External Supplier Control Obligations

Kontrollpflichten externer
Lieferanten
Informationssicherheit
Version 7.0, Dezember 2016
Kontrollbereich /
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Über die Bedeutung
Funktionen und
Verantwortlichkeiten
Der Lieferant muss Funktionen und Verantwortlichkeiten für die Informationssicherheit (logische
Zugriffsverwaltung, Kategorisierung und Handhabung von Informationen und sichere Umgebung)
festlegen und kommunizieren. Diese müssen nach jeder wesentlichen Änderung am
Betriebsmodell oder Geschäft des Lieferanten überprüft werden.
Durch die klare Definition von Funktionen und
Verantwortlichkeiten wird die Umsetzung des
Vertragsanhangs Kontrollpflichten externer
Lieferanten unterstützt.
Zu den Hauptfunktionen muss ein leitender Angestellter gehören, der für die
Informationssicherheit zuständig ist.
Risikoberichterstattung zur
Informationssicherheit
Um sicherzustellen, dass Informationssicherheits-Vorfälle gemeldet und verwaltet werden,
müssen dokumentierte Kontrollmechanismen und Prozesse vorhanden sein.
Der Lieferant muss Informationssicherheits-Vorfälle und Datenschutzverletzungen unverzüglich
behandeln und Barclays melden. Es muss ein Vorfallbehandlungsprozess für die zeitnahe
Abwicklung und Meldung unbefugter Zugriffe auf Informationen von Barclays und/oder auf von
Barclays genutzte Dienste eingerichtet sein.
Mit Hilfe eines Vorfallbehandlungsprozesses
wird sichergestellt, dass Vorfälle schnell in
Grenzen gehalten werden und verhindert wird,
dass sie sich ausweiten.
Der Lieferant muss dafür sorgen, dass die festgelegten Abhilfemaßnahmen nach einem Vorfall
gemäß einem Abhilfeplan (Aktion, Zuständigkeit, Frist) ausgeführt und mit Barclays
abgesprochen und vereinbart werden.
Fortlaufende
Überwachung
Der Lieferant muss regelmäßig (mindestens jedoch einmal pro Kalenderjahr) seine Einhaltung
dieses Vertragsanhangs messen, auswerten und dokumentieren.
Durch fortlaufende Sicherheitskontrollen wird
die Kontrollumgebung beim Lieferanten
aufrechterhalten.
Einhaltung der
gesetzlichen und
satzungsmäßigen
Bestimmungen vor Ort
Der Lieferant muss sicherstellen, dass auf Informationssicherheit bezogene gesetzliche wie
satzungsmäßige Bestimmungen des Geltungsbereichs, in welchem der Lieferant arbeitet,
eingehalten werden und dass die Einhaltung angemessen dokumentiert wird.
Die Nichteinhaltung der gesetzlichen und
satzungsmäßigen Bestimmungen vor Ort
könnte sowohl für den Lieferanten als auch für
Barclays ernsthafte Konsequenzen haben,
unter anderem Geldbußen, und im Extremfall
den Verlust der Banklizenz von Barclays.
Version 7.0, Dezember 2016
Hinweis: Lieferanten, die Barclays Schweiz unterstützen, erhalten spezifische Anweisungen
1
Weiterbildung und
Awareness
Der Lieferant muss dafür sorgen, dass alle seine neuen Mitarbeiter innerhalb eines angemessenen
Zeitraums eine Schulung absolvieren, die ihnen die nötigen Kenntnisse über ihre Funktionen und
Verantwortlichkeiten in Bezug auf die Informationssicherheit vermittelt.
Durch Weiterbildung und Awareness werden
alle anderen Kontrollen im Rahmen dieses
Vertragsanhangs unterstützt.
Kontrollbereich /
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Über die Bedeutung
Informationsressourcen
Beim Lieferanten muss es eine benannte Kontaktperson geben, die Ansprechpartner für den
Verantwortlichen für Informationsressourcen von Barclays ist.
Die Zuständigkeit für Informationsressourcen
ist für den ausreichenden Schutz von
Informationsressourcen von grundlegender
Bedeutung.
Kategorisierung von
Informationen
Der Lieferant muss sicherstellen, dass vorhandene Kontrollen die Bestimmungen zur
Vertraulichkeit, Integrität und Verfügbarkeit der Informationsressource auf Grundlage ihrer
Kategorisierung einhalten. Die Kategorisierung wird von Barclays vorgegeben.
Die Kategorisierung bestimmt die für die
Informationsressource vorgeschriebene
Kontrollstufe.
Registrierung und
Kategorisierung
Auf alle Informationsressourcen, die im Auftrag von Barclays aufbewahrt oder verarbeitet werden,
wendet der Lieferant das Barclays Schema zur Kategorisierung von Informationen (Anhang B,
Tabelle 1) oder ein alternativ vereinbartes Schema an.
Eine vollständige und genaue Bestandsliste der
Informationsressourcen ist unverzichtbar, um
sicherzustellen, dass die Kontrollen
angemessen sind.
Kennzeichnung
Sofern zutreffend, muss der Lieferant Informationsressourcen angemessen* im Einklang mit den
Bestimmungen des Barclays Schemas zur Kategorisierung von Informationen (oder des alternativ
vereinbarten Schemas) kennzeichnen.
Mit Hilfe der Kennzeichnung werden Benutzer
über die Kontrollbestimmungen für die
Ressource informiert.


Version 7.0, Dezember 2016
*Der Ausdruck „angemessen(e)” bezieht sich auf den Nutzen der Kennzeichnung
gegenüber den damit verbundenen Kosten. Beispielsweise kann die Beschriftung eines
Dokuments unangemessen sein, wenn diese einen Verstoß gegen etwaige
Manipulationsschutzvorschriften bedeuten würde.
Sofern eine nicht standardmäßige Kennzeichnung vorgeschrieben ist (d. h. eine
Kennzeichnung, die nicht dem vereinbarten Kategorisierungsschema entspricht), muss
diese zunächst mit Barclays vereinbart werden.
2
Sichere Aufbewahrung
Es müssen Kontrollen zum Schutz von Informationsressourcen vorhanden sein, unabhängig
davon, wo sie aufbewahrt werden (dies gilt für Informationen, die im Rahmen von strukturierten
und unstrukturierten Methoden aufbewahrt werden).
Informationsressourcen wie beispielsweise kryptografische Schlüssel oder Passwörter, die zum
Schutz anderer Informationsressourcen oder für den Zugriff darauf verwendet werden, müssen
selbst durch Verschlüsselung oder gleichwertige Kontrollen geschützt werden.
Informationsressourcen werden in der Regel
zusammen aufbewahrt; sie stellen deshalb eine
Risikokonzentration dar und müssen gesichert
werden.
Backups
Backups müssen entsprechend der Einstufung von Vertraulichkeit, Integrität und Verfügbarkeit
der Informationsressource geschützt werden.
Häufigkeit und Methode von Backups müssen mit dem Verantwortlichen für die
Informationsressource vereinbart werden.
Sofern die physische Übertragung von Speichermedien erforderlich ist, entweder zur
Ermöglichung eines Backups oder für die Aufbewahrung außerhalb des Standortes nach einem
Backup, müssen Kontrollen vorhanden sein, um für die Sicherheit der Übertragung zu sorgen (z. B.
Verschlüsselung von Speichermedien, sichere Transportbehälter).
Für Informationsressourcen, bei denen ein Backup durchgeführt wurde, muss es definierte
Kontrollen geben, um sicherzustellen, dass der Zugriff nur gewährt wird, wenn er erforderlich ist.
Backups speichern Kopien von
Informationsressourcen und müssen deshalb
den gleichen Kontrollen unterliegen.
Kontrollbereich /
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Über die Bedeutung
Sicherer Abruf
Der Lieferant darf eine Informationsressource nur an eine Einzelperson herausgeben, für die
Barclays die Genehmigung erteilt hat.
Es muss eine dokumentierte/erfasste Kontrollkette vorhanden sein und über den gesamten
Abrufprozess hinweg aufrechterhalten werden.
Eine angemessene Kontrollkette sorgt für die
Sicherheit von Informationsressourcen vor
Verlust.
Wenn zur Ermöglichung des Abrufs eine physische Übertragung von Speichermedien erforderlich
ist, müssen Kontrollen vorhanden sein, um für die Sicherheit der Übertragung zu sorgen.
Kontrollbestimmungen zur physischen Sicherheit sind in den Lieferantenbestimmungen zur
physischen Sicherheit (BEAM) definiert.
Version 7.0, Dezember 2016
3
Genehmigte Verwendung
Der Lieferant erstellt und veröffentlicht allgemeine Nutzungsbedingungen, die seine Mitarbeiter
über ihre Verantwortlichkeiten in Kenntnis setzen. Die Zugriffs- und Nutzungsbestimmungen
müssen sich zumindest auf die zulässige Nutzung von Internet, sozialen Medien, Firmen-E-Mail,
Echtzeitkommunikation, IT-Geräten, die vom Lieferanten bereitgestellt werden, mitgebrachte
eigene Geräte, die für den Zugriff auf Informationsressourcen von Barclays verwendet werden und
die Verantwortlichkeiten der Mitarbeiter beim Umgang mit Informationsressourcen von Barclays
erstrecken.
Die allgemeinen Nutzungsbedingungen helfen
bei der Verstärkung der Kontrollumgebung
zum Schutz von Informationsressourcen.
Der Lieferant unternimmt angemessene Schritte, um die Einhaltung der allgemeinen
Nutzungsbedingungen sicherzustellen.
Version 7.0, Dezember 2016
4
Logische
Zugriffsverwaltung
(Logical Access
Management (LAM))
Die LAM-Kontrollziele müssen für sämtliche Arten von IT-Systemkonten (Benutzerkonto,
Benutzerkonto mit besonderen Rechten, Funktionskonto, gemeinsames Konto) gelten.
Der Lieferant muss Verantwortlichkeiten für die Implementierung der in diesem Vertragsanhang
aufgeführten LAM-Kontrollziele sowie für die Berichterstattung über deren Effektivität abstimmen
und dokumentieren.
Angemessene LAM-Kontrollen helfen dabei,
sicherzustellen, dass Informationsressourcen
vor unangemessener Verwendung geschützt
werden.
Die individuelle Verantwortung für jedes Konto muss geregelt sein (bei der Nutzung gemeinsamer
Konten muss die Übernahme der Verantwortung für sie durch zusätzliche dem Risiko
angemessene Kontrollen und Prozesse erreicht werden). Bei sämtlichen Konten und
Kontenkombinationen müssen das Prinzip der geringsten Rechte und das Prinzip der
Aufgabentrennung umgesetzt werden.
Die Authentifizierung einer Einzelperson muss vorgenommen werden, bevor der Zugriff auf ein ITSystem gewährt wird. Die Authentifizierung muss auf sichere Weise und mit der Komplexität, die
dem Risiko der Informationsressource, auf die zugegriffen wird, angemessen ist, erreicht werden
(z. B. Mehrfaktor-Authentifizierung, Passwortkomplexität, verschlüsselte über Authentifizierung).
Zugriffsverwaltungsprozesse müssen definiert sein und mindestens Folgendes beinhalten:



Kontobereitstellung und die Zuweisung von Berechtigungen müssen eingeführt sein, so
dass für hinreichende Aufsicht über das Anlegen neuer Konten und die zur Verfügung
gestellten Zugriffsebenen gesorgt ist
Prozesse für die Änderung der Zugriffsrechte, den Entzug von Zugriffsrechten, die
Sperrung des Zugriffs und die Löschung von Konten nebst definierten Zeitvorgaben auf
Grundlage der Risikostufen der Informationsressourcen, auf die zugegriffen wird
Prozesse für eine in regelmäßigen Abständen durchgeführte risikobasierte Überprüfung
und Genehmigung der Zugriffsberechtigung
Bei der Kontrolle von Versetzten muss sichergestellt sein, dass der Lieferant im Hinblick auf eigene
Mitarbeiter, die einer neuen Funktion zugewiesen werden, innerhalb von fünf (5) Werktagen vor
dem Stichtag Zugriffsrechte anfordert bzw. ändert.
Durch die Kontrolle von Ausscheidenden muss gewährleistet sein, dass Anforderungen zum
Löschen bzw. Deaktivieren des Zugriffs gemäß dem folgendem Zeitplan vom
Kontenverwaltungsteam ausgeführt werden:
Version 7.0, Dezember 2016

Anforderungen bezüglich Netzwerk- und Remotezugriff-Konten müssen innerhalb von
vierundzwanzig (24) Stunden erledigt werden.

Wenn der Benutzer eine Vorankündigung macht, muss der Linienvorgesetzte den
entsprechenden Löschungsantrag (die entsprechenden Löschungsanträge) spätestens
am letzten Arbeitstag des Benutzers stellen.

Wenn der Benutzer keine Vorankündigung macht (z. B., wenn der Benutzer die
Kündigung am letzten Tag im Büro oder danach sendet), muss der Linienvorgesetzte den
5
entsprechenden Löschungsantrag (die entsprechenden Löschungsanträge) innerhalb
von 24 Stunden nach Annahme der Kündigung, d. h. Datum des Vertragsendes, stellen.

Wenn der Benutzer die Organisation nicht benachrichtigt, muss der Linienvorgesetzte
den entsprechenden Löschungsantrag (die entsprechenden Löschungsanträge)
innerhalb von 24 Stunden nach dem Kündigungsdatum, d. h. Datum des Vertragsendes,
stellen.

Wenn dem Benutzer gekündigt wird, muss der Linienvorgesetzte den entsprechenden
Löschungsantrag (die entsprechenden Löschungsanträge) innerhalb von 24 Stunden
nach der Kündigung, d. h. Datum des Vertragsendes, stellen.

Der Linienvorgesetzte muss jedoch keine Löschungsanträge stellen, wenn dies bereits
automatisiert ist (z. B. durch HR-Systeme).
Der Klarheit halber wird angemerkt, dass die Begriffe „letzter Arbeitstag“, „letzter Tag im Büro“
und „Tag des Vertragsendes“ die gleiche Bedeutung haben. In Situationen, wo sich aufgrund von
geschäftlichen oder geografischen Feinheiten Unterschiede zwischen ihnen ergeben, wird der Tag
des Vertragsendes, also der Tag, zu dem die Firma das Ausscheiden des Mitarbeiters in ihren
Unterlagen erfasst, herangezogen.

Alle anderen Kontenanforderungen müssen innerhalb von sieben (7) Tagen bearbeitet
werden.
Durch Kontrollmechanismen für nicht beanspruchte Konten ist sicherzustellen, dass
Mitarbeiterkonten des Lieferanten, die sechzig (60) Tage in Folge oder länger nicht mehr genutzt
werden, automatisch aufgelöst werden oder entsprechende Kontrollen zum Ausgleich angewandt
werden.
Zugriffsmethoden
Der Zugriff auf Informationsressourcen darf nur mit Methoden möglich sein, die den
Sicherheitsbestimmungen zu Vertraulichkeit, Integrität und Verfügbarkeit gerecht werden können.
Diese Zugriffsmethoden müssen dokumentiert und in regelmäßigen Abständen bewertet werden,
um sicherzustellen, dass ihre Fähigkeiten in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit
erhalten bleiben.
Zugriffsverwaltungskontrollen sorgen mit
dafür, dass nur zugelassene Benutzer auf die
Informationsressourcen zugreifen können.
Passwörter für interaktive Konten müssen mindestens alle 90 Tage gewechselt werden und sich
von den zwölf (12) vorherigen Passwörtern unterscheiden.
Verantwortliche für IT-Systeme müssen darauf achten, dass die Passwörter aktiver, privilegierter
Standard-IT-Systemkonten nach jedem Gebrauch, mindestens jedoch alle 90 Tage, geändert
werden.
Spätestens nach fünf (5) fehlgeschlagenen Anmeldeversuchen in Folge muss ein interaktives
Konto automatisch durch die Kontensteuerung deaktiviert werden.
Version 7.0, Dezember 2016
6
Remotezugriffssteuerungen dürfen nur über die von Barclays zugelassenen Mechanismen erlaubt
werden, und beim Remotezugriff muss eine Mehrfaktor-Authentifizierung erfolgen.
Kontrollbereich /
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Über die Bedeutung
Unstrukturierte
Informationen
Die Kontrollmechanismen für unstrukturierte Informations-Repositorys müssen sicherstellen, dass
alle unstrukturierten Informations-Repositorys identifiziert worden sind, und der Zugriff auf jedes
unstrukturierte Informations-Repository, das Informationsressourcen von Barclays (die als
„Geheim“, „Vertraulich“ oder „Nur für den internen Gebrauch“ klassifiziert sind) enthält, muss
nach der Kategorie „need-to-know“ (Kenntnis erforderlich) bzw. „need-to-have“ (Besitz
erforderlich) konfiguriert werden.
Die Identifizierung der unstrukturierten
Informationen ist der grundlegende Schritt bei
der Anwendung der richtigen Kontrollstufen.
Bereinigung von
Informationen
Der Lieferant darf Produktionsdaten von Barclays in Testumgebungen nur verwenden, wenn die
Daten durch Obfuskation unkenntlich gemacht worden sind, es sei denn, es sind Kontrollen
vorhanden, die den Produktionssystemkontrollen gleichwertig sind.
Testumgebungen sind oft nicht so sicher wie
Produktionsumgebungen, und deshalb sind
Informationsressourcen in einer
Testumgebung einem größeren Risiko
ausgesetzt.
Kryptografische Schlüssel aus der Produktion von Barclays dürfen nicht in Testumgebungen
verwendet werden, und Testschlüssel dürfen nicht in Produktionsumgebungen verwendet
werden.
Verhinderung von
Datenlecks
Der Lieferant muss die Risiken bewerten, denen die verschiedenen Informationsressourcentypen
von Barclays ausgesetzt sein können. Die in Betracht gezogenen Risiken müssen zumindest die
Bedrohungen und Datenleck-Kanäle berücksichtigen, die in Anhang A: Barclays
Mindestanforderungen zur Risikobewertung, Tabellen 1 und 2, aufgeführt sind.
Angemessene Kontrollen zur Verhinderung
von Datenlecks sind ein wichtiges Element der
Informationssicherheit, denn sie helfen dabei,
sicherzustellen, dass Informationsressourcen
von Barclays nicht verloren gehen.
Sicherheit beim Transport
Es müssen Kontrollen vorhanden sein, um sicherzustellen, dass Informationsressourcen von
Barclays (die als „Geheim“, „Vertraulich“ oder „Nur für den internen Gebrauch“ klassifiziert sind)
beim Transport ihrer Kategorisierung entsprechend durch Verschlüsselung oder gleichwertige
Kontrollen geschützt sind. Für die Übertragung von Informationsressourcen in physischer Form
gelten die Anforderungen in den Kontrollbestimmungen für externe Lieferanten zur physischen
Sicherheit.
Durch Kontrollen zur Sicherheit beim
Transport werden die Informationen von
Barclays davor geschützt, abgefangen und
offengelegt zu werden.
Identität des Empfängers
Der Lieferant darf Informationen von Barclays nur an Einzelpersonen senden, für die Barclays die
Genehmigung erteilt hat.
Durch Kontrollen der Identität des Empfängers
wird sichergestellt, dass Barclays bekannt ist,
Version 7.0, Dezember 2016
7
wohin Informationen von Barclays gesendet
werden.
Vernichtung / Löschung /
Außerbetriebnahme von
physischen und logischen
Informationen
Auf Verlangen von Barclays muss der Lieferant Informationsressourcen, ob nun in elektronischer
oder physischer Form, vernichten, so dass es nicht möglich ist, sie wieder sinnvoll
zusammenzusetzen.
In IT-Systemen und auf Speichermedien gespeicherte Informationsressourcen müssen gelöscht
oder so verschlüsselt werden, dass für die Nichtwiederherstellbarkeit der Informationsressource,
wenn sie nicht mehr benötigt wird, gesorgt ist.
Schutz des Geländes
Der Lieferant muss eine Bestandsliste der externen Netzwerkverbindungen, über das Internet
erreichbaren Hosts und Datenübertragungen führen, die zur Übermittlung von Barclays-Daten
zurück an Barclays oder Dritte (darunter auch Subunternehmen [des Lieferanten]) verwendet
werden. Datenübertragungen sollten je nach der Kategorisierung der übertragenen
Informationsressource kategorisiert werden, für sie sollte es klar definierte Verantwortliche geben
und die Sicherheit der Verbindung sollte nachgewiesen werden.
Die sichere Vernichtung von
Informationsressourcen hilft dabei,
sicherzustellen, dass Informationsressourcen
von Barclays nicht durch Verlust oder
böswillige Aktivitäten offengelegt werden.
Ein angemessener Schutz für das Gelände hilft
dabei, für den angemessenen Schutz des
Netzwerks und der Informationsressourcen
von Barclays zu sorgen.
Auf dem Gelände muss ausgehend von den geschäftlichen Erfordernissen ein in mehrere
getrennte Bereiche unterteiltes Netzwerkdesign implementiert werden.
Auf dem Gelände dürfen nur Geräte aufgestellt werden, die den Zugang zu/von externen
Netzwerken benötigen oder ermöglichen.
Interne Netzwerksicherheit
Der Lieferant muss Informationsressourcen von Barclays in einem von anderen Kunden
getrennten Netzwerk speichern.
Ein getrenntes Netzwerk hilft dabei, für einen
hinreichenden Schutz der
Informationsressourcen von Barclays vor
unbefugter Offenlegung zu sorgen.
Schutz von IT-Systemen
Der Lieferant muss auf seine Systeme nach einem risikobasierten Ansatz für Festlegungen zur
Anwendbarkeit und zum Zeitplan Sicherheitspatches aufspielen. Anti-Malware-Lösungen müssen
vorhanden sein, sofern sie auf Betriebssystem-Ebene unterstützt werden (z. B. Workstations und
Server).
Kontrollen zur Sicherheit von IT-Systemen sind
für den Schutz der Informationsressourcen von
Barclays von entscheidender Bedeutung.
Sichere Build-Standards
Der Lieferant muss Build-Standards für sämtliche konfigurierbare Out-of-the-Box-Software, die
massenweise eingesetzt wird (z. B. Betriebssysteme, Datenbanken), und Firmware von häufig
gebrauchter Infrastruktur (z. B. SAN oder Netzwerkgeräte) definieren und implementieren. In den
Build-Standards müssen die für die unterschiedlichen Software-Versionen anzuwendenden
Mindestanforderungen an die Sicherheit dokumentiert sein. Die Build-Standards müssen jährlich
überprüft und gegebenenfalls aktualisiert werden.
Standardmäßige Build-Kontrollen helfen,
Informationsressourcen vor unbefugtem
Zugriff zu schützen.
Version 7.0, Dezember 2016
8
Abstimmung und
Prüfprotokollierung von
Sicherheitsänderungen
Die Einhaltung der Build-Standards muss überwacht und dem benannten Mitarbeiter des
Lieferanten gemeldet werden. Bei Nichteinhaltung des Build-Standards müssen
Abstellmaßnahmen erfolgen. Bei Sicherheitsänderungen (z. B. Änderungen der
