des Inventars der kritischen Funktionen und erste Tests jeder kritischen Funktion ist eine Übergangsfrist von zwei Jahren ab Inkrafttreten gegeben. Die Sicherstellung der operationellen Resilienz wird innerhalb einer Übergangsfrist von drei Jahren ab Inkrafttreten erwartet.
Gerne unterstützen wir Sie bei der Umsetzung der Grundsätze zum Rundschreiben.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können.
Swiss Infosec AG; 29.06.2022
Kompetenzzentrum Consulting, +41 41 984 12 12, infosec@infosec.ch