Kontrollpflichten externer Lieferanten Informationssicherheit Version 7.0, Dezember 2016 Kontrollbereich / Bezeichnung der Kontrolle Beschreibung der Kontrolle Über die Bedeutung Funktionen und Verantwortlichkeiten Der Lieferant muss Funktionen und Verantwortlichkeiten für die Informationssicherheit (logische Zugriffsverwaltung, Kategorisierung und Handhabung von Informationen und sichere Umgebung) festlegen und kommunizieren. Diese müssen nach jeder wesentlichen Änderung am Betriebsmodell oder Geschäft des Lieferanten überprüft werden. Durch die klare Definition von Funktionen und Verantwortlichkeiten wird die Umsetzung des Vertragsanhangs Kontrollpflichten externer Lieferanten unterstützt. Zu den Hauptfunktionen muss ein leitender Angestellter gehören, der für die Informationssicherheit zuständig ist. Risikoberichterstattung zur Informationssicherheit Um sicherzustellen, dass Informationssicherheits-Vorfälle gemeldet und verwaltet werden, müssen dokumentierte Kontrollmechanismen und Prozesse vorhanden sein. Der Lieferant muss Informationssicherheits-Vorfälle und Datenschutzverletzungen unverzüglich behandeln und Barclays melden. Es muss ein Vorfallbehandlungsprozess für die zeitnahe Abwicklung und Meldung unbefugter Zugriffe auf Informationen von Barclays und/oder auf von Barclays genutzte Dienste eingerichtet sein. Mit Hilfe eines Vorfallbehandlungsprozesses wird sichergestellt, dass Vorfälle schnell in Grenzen gehalten werden und verhindert wird, dass sie sich ausweiten. Der Lieferant muss dafür sorgen, dass die festgelegten Abhilfemaßnahmen nach einem Vorfall gemäß einem Abhilfeplan (Aktion, Zuständigkeit, Frist) ausgeführt und mit Barclays abgesprochen und vereinbart werden. Fortlaufende Überwachung Der Lieferant muss regelmäßig (mindestens jedoch einmal pro Kalenderjahr) seine Einhaltung dieses Vertragsanhangs messen, auswerten und dokumentieren. Durch fortlaufende Sicherheitskontrollen wird die Kontrollumgebung beim Lieferanten aufrechterhalten. Einhaltung der gesetzlichen und satzungsmäßigen Bestimmungen vor Ort Der Lieferant muss sicherstellen, dass auf Informationssicherheit bezogene gesetzliche wie satzungsmäßige Bestimmungen des Geltungsbereichs, in welchem der Lieferant arbeitet, eingehalten werden und dass die Einhaltung angemessen dokumentiert wird. Die Nichteinhaltung der gesetzlichen und satzungsmäßigen Bestimmungen vor Ort könnte sowohl für den Lieferanten als auch für Barclays ernsthafte Konsequenzen haben, unter anderem Geldbußen, und im Extremfall den Verlust der Banklizenz von Barclays. Version 7.0, Dezember 2016 Hinweis: Lieferanten, die Barclays Schweiz unterstützen, erhalten spezifische Anweisungen 1 Weiterbildung und Awareness Der Lieferant muss dafür sorgen, dass alle seine neuen Mitarbeiter innerhalb eines angemessenen Zeitraums eine Schulung absolvieren, die ihnen die nötigen Kenntnisse über ihre Funktionen und Verantwortlichkeiten in Bezug auf die Informationssicherheit vermittelt. Durch Weiterbildung und Awareness werden alle anderen Kontrollen im Rahmen dieses Vertragsanhangs unterstützt. Kontrollbereich / Bezeichnung der Kontrolle Beschreibung der Kontrolle Über die Bedeutung Informationsressourcen Beim Lieferanten muss es eine benannte Kontaktperson geben, die Ansprechpartner für den Verantwortlichen für Informationsressourcen von Barclays ist. Die Zuständigkeit für Informationsressourcen ist für den ausreichenden Schutz von