Sicherheitskonfiguration, Änderung der Rechte für Konten) muss immer ein Protokoll generiert
werden, das in einer manipulationssicheren Umgebung gespeichert wird.
Die Einhaltung von Standard-Builds und
Kontrollen, die sicherstellen, dass Änderungen
genehmigt sind, hilft dabei, für den Schutz der
Informationsressourcen von Barclays zu
sorgen.
Es muss eine Abstimmung zwischen den übernommenen und den genehmigten Änderungen
vorgenommen werden.
Sicherheit von tragbaren
Geräten
Bei tragbaren Geräten muss bewirkt werden, dass sie nicht mehr auf Informationsressourcen von
Barclays zugreifen können, wenn die Kontrolle über das tragbare Gerät verloren geht (z. B. wegen
Diebstahls oder Übernahme durch Malware), und Kontrollen zur Verhinderung von Datenlecks
müssen wirksam bleiben, wenn das Gerät nicht mit einem Netzwerk verbunden ist.
Die Nutzung von tragbaren Geräten findet
zunehmende Verbreitung, und deshalb werden
Kontrollen, die für die Sicherheit dieser Geräte
sorgen, immer wichtiger.
Schutz von Anwendungen
Der Lieferant muss sicherstellen, dass Anwendungen mit sicheren Praktiken für Codes entwickelt
werden müssen, und er muss über hinreichende LAM-Strukturen ausgehend von den
Informationsressourcen, auf die über sie zugegriffen werden kann, verfügen.
Kontrollen zum Schutz der
Anwendungsentwicklung helfen, dafür zu
sorgen, dass Anwendungen beim Einsatz
geschützt sind.
Die Binärcodes von Anwendungen müssen beim Einsatz oder während sie sich in der SourceBibliothek befinden vor unbefugten Änderungen geschützt werden.
Netzwerkzugriff und
Remotezugriff
Der Lieferant muss durch angemessene Netzwerkzugriffskontrollen sicherstellen, dass der Zugriff
auf das interne Netzwerk überwacht werden muss und nur Geräte mit entsprechender
Berechtigung erlaubt sind. Wenn der Remotezugriff auf Informationsressourcen von Barclays
erlaubt ist, muss eine hinreichende Authentifizierung und Autorisierung des Endpunktes unter
Berücksichtigung von Benutzeridentität, Gerätetyp und Sicherheitsstatus des Gerätes (z. B. PatchLevel, Status von Anti-Malware, Mobilgerät mit vollen Administratorrechten (Root) oder ohne
Root usw.) vorgenommen werden.
Netzwerkzugriffskontrollen helfen dabei, zu
verhindern, dass unsichere Geräte mit dem
Netzwerk des Lieferanten verbunden und auf
diese Weise neue Schwachstellen einbracht
werden.
Verschlüsselung
Der Lieferant muss die von ihm angewendeten Verschlüsselungstechnologien und
kryptografischen Algorithmen überprüfen und bewerten, um sicherzustellen, dass sie noch für
ihren Zweck geeignet sind. Die Stärke der eingesetzten Verschlüsselung muss im richtigen
Verhältnis zur Risikoneigung stehen, da sie sich auf den Betrieb oder die Leistung auswirken kann.
Ein aktueller und angemessener Schutz durch
Verschlüsselung sowie aktuelle und
angemessene Verschlüsselungsalgorithmen
stellen den kontinuierlichen Schutz der
Informationsressourcen von Barclays sicher.
Cloud-Computing
Jede Nutzung des Cloud-Computing im Rahmen des Dienstes für Barclays (sofern
geheime/vertrauliche Informationen von Barclays gespeichert werden bzw. auf sie zugegriffen
wird) muss durch die zuständigen Teams von Barclays genehmigt werden; und Kontrollen zum
Schutz der Informationen von Barclays und des Dienstes müssen dem Risikoprofil und der
Kritikalität der Informationsressource angemessen sein, um Datenlecks und Cyber-Verletzungen
zu verhindern.
Wird dieses Prinzip nicht umgesetzt, könnten
unangemessen geschützte
Informationsressourcen von Barclays
gefährdet werden, was rechtliche und
regulatorische Strafmaßnahmen oder
Rufschädigung zur Folge haben kann.
Version 7.0, Dezember 2016
9
Definitionen
Benutzerkonto
Funktionskonto
Gemeinsames Konto
Konto ohne besondere Rechte, das einem Mitarbeiter, einem Berater, einem Auftragnehmer oder einer Zeitarbeitskraft des Lieferanten
zugeteilt wurde, der bzw. die zum Zugriff auf ein im Eigentum von Barclays befindliches System berechtigt ist.
Konto, das keiner individuellen Mitarbeiterkennung zugeteilt ist, das von einem IT-System für den Zugriff auf dasselbe IT-System oder auf
andere IT-Systeme verwendet wird.
Konto, das mehreren Mitarbeitern, Beratern, Auftragnehmern oder Zeitarbeitskräften der Barclays Group mit Zugriffsberechtigung
überlassen wird, wenn Einzelkonten aufgrund der Art des Systems, auf das zugegriffen wird, keine zur Verfügung gestellte Option sind (z. B.
ein Konto von Barclays in sozialen Medien, ein Konto für virtuelle Datenräume, ein App-Store-Konto).
Geringste Rechte
Der Mindestumfang an Zugriffsrechten/Genehmigungen, mit denen einem Benutzer oder Konto die Wahrung seiner geschäftlichen
Informations-Lebenszyklus
Funktion ermöglicht wird.
Mit der Bezeichnung Informationsressourcen-Lebenszyklus werden die unterschiedlichen Phasen beschrieben, die Informationsressourcen
während ihres Bestehens durchlaufen, und zwar:
Erstellen und einführen, Speichern, Zugriff und Verwendung, Weitergabe, Archivieren und Entsorgen
Informationsressource
Informationsressource ist definiert als jegliche Einzelinformation oder Gruppe von Informationen, die einen Wert für die Organisation hat.
Konto mit besonderen
Ein Konto mit besonderen Rechten ist ein Konto, das ein höheres Maß an Kontrolle über ein spezifisches IT-System bietet. Solche Konten
Rechten
Plattform
werden in der Regel für Systemwartung, Sicherheitsverwaltung oder Konfigurationsänderungen an einem IT-System verwendet.
Die Hardware und Software, die vorhanden sein und funktionieren muss, damit ein Anwendungsprogramm bestimmungsgemäß läuft
[seine Aufgaben erfüllt]. Zu einer Plattform gehören unter anderem die Betriebssystem-Software oder Executive Software,
Kommunikationssoftware, Mikroprozessor, Netzwerk, Input-/Output-Hardware, generische Software-Bibliotheken, Datenbankverwaltung,
Benutzerschnittstellensoftware und dergleichen.
Live-Umgebung, bestehend aus Hardware und Software, die von Endbenutzern zur Speicherung und Verarbeitung von Informationen für
Geschäftszwecke verwendet wird. Hierzu gehört auch die Umgebung für die Wiederherstellung bei einem Unglücksfall.
Informationen, die in der Regel in Datenbanken gespeichert werden, auf die über Anwendungssysteme zugegriffen werden kann.
Produktionsumgebung
Strukturierte Informationen
System
Testumgebung
Umgebung für die
Wiederherstellung bei einem
Unglücksfall
Version 7.0, Dezember 2016
Ein System im Kontext dieser Richtlinie sind Menschen, Verfahren, IT-Geräte und Software. Die Elemente dieses zusammengesetzten
Gebildes werden zusammen in der vorgesehenen Betriebs- oder Support-Umgebung verwendet, um eine bestimmte Aufgabe zu verrichten
oder einem bestimmten Zweck gerecht zu werden, Support zu leisten oder eine Einsatzanforderung zu erfüllen.
Umgebung, bestehend aus Software und Hardware, in der Änderungen getestet werden, bevor die Freigabe für die Produktionsumgebung
erfolgt.
Umgebung, bestehend aus Hardware und Software, die bei einem Unglücksfall eine alternative Datenverarbeitungsanlage zur
Produktionsumgebung zur Verfügung stellt.
10
Unstrukturierte Informationen
In Büroautomatisierungs-Dateitypen (z. B. Microsoft Office-Dateien), Skripten oder Bildern gespeicherte Informationen.
Verantwortlicher für
Informationsressourcen
Die Einzelperson bei Barclays, die für die Kategorisierung einer Ressource verantwortlich ist sowie dafür, dass der korrekte Umgang mit der
Ressource sichergestellt wird.
Anhang A: Barclays Mindestanforderungen zur Risikobewertung
Tabelle 1: Bedrohungen
Bedrohung
Beschreibung
Manipulation von Informationen
Unzulässige Verwendung eines Computersystems, um Informationen zu ändern. Dies könnte über ein gehacktes Konto
oder durch eine autorisierte Person geschehen, die bewusst oder unbewusst ihre Befugnisse überschreitet.
Unbefugte Offenlegung von Informationen
Bewusste oder unbewusste, unzulässige Offenlegung von:

Geschäftsinformationen (z. B. Projektbezeichnungen, Kundennamen, Patientenakten oder Kreditkartennummern)

Benutzeranmeldedaten (z. B. eindeutige Bezeichner oder Kennwörter), die vertraulich bleiben sollten
Diebstahl, unbefugte Verwendung von Software
oder unbefugter Zugriff auf Software
Diebstahl von Barclays' Software, ob nun proprietäre Software oder Software, für die Barclays eine Lizenz von Dritten hat
(z. B. Programme, Computercode, Quellcode und Methodiken).
Unbefugter Zugriff auf bzw. Diebstahl von
Barclays’
Unbefugter Zugriff auf bzw. Diebstahl von:

Barclays Geschäftsinformationen (z. B. Kundenlisten, Produktdesigns, Handelsgeheimnisse oder geistiges
Eigentum)

Personenbezogene Daten (Kreditkartennummern, Sozialversicherungsnummern, Patientenakten)
Informationsressource
Diebstahl oder Verlust von Mobilgeräten oder
Wechseldatenträgern mit
Informationsressourcen von Barclays
Version 7.0, Dezember 2016
Diebstahl oder Verlust von tragbaren Computergeräten (z. B. Geräte, die von Personen in Remote-Umgebungen verwendet
werden) wie beispielsweise Laptops, Tablets, Smartphones und Wechseldatenträger.
11
Tabelle 2: Minimale Gruppe von Daten- (Informations-) Ausschleusungskanälen, die im Rahmen der Informationsrisikobewertung
des Lieferanten in Betracht zu ziehen sind:
Kanal
Beispiele
E-Mail
Firmen-E-Mail, Webmail, sonstige E-Mail
Web
Internet (z. B. soziale Netzwerke, Wikis, Chaträume)
Wechseldatenträger
Genehmigte / nicht genehmigte Verwendung, Backup-Datenträger, USBGeräte, unter anderem Speichersticks, tragbares Festplattenlaufwerk.
Zudem optische Speichermedien, Smartcards usw.
Firmengeräte (Laptops, Telefone, Tablets usw.)
Persönliche Geräte (Laptops, Telefone, Tablets usw.)
Dokumente/Papiere (Notizblöcke, Flipcharts usw.)
Papierlose Quellen (Kodierungsschlüsselkarten, Smartcards usw.)
Physische Dateien
Physische Ressourcen
Drucken
Dateiübertragung
Personen
Spracheingabe
Netzwerke und
Konnektivität
Version 7.0, Dezember 2016
Jegliches Drucken – Homeprinting, Remote-Drucken
Website
Cloud-Dienste
Peer-to-Peer / IM
FTP / Sicheres FTP
Fax
EDI (elektronischer Datenaustausch)
Social Engineering
Nötigung
Bestechung
Menschliches Versagen
Diktiergeräte
Telefonkonferenzen
Aufzeichnungen und Voicemail
Ungesicherte/persönliche Netzwerke
W-LAN
12
Bild
Remotezugriff
Fotografische Aufnahme
Webcams
Video/CCTV
Anhang B: Barclays Schema zur Kategorisierung von Informationen – Tabelle 1: Barclays Schema zur Kategorisierung von
Informationen und Standardbeschriftungen
Version 7.0, Dezember 2016
13
Kategorie
Definition
Informationen, deren unbefugte Offenlegung (intern oder extern)
schwerwiegende finanzielle oder rufbedingte Schäden, einen deutlichen Verlust
an Wettbewerbsvorteilen oder eine regulatorische bzw. rechtliche
Strafmaßnahme zur Folge haben kann.
Geheim
Hinweis: Einige Informationen können nur über einen kurzen Zeitraum als
„Geheim“ erachtet werden.
Informationen, die geistiges Eigentum des Unternehmens sind („proprietäre
Informationen“) oder die mit einem Kerngeschäftsprozess verbunden sind und
auf die nicht alle Mitarbeiter zugreifen müssen bzw. dürfen.
Vertraulich
Der Zugriff auf diese Informationen wird nur von denjenigen benötigt, bei denen
eine Notwendigkeit der Kenntnis („need-to-know“) zur Erfüllung ihrer Aufgaben
besteht. Solche Informationen können negative Auswirkungen haben, wenn sie
– intern oder extern – unbefugten Mitarbeitern offengelegt würden.
Persönliche und finanzielle Kundeninformationen müssen mindestens als
„Vertraulich“ eingestuft werden. Wenn die Informationen als „vertraulichpersönlich” gelten und eines besonderen Schutzes bedürfen, müssen sie als
„Geheim“ eingestuft werden. .
Betrifft Informationen bezüglich interner Vorgänge von Barclays, nicht
vertrauliche interne Mitteilungen und allgemeine Mitteilungen, die für die
Verteilung innerhalb des Unternehmens geeignet sind.
Nur für den internen
Gebrauch
Solche Informationen haben in der Regel keine wesentlichen Auswirkungen
oder Folgen für Barclays oder seine Kunden bzw. Geschäftspartner, wenn sie
unbefugten Personen gegenüber offengelegt werden. Jedoch könnten sie
Kenntnisse über interne Vorgänge von Barclays vermitteln, die für Firmenfremde
ungeeignet sind.
Informationen der Kategorie „Nur für den internen Gebrauch” können, soweit
angemessen, nach außerhalb des Unternehmens gesendet werden (z. B. an freie
Mitarbeiter), sofern eine Genehmigung beim Verantwortlichen für die
Informationsressource eingeholt wurde.
Unbegrenzt
Informationen, die sich bereits in der öffentlichen Domäne befinden oder dafür
freigegeben wurden, oder Informationen, deren unbefugte Veröffentlichung
keine wesentlichen negativen Auswirkungen oder Folgen für Barclays oder seine
Kunden bzw. Geschäftspartner hätte.
Beispiele
































Gewinnprognosen oder Jahresbilanzen (vor deren Veröffentlichung)
Informationen über mögliche Firmenzusammenschlüsse oder übernahmen
Informationen über strategische Pläne
Vorstandsprotokolle
Bestimmte Angaben über die Sicherheitskonfiguration von
Informationssystemen*
Bestimmte Befunde und Berichte einer Betriebsprüfung*
Bestimmte Datensätze bezüglich Klienten, Kunden oder Mitarbeiter*
Neue Produktpläne
Klientenverträge
Befunde und Berichte einer Betriebsprüfung*
Rechtsgültige Verträge
Kunden-/Klienteninformationen*
Strategien und Budgets
Schwachstellenbewertungen
Leistungsbeurteilungen
Löhne und persönliche Daten von Mitarbeitern
Angaben über die Sicherheitskonfiguration von
Informationssystemen*
Organisatorische Richtlinien und Standards
Prozessdokumente
Interne Ankündigungen
Namen und Verzeichnisse der Belegschaft
Berufliche Funktionen
Organisatorische Diagramme
Handbuch der Belegschaft
Newsletter
Interne Mitteilungen (an Einzelne oder mehrere Empfänger), die nicht
als „Vertraulich“ oder „Geheim“ eingestuft sind
Tagesordnungen/Protokolle von Besprechungen, die nicht als
„Vertraulich“ oder „Geheim“ eingestuft sind
Marketingmaterial
Stellenausschreibungen
Öffentliche Ankündigungen
Öffentlich zugängliche Websites von Barclays
Veröffentlichungen
*
Informationen über Systemsicherheitskonfigurationen, Ergebnisse von Betriebsprüfungen und personenbezogene Datensätze können, je nach den Auswirkungen ihrer
unbefugten
Offenlegung auf das Geschäft, entweder als „Vertraulich“ oder „Geheim“ eingestuft werden.
Version 7.0, Dezember 2016
14
Barclays Schema zur Kategorisierung von Informationen – Tabelle 2: Verarbeitungsanforderungen gemäß dem Barclays Schema
zur Kategorisierung von Informationen im Laufe des Lebenszyklus der Informationsressource
Kategorisierung
nach Phase des
Lebenszyklus
Nur für den internen Gebrauch
Erstellen und
Einführen

Speichern



Zugriff und
Verwendung
Ressourcen müssen einem
Verantwortlichen für Informationen
zugewiesen sein.
Ressourcen (ob physisch oder
elektronisch) dürfen nicht in öffentlichen
Bereichen abgelegt werden (einschließlich
öffentlicher Bereiche innerhalb der
Einrichtungen des Lieferanten, in die ein
Besucher ohne Überwachung gelangen
könnte).
Vertraulich

Ressourcen müssen einem Verantwortlichen für
Informationen zugewiesen sein.

Ressourcen müssen einem Verantwortlichen für
Informationen zugewiesen sein.

Ressourcen (ob physisch oder elektronisch)
dürfen nicht an Orten abgelegt werden, in denen
unbefugte Personen in der Lage sein könnten, sie
einzusehen oder auf sie zuzugreifen.

Ressourcen (ob physisch oder elektronisch) dürfen
nicht an Orten abgelegt werden, in denen
unbefugte Personen in der Lage sein könnten, sie
einzusehen oder auf sie zuzugreifen.

Elektronische Ressourcen in Speichermedien
müssen durch Verschlüsselung oder geeignete
Ausgleichskontrollen geschützt werden, wenn ein
erhebliches Risiko des unbefugten Zugriffs
besteht.

Elektronische Ressourcen in Speichermedien
müssen durch Verschlüsselung oder geeignete
Ausgleichskontrollen geschützt werden, wenn ein
erhebliches Risiko des unbefugten Zugriffs besteht.

Alle zum Schutz der Daten, der Identität und/oder
Reputation von Barclays verwendeten privaten
Schlüssel müssen durch zertifizierte HSMs
(Hardware Security Modules), d. h. FIPS 140-2
Level 3 oder höher, geschützt sein.
Informationen dürfen nicht in öffentlichen
Bereichen innerhalb der Einrichtungen des
Lieferanten gelassen werden, in die ein
Besucher ohne Überwachung gelangen
könnte.

Ressourcen (ob physisch oder
elektronisch) dürfen nicht in öffentlichen
Bereichen außerhalb der Einrichtungen
des Lieferanten gelassen werden.

Ressourcen (ob physisch oder
elektronisch) dürfen nicht in öffentlichen
Bereichen innerhalb der Einrichtungen des
Lieferanten gelassen werden, in die ein
Besucher ohne Überwachung gelangen
könnte.
Version 7.0, Dezember 2016
Geheim

Ressourcen (ob physisch oder elektronisch)
dürfen nicht an Orten bearbeitet oder
unbeaufsichtigt gelassen werden, wo unbefugte
Personen sie einsehen oder auf sie zugreifen
könnten. Ressourcen können bearbeitet werden,
wenn geeignete Kontrollmechanismen vorhanden
sind (z. B. Sichtschutzelemente).

Ressourcen (ob physisch oder elektronisch) dürfen
nicht an Orten bearbeitet oder unbeaufsichtigt
gelassen werden, wo unbefugte Personen sie
einsehen oder auf sie zugreifen könnten.
Ressourcen können bearbeitet werden, wenn
geeignete Kontrollmechanismen vorhanden sind
(z. B. Sichtschutzelemente).

Gedruckte Ressourcen müssen sofort wieder vom
Druckerspeicher gelöscht werden. Ist dies nicht
möglich, müssen sichere Druckprogramme
verwendet werden.

Für den Druck vorgesehene Ressourcen müssen
mithilfe sicherer Druckprogramme gedruckt
werden.

Elektronische Ressourcen müssen durch geeignete
15
Kategorisierung
nach Phase des
Lebenszyklus
Weitergabe
Nur für den internen Gebrauch
Vertraulich

Falls erforderlich, müssen elektronische
Ressourcen durch geeignete LAMKontrollmechanismen (logische
Zugriffsverwaltung) geschützt werden.

Elektronische Ressourcen müssen durch
geeignete LAM-Kontrollmechanismen (logische
Zugriffsverwaltung) geschützt werden.

Hartkopieressourcen müssen eine
sichtbare Beschriftung mit der Kategorie
tragen. Die Beschriftung muss
mindestens auf der Vorderseite zu lesen
sein.

Hartkopieressourcen müssen eine sichtbare
Beschriftung mit der Kategorie tragen. Die
Beschriftung muss mindestens auf der Vorderseite
zu lesen sein.

Umschläge, in denen sich Hartkopieressourcen
befinden, müssen an der Vorderseite eine
sichtbare Beschriftung mit der Kategorie tragen.

Elektronische Ressourcen müssen eine eindeutige
Kategorie-Kennzeichnung erhalten. Elektronische
Kopien mehrseitiger Dokumente müssen auf jeder
Seite eine sichtbare Beschriftung mit der Kategorie
tragen.

Elektronische Ressourcen müssen eine
eindeutige Kategorie-Kennzeichnung
erhalten.

Ressourcen dürfen nur über die vom
Unternehmen genehmigten Systeme,
Methoden und Lieferanten verteilt
werden.

Ressourcen dürfen nur an Personen
verteilt werden, die beim Unternehmen
angestellt oder entsprechend vertraglich
verpflichtet sind oder die im Rahmen
eines klar anerkannten geschäftlichen
Bedarfs (z. B. Vertragsverhandlung) diese
Ressourcen benötigen.
Version 7.0, Dezember 2016

Ressourcen dürfen nur über die vom
Unternehmen genehmigten Systeme, Methoden
und Lieferanten verteilt werden.

Ressourcen dürfen nur an Personen verteilt
werden, die beim Unternehmen angestellt oder
entsprechend vertraglich verpflichtet sind oder die
im Rahmen eines klar anerkannten geschäftlichen
Bedarfs (z. B. Vertragsverhandlung) diese
Ressourcen benötigen.

Ressourcen dürfen nur an Personen verteilt
werden, die diese aus geschäftlichen Gründen
benötigen.

Ressourcen dürfen nicht per Fax gesendet
werden, es sei denn, der Absender hat bestätigt,
dass die Empfänger zur Abholung der Ressource
bereitstehen.
Geheim
LAM-Kontrollmechanismen (logische
Zugriffsverwaltung) geschützt werden.

Hartkopieressourcen müssen auf jeder Seite eine
sichtbare Beschriftung mit der Kategorie tragen.

Umschläge, in denen sich Hartkopieressourcen
befinden, müssen an der Vorderseite eine sichtbare
Beschriftung mit der Kategorie tragen und mit
einem manipulationssicheren Siegel versehen
werden. Vor der Verteilung müssen diese in einen
unbeschrifteten zweiten Umschlag gesteckt
werden.

Elektronische Ressourcen müssen eine eindeutige
Kategorie-Kennzeichnung erhalten. Elektronische
Kopien mehrseitiger Dokumente müssen auf jeder
Seite eine sichtbare Beschriftung mit der Kategorie
tragen.

Ressourcen dürfen nur über die vom Unternehmen
genehmigten Systeme, Methoden und Lieferanten
verteilt werden.

Ressourcen dürfen nur an Personen verteilt
werden, die beim Unternehmen angestellt oder
entsprechend vertraglich verpflichtet sind oder die
im Rahmen eines klar anerkannten geschäftlichen
Bedarfs (z. B. Vertragsverhandlung) diese
Ressourcen benötigen.

Ressourcen dürfen nur an Personen verteilt
werden, die vom Informationseigentümer
ausdrücklich befugt sind, sie in Empfang zu
nehmen.
16
Kategorisierung
nach Phase des
Lebenszyklus
Nur für den internen Gebrauch
Vertraulich

Archivieren und
Entsorgen
Elektronische Ressourcen müssen mithilfe eines
zugelassenen kryptografischen
Schutzmechanismus verschlüsselt werden, wenn
die Datenübertragung außerhalb des internen
Netzwerks des Lieferanten verläuft.
Geheim

Ressourcen dürfen nicht per Fax gesendet werden.

Elektronische Ressourcen müssen mithilfe eines
zugelassenen kryptografischen
Schutzmechanismus verschlüsselt werden, wenn
die Datenübertragung außerhalb des internen
Netzwerks des Lieferanten verläuft.

Für elektronische Ressourcen muss eine
Kontrollkette gepflegt werden.

Hartkopieressourcen müssen von einem
Entsorgungsdienst für vertrauliche
Unterlagen entsorgt werden.

Hartkopieressourcen müssen von einem
Entsorgungsdienst für vertrauliche Unterlagen
entsorgt werden.

Hartkopieressourcen müssen von einem
Entsorgungsdienst für vertrauliche Unterlagen
entsorgt werden.

Kopien elektronischer Ressourcen müssen
auch umgehend aus den „Papierkörben“
des Systems und ähnlichen Ablagen
gelöscht werden.

Kopien elektronischer Ressourcen müssen auch
umgehend aus den „Papierkörben“ des Systems
und ähnlichen Ablagen gelöscht werden.

Kopien elektronischer Ressourcen müssen auch
umgehend aus den „Papierkörben“ des Systems
und ähnlichen Ablagen gelöscht werden.

Medien, auf denen als „Geheim” eingestufte
elektronische Ressourcen gespeichert wurden,
müssen vor oder während der Entsorgung
entsprechend bereinigt werden.
Version 7.0, Dezember 2016
17