Informationsressourcen von grundlegender Bedeutung. Kategorisierung von Informationen Der Lieferant muss sicherstellen, dass vorhandene Kontrollen die Bestimmungen zur Vertraulichkeit, Integrität und Verfügbarkeit der Informationsressource auf Grundlage ihrer Kategorisierung einhalten. Die Kategorisierung wird von Barclays vorgegeben. Die Kategorisierung bestimmt die für die Informationsressource vorgeschriebene Kontrollstufe. Registrierung und Kategorisierung Auf alle Informationsressourcen, die im Auftrag von Barclays aufbewahrt oder verarbeitet werden, wendet der Lieferant das Barclays Schema zur Kategorisierung von Informationen (Anhang B, Tabelle 1) oder ein alternativ vereinbartes Schema an. Eine vollständige und genaue Bestandsliste der Informationsressourcen ist unverzichtbar, um sicherzustellen, dass die Kontrollen angemessen sind. Kennzeichnung Sofern zutreffend, muss der Lieferant Informationsressourcen angemessen* im Einklang mit den Bestimmungen des Barclays Schemas zur Kategorisierung von Informationen (oder des alternativ vereinbarten Schemas) kennzeichnen. Mit Hilfe der Kennzeichnung werden Benutzer über die Kontrollbestimmungen für die Ressource informiert. Version 7.0, Dezember 2016 *Der Ausdruck „angemessen(e)” bezieht sich auf den Nutzen der Kennzeichnung gegenüber den damit verbundenen Kosten. Beispielsweise kann die Beschriftung eines Dokuments unangemessen sein, wenn diese einen Verstoß gegen etwaige Manipulationsschutzvorschriften bedeuten würde. Sofern eine nicht standardmäßige Kennzeichnung vorgeschrieben ist (d. h. eine Kennzeichnung, die nicht dem vereinbarten Kategorisierungsschema entspricht), muss diese zunächst mit Barclays vereinbart werden. 2 Sichere Aufbewahrung Es müssen Kontrollen zum Schutz von Informationsressourcen vorhanden sein, unabhängig davon, wo sie aufbewahrt werden (dies gilt für Informationen, die im Rahmen von strukturierten und unstrukturierten Methoden aufbewahrt werden). Informationsressourcen wie beispielsweise kryptografische Schlüssel oder Passwörter, die zum Schutz anderer Informationsressourcen oder für den Zugriff darauf verwendet werden, müssen selbst durch Verschlüsselung oder gleichwertige Kontrollen geschützt werden. Informationsressourcen werden in der Regel zusammen aufbewahrt; sie stellen deshalb eine Risikokonzentration dar und müssen gesichert werden. Backups Backups müssen entsprechend der Einstufung von Vertraulichkeit, Integrität und Verfügbarkeit der Informationsressource geschützt werden. Häufigkeit und Methode von Backups müssen mit dem Verantwortlichen für die Informationsressource vereinbart werden. Sofern die physische Übertragung von Speichermedien erforderlich ist, entweder zur Ermöglichung eines Backups oder für die Aufbewahrung außerhalb des Standortes nach einem Backup, müssen Kontrollen vorhanden sein, um für die Sicherheit der Übertragung zu sorgen (z. B. Verschlüsselung von Speichermedien, sichere Transportbehälter). Für Informationsressourcen, bei denen ein Backup durchgeführt wurde, muss es definierte Kontrollen geben, um sicherzustellen, dass der Zugriff nur gewährt wird, wenn er erforderlich ist. Backups speichern Kopien von Informationsressourcen und müssen deshalb den gleichen Kontrollen unterliegen. Kontrollbereich / Bezeichnung der Kontrolle Beschreibung der Kontrolle Über die Bedeutung Sicherer Abruf Der Lieferant darf eine Informationsressource nur an eine Einzelperson herausgeben, für die Barclays die Genehmigung erteilt hat. Es muss eine dokumentierte/erfasste Kontrollkette vorhanden sein und über den gesamten Abrufprozess hinweg aufrechterhalten werden. Eine angemessene Kontrollkette sorgt für die Sicherheit von Informationsressourcen vor Verlust. Wenn zur Ermöglichung des Abrufs eine physische Übertragung von Speichermedien erforderlich ist, müssen Kontrollen vorhanden sein, um für die Sicherheit der Übertragung zu sorgen. Kontrollbestimmungen zur physischen Sicherheit sind in den Lieferantenbestimmungen zur physischen Sicherheit (BEAM) definiert. Version 7.0, Dezember 2016 3 Genehmigte Verwendung Der Lieferant erstellt und veröffentlicht allgemeine Nutzungsbedingungen, die seine Mitarbeiter über ihre Verantwortlichkeiten in Kenntnis setzen. Die Zugriffs- und Nutzungsbestimmungen müssen sich zumindest auf die zulässige Nutzung von Internet, sozialen Medien, Firmen-E-Mail, Echtzeitkommunikation, IT-Geräten, die vom Lieferanten bereitgestellt werden, mitgebrachte eigene Geräte, die für den Zugriff auf Informationsressourcen von Barclays verwendet werden und die Verantwortlichkeiten der Mitarbeiter beim Umgang mit Informationsressourcen von Barclays erstrecken. Die allgemeinen Nutzungsbedingungen helfen bei der Verstärkung der Kontrollumgebung zum Schutz von Informationsressourcen. Der Lieferant unternimmt angemessene Schritte, um die Einhaltung der allgemeinen Nutzungsbedingungen sicherzustellen. Version 7.0, Dezember 2016 4 Logische Zugriffsverwaltung (Logical Access Management (LAM)) Die LAM-Kontrollziele müssen für sämtliche Arten von IT-Systemkonten (Benutzerkonto, Benutzerkonto mit besonderen Rechten, Funktionskonto, gemeinsames Konto) gelten. Der Lieferant muss Verantwortlichkeiten für die Implementierung der in diesem Vertragsanhang aufgeführten LAM-Kontrollziele sowie für die Berichterstattung über deren Effektivität abstimmen und dokumentieren. Angemessene LAM-Kontrollen helfen dabei, sicherzustellen, dass Informationsressourcen vor unangemessener Verwendung geschützt werden. Die individuelle Verantwortung für jedes Konto muss geregelt sein (bei der Nutzung gemeinsamer Konten muss die Übernahme der Verantwortung für sie durch zusätzliche dem Risiko angemessene Kontrollen und Prozesse erreicht werden). Bei sämtlichen Konten und Kontenkombinationen müssen das Prinzip der geringsten Rechte und das Prinzip der Aufgabentrennung umgesetzt werden. Die Authentifizierung einer Einzelperson muss vorgenommen werden, bevor der Zugriff auf ein ITSystem gewährt wird. Die Authentifizierung muss auf sichere Weise und mit der Komplexität, die dem Risiko der Informationsressource, auf die zugegriffen wird, angemessen ist, erreicht werden (z. B. Mehrfaktor-Authentifizierung, Passwortkomplexität, verschlüsselte über Authentifizierung). Zugriffsverwaltungsprozesse müssen definiert sein und mindestens Folgendes beinhalten: Kontobereitstellung und die Zuweisung von Berechtigungen müssen eingeführt sein, so dass für hinreichende Aufsicht über das Anlegen neuer Konten und die zur Verfügung gestellten Zugriffsebenen gesorgt ist Prozesse für die Änderung der Zugriffsrechte, den Entzug von Zugriffsrechten, die Sperrung des Zugriffs und die Löschung von Konten nebst definierten Zeitvorgaben auf Grundlage der Risikostufen der Informationsressourcen, auf die zugegriffen wird Prozesse für eine in regelmäßigen Abständen durchgeführte risikobasierte Überprüfung und Genehmigung der Zugriffsberechtigung Bei der Kontrolle von Versetzten muss sichergestellt sein, dass der Lieferant im Hinblick auf eigene Mitarbeiter, die einer neuen Funktion zugewiesen werden, innerhalb von fünf (5) Werktagen vor dem Stichtag Zugriffsrechte anfordert bzw. ändert. Durch die Kontrolle von Ausscheidenden muss gewährleistet sein, dass Anforderungen zum Löschen bzw. Deaktivieren des Zugriffs gemäß dem folgendem Zeitplan vom Kontenverwaltungsteam ausgeführt werden: Version 7.0, Dezember 2016 Anforderungen bezüglich Netzwerk- und Remotezugriff-Konten müssen innerhalb von vierundzwanzig (24) Stunden erledigt werden. Wenn der Benutzer eine Vorankündigung macht, muss der Linienvorgesetzte den entsprechenden Löschungsantrag (die entsprechenden Löschungsanträge) spätestens am letzten Arbeitstag des Benutzers stellen. Wenn der Benutzer keine Vorankündigung macht (z. B., wenn der Benutzer die Kündigung am letzten Tag im Büro oder danach sendet), muss der Linienvorgesetzte den 5 entsprechenden Löschungsantrag (die entsprechenden Löschungsanträge) innerhalb von 24 Stunden nach Annahme der Kündigung, d. h. Datum des Vertragsendes, stellen. Wenn der Benutzer die Organisation nicht benachrichtigt, muss der Linienvorgesetzte den entsprechenden Löschungsantrag (die entsprechenden Löschungsanträge) innerhalb von 24 Stunden nach dem Kündigungsdatum, d. h. Datum des Vertragsendes, stellen. Wenn dem Benutzer gekündigt wird, muss der Linienvorgesetzte den entsprechenden Löschungsantrag (die entsprechenden Löschungsanträge) innerhalb von 24 Stunden nach der Kündigung, d. h. Datum des Vertragsendes, stellen. Der Linienvorgesetzte muss jedoch keine Löschungsanträge stellen, wenn dies bereits automatisiert ist (z. B. durch HR-Systeme). Der Klarheit halber wird angemerkt, dass die Begriffe „letzter Arbeitstag“, „letzter Tag im Büro“ und „Tag des Vertragsendes“ die gleiche Bedeutung haben. In Situationen, wo sich aufgrund von geschäftlichen oder geografischen Feinheiten Unterschiede zwischen ihnen ergeben, wird der Tag des Vertragsendes, also der Tag, zu dem die Firma das Ausscheiden des Mitarbeiters in ihren Unterlagen erfasst, herangezogen. Alle anderen Kontenanforderungen müssen innerhalb von sieben (7) Tagen bearbeitet werden. Durch Kontrollmechanismen für nicht beanspruchte Konten ist sicherzustellen, dass Mitarbeiterkonten des Lieferanten, die sechzig (60) Tage in Folge oder länger nicht mehr genutzt werden, automatisch aufgelöst werden oder entsprechende Kontrollen zum Ausgleich angewandt werden. Zugriffsmethoden Der Zugriff auf Informationsressourcen darf nur mit Methoden möglich sein, die den Sicherheitsbestimmungen zu Vertraulichkeit, Integrität und Verfügbarkeit gerecht werden können. Diese Zugriffsmethoden müssen dokumentiert und in regelmäßigen Abständen bewertet werden, um sicherzustellen, dass ihre Fähigkeiten in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit erhalten bleiben. Zugriffsverwaltungskontrollen sorgen mit dafür, dass nur zugelassene Benutzer auf die Informationsressourcen zugreifen können. Passwörter für interaktive Konten müssen mindestens alle 90 Tage gewechselt werden und sich von den zwölf (12) vorherigen Passwörtern unterscheiden. Verantwortliche für IT-Systeme müssen darauf achten, dass die Passwörter aktiver, privilegierter Standard-IT-Systemkonten nach jedem Gebrauch, mindestens jedoch alle 90 Tage, geändert werden. Spätestens nach fünf (5) fehlgeschlagenen Anmeldeversuchen in Folge muss ein interaktives Konto automatisch durch die Kontensteuerung deaktiviert werden. Version 7.0, Dezember 2016 6 Remotezugriffssteuerungen dürfen nur über die von Barclays zugelassenen Mechanismen erlaubt werden, und beim Remotezugriff muss eine Mehrfaktor-Authentifizierung erfolgen. Kontrollbereich / Bezeichnung der Kontrolle Beschreibung der Kontrolle Über die Bedeutung Unstrukturierte Informationen Die Kontrollmechanismen für unstrukturierte Informations-Repositorys müssen sicherstellen, dass alle unstrukturierten Informations-Repositorys identifiziert worden sind, und der Zugriff auf jedes unstrukturierte Informations-Repository, das Informationsressourcen von Barclays (die als „Geheim“, „Vertraulich“ oder „Nur für den internen Gebrauch“ klassifiziert sind) enthält, muss nach der Kategorie „need-to-know“ (Kenntnis erforderlich) bzw. „need-to-have“ (Besitz erforderlich) konfiguriert werden. Die Identifizierung der unstrukturierten Informationen ist der grundlegende Schritt bei der Anwendung der richtigen Kontrollstufen. Bereinigung von Informationen Der Lieferant darf Produktionsdaten von Barclays in Testumgebungen nur verwenden, wenn die Daten durch Obfuskation unkenntlich gemacht worden sind, es sei denn, es sind Kontrollen vorhanden, die den Produktionssystemkontrollen gleichwertig sind. Testumgebungen sind oft nicht so sicher wie Produktionsumgebungen, und deshalb sind Informationsressourcen in einer Testumgebung einem größeren Risiko ausgesetzt. Kryptografische Schlüssel aus der Produktion von Barclays dürfen nicht in Testumgebungen verwendet werden, und Testschlüssel dürfen nicht in Produktionsumgebungen verwendet werden. Verhinderung von Datenlecks Der Lieferant muss die Risiken bewerten, denen die verschiedenen Informationsressourcentypen von Barclays ausgesetzt sein können. Die in Betracht gezogenen Risiken müssen zumindest die Bedrohungen und Datenleck-Kanäle berücksichtigen, die in Anhang A: Barclays Mindestanforderungen zur Risikobewertung, Tabellen 1 und 2, aufgeführt sind. Angemessene Kontrollen zur Verhinderung von Datenlecks sind ein wichtiges Element der Informationssicherheit, denn sie helfen dabei, sicherzustellen, dass Informationsressourcen von Barclays nicht verloren gehen. Sicherheit beim Transport Es müssen Kontrollen vorhanden sein, um sicherzustellen, dass Informationsressourcen von Barclays (die als „Geheim“, „Vertraulich“ oder „Nur für den internen Gebrauch“ klassifiziert sind) beim Transport ihrer Kategorisierung entsprechend durch Verschlüsselung oder gleichwertige Kontrollen geschützt sind. Für die Übertragung von Informationsressourcen in physischer Form gelten die Anforderungen in den Kontrollbestimmungen für externe Lieferanten zur physischen Sicherheit. Durch Kontrollen zur Sicherheit beim Transport werden die Informationen von Barclays davor geschützt, abgefangen und offengelegt zu werden. Identität des Empfängers Der Lieferant darf Informationen von Barclays nur an Einzelpersonen senden, für die Barclays die Genehmigung erteilt hat. Durch Kontrollen der Identität des Empfängers wird sichergestellt, dass Barclays bekannt ist, Version 7.0, Dezember 2016 7 wohin Informationen von Barclays gesendet werden. Vernichtung / Löschung / Außerbetriebnahme von physischen und logischen Informationen Auf Verlangen von Barclays muss der Lieferant Informationsressourcen, ob nun in elektronischer oder physischer Form, vernichten, so dass es nicht möglich ist, sie wieder sinnvoll zusammenzusetzen. In IT-Systemen und auf Speichermedien gespeicherte Informationsressourcen müssen gelöscht oder so verschlüsselt werden, dass für die Nichtwiederherstellbarkeit der Informationsressource, wenn sie nicht mehr benötigt wird, gesorgt ist. Schutz des Geländes Der Lieferant muss eine Bestandsliste der externen Netzwerkverbindungen, über das Internet erreichbaren Hosts und Datenübertragungen führen, die zur Übermittlung von Barclays-Daten zurück an Barclays oder Dritte (darunter auch Subunternehmen [des Lieferanten]) verwendet werden. Datenübertragungen sollten je nach der Kategorisierung der übertragenen Informationsressource kategorisiert werden, für sie sollte es klar definierte Verantwortliche geben und die Sicherheit der Verbindung sollte nachgewiesen werden. Die sichere Vernichtung von Informationsressourcen hilft dabei, sicherzustellen, dass Informationsressourcen von Barclays nicht durch Verlust oder böswillige Aktivitäten offengelegt werden. Ein angemessener Schutz für das Gelände hilft dabei, für den angemessenen Schutz des Netzwerks und der Informationsressourcen von Barclays zu sorgen. Auf dem Gelände muss ausgehend von den geschäftlichen Erfordernissen ein in mehrere getrennte Bereiche unterteiltes Netzwerkdesign implementiert werden. Auf dem Gelände dürfen nur Geräte aufgestellt werden, die den Zugang zu/von externen Netzwerken benötigen oder ermöglichen. Interne Netzwerksicherheit Der Lieferant muss Informationsressourcen von Barclays in einem von anderen Kunden getrennten Netzwerk speichern. Ein getrenntes Netzwerk hilft dabei, für einen hinreichenden Schutz der Informationsressourcen von Barclays vor unbefugter Offenlegung zu sorgen. Schutz von IT-Systemen Der Lieferant muss auf seine Systeme nach einem risikobasierten Ansatz für Festlegungen zur Anwendbarkeit und zum Zeitplan Sicherheitspatches aufspielen. Anti-Malware-Lösungen müssen vorhanden sein, sofern sie auf Betriebssystem-Ebene unterstützt werden (z. B. Workstations und Server). Kontrollen zur Sicherheit von IT-Systemen sind für den Schutz der Informationsressourcen von Barclays von entscheidender Bedeutung. Sichere Build-Standards Der Lieferant muss Build-Standards für sämtliche konfigurierbare Out-of-the-Box-Software, die massenweise eingesetzt wird (z. B. Betriebssysteme, Datenbanken), und Firmware von häufig gebrauchter Infrastruktur (z. B. SAN oder Netzwerkgeräte) definieren und implementieren. In den Build-Standards müssen die für die unterschiedlichen Software-Versionen anzuwendenden Mindestanforderungen an die Sicherheit dokumentiert sein. Die Build-Standards müssen jährlich überprüft und gegebenenfalls aktualisiert werden. Standardmäßige Build-Kontrollen helfen, Informationsressourcen vor unbefugtem Zugriff zu schützen. Version 7.0, Dezember 2016 8 Abstimmung und Prüfprotokollierung von Sicherheitsänderungen Die Einhaltung der Build-Standards muss überwacht und dem benannten Mitarbeiter des Lieferanten gemeldet werden. Bei Nichteinhaltung des Build-Standards müssen Abstellmaßnahmen erfolgen. Bei Sicherheitsänderungen (z. B. Änderungen der Sicherheitskonfiguration, Änderung der Rechte für Konten) muss immer ein Protokoll generiert werden, das in einer manipulationssicheren Umgebung gespeichert wird. Die Einhaltung von Standard-Builds und Kontrollen, die sicherstellen, dass Änderungen genehmigt sind, hilft dabei, für den Schutz der Informationsressourcen von Barclays zu sorgen. Es muss eine Abstimmung zwischen den übernommenen und den genehmigten Änderungen vorgenommen werden. Sicherheit von tragbaren Geräten Bei tragbaren Geräten muss bewirkt werden, dass sie nicht mehr auf Informationsressourcen von Barclays zugreifen können, wenn die Kontrolle über das tragbare Gerät verloren geht (z. B. wegen Diebstahls oder Übernahme durch Malware), und Kontrollen zur Verhinderung von Datenlecks müssen wirksam bleiben, wenn das Gerät nicht mit einem Netzwerk verbunden ist. Die Nutzung von tragbaren Geräten findet zunehmende Verbreitung, und deshalb werden Kontrollen, die für die Sicherheit dieser Geräte sorgen, immer wichtiger. Schutz von Anwendungen Der Lieferant muss sicherstellen, dass Anwendungen mit sicheren Praktiken für Codes entwickelt werden müssen, und er muss über hinreichende LAM-Strukturen ausgehend von den Informationsressourcen, auf die über sie zugegriffen werden kann, verfügen. Kontrollen zum Schutz der Anwendungsentwicklung helfen, dafür zu sorgen, dass Anwendungen beim Einsatz geschützt sind. Die Binärcodes von Anwendungen müssen beim Einsatz oder während sie sich in der SourceBibliothek befinden vor unbefugten Änderungen geschützt werden. Netzwerkzugriff und Remotezugriff Der Lieferant muss durch angemessene Netzwerkzugriffskontrollen sicherstellen, dass der Zugriff auf das interne Netzwerk überwacht werden muss und nur Geräte mit entsprechender Berechtigung erlaubt sind. Wenn der Remotezugriff auf Informationsressourcen von Barclays erlaubt ist, muss eine hinreichende Authentifizierung und Autorisierung des Endpunktes unter Berücksichtigung von Benutzeridentität, Gerätetyp und Sicherheitsstatus des Gerätes (z. B. PatchLevel, Status von Anti-Malware, Mobilgerät mit vollen Administratorrechten (Root) oder ohne Root usw.) vorgenommen werden. Netzwerkzugriffskontrollen helfen dabei, zu verhindern, dass unsichere Geräte mit dem Netzwerk des Lieferanten verbunden und auf diese Weise neue Schwachstellen einbracht werden. Verschlüsselung Der Lieferant muss die von ihm angewendeten Verschlüsselungstechnologien und kryptografischen Algorithmen überprüfen und bewerten, um sicherzustellen, dass sie noch für ihren Zweck geeignet sind. Die Stärke der eingesetzten Verschlüsselung muss im richtigen Verhältnis zur Risikoneigung stehen, da sie sich auf den Betrieb oder die Leistung auswirken kann. Ein aktueller und angemessener Schutz durch Verschlüsselung sowie aktuelle und angemessene Verschlüsselungsalgorithmen stellen den kontinuierlichen Schutz der Informationsressourcen von Barclays sicher. Cloud-Computing Jede Nutzung des Cloud-Computing im Rahmen des Dienstes für Barclays (sofern geheime/vertrauliche Informationen von Barclays gespeichert werden bzw. auf sie zugegriffen wird) muss durch die zuständigen Teams von Barclays genehmigt werden; und Kontrollen zum Schutz der Informationen von Barclays und des Dienstes müssen dem Risikoprofil und der Kritikalität der Informationsressource angemessen sein, um Datenlecks und Cyber-Verletzungen zu verhindern. Wird dieses Prinzip nicht umgesetzt, könnten unangemessen geschützte Informationsressourcen von Barclays gefährdet werden, was rechtliche und regulatorische Strafmaßnahmen oder Rufschädigung zur Folge haben kann. Version 7.0, Dezember 2016 9 Definitionen Benutzerkonto Funktionskonto Gemeinsames Konto Konto ohne besondere Rechte, das einem Mitarbeiter, einem Berater, einem Auftragnehmer oder einer Zeitarbeitskraft des Lieferanten zugeteilt wurde, der bzw. die zum Zugriff auf ein im Eigentum von Barclays befindliches System berechtigt ist. Konto, das keiner individuellen Mitarbeiterkennung zugeteilt ist, das von einem IT-System für den Zugriff auf dasselbe IT-System oder auf andere IT-Systeme verwendet wird. Konto, das mehreren Mitarbeitern, Beratern, Auftragnehmern oder Zeitarbeitskräften der Barclays Group mit Zugriffsberechtigung überlassen wird, wenn Einzelkonten aufgrund der Art des Systems, auf das zugegriffen wird, keine zur Verfügung gestellte Option sind (z. B. ein Konto von Barclays in sozialen Medien, ein Konto für virtuelle Datenräume, ein App-Store-Konto). Geringste Rechte Der Mindestumfang an Zugriffsrechten/Genehmigungen, mit denen einem Benutzer oder Konto die Wahrung seiner geschäftlichen Informations-Lebenszyklus Funktion ermöglicht wird. Mit der Bezeichnung Informationsressourcen-Lebenszyklus werden die unterschiedlichen Phasen beschrieben, die Informationsressourcen während ihres Bestehens durchlaufen, und zwar: Erstellen und einführen, Speichern, Zugriff und Verwendung, Weitergabe, Archivieren und Entsorgen Informationsressource Informationsressource ist definiert als jegliche Einzelinformation oder Gruppe von Informationen, die einen Wert für die Organisation hat. Konto mit besonderen Ein Konto mit besonderen Rechten ist ein Konto, das ein höheres Maß an Kontrolle über ein spezifisches IT-System bietet. Solche Konten Rechten Plattform werden in der Regel für Systemwartung, Sicherheitsverwaltung oder Konfigurationsänderungen an einem IT-System verwendet. Die Hardware und Software, die vorhanden sein und funktionieren muss, damit ein Anwendungsprogramm bestimmungsgemäß läuft [seine Aufgaben erfüllt]. Zu einer Plattform gehören unter anderem die Betriebssystem-Software oder Executive Software, Kommunikationssoftware, Mikroprozessor, Netzwerk, Input-/Output-Hardware, generische Software-Bibliotheken, Datenbankverwaltung, Benutzerschnittstellensoftware und dergleichen. Live-Umgebung, bestehend aus Hardware und Software, die von Endbenutzern zur Speicherung und Verarbeitung von Informationen für Geschäftszwecke verwendet wird. Hierzu gehört auch die Umgebung für die Wiederherstellung bei einem Unglücksfall. Informationen, die in der Regel in Datenbanken gespeichert werden, auf die über Anwendungssysteme zugegriffen werden kann. Produktionsumgebung Strukturierte Informationen System Testumgebung Umgebung für die Wiederherstellung bei einem Unglücksfall Version 7.0, Dezember 2016 Ein System im Kontext dieser Richtlinie sind Menschen, Verfahren, IT-Geräte und Software. Die Elemente dieses zusammengesetzten Gebildes werden zusammen in der vorgesehenen Betriebs- oder Support-Umgebung verwendet, um eine bestimmte Aufgabe zu verrichten oder einem bestimmten Zweck gerecht zu werden, Support zu leisten oder eine Einsatzanforderung zu erfüllen. Umgebung, bestehend aus Software und Hardware, in der Änderungen getestet werden, bevor die Freigabe für die Produktionsumgebung erfolgt. Umgebung, bestehend aus Hardware und Software, die bei einem Unglücksfall eine alternative Datenverarbeitungsanlage zur Produktionsumgebung zur Verfügung stellt. 10 Unstrukturierte Informationen In Büroautomatisierungs-Dateitypen (z. B. Microsoft Office-Dateien), Skripten oder Bildern gespeicherte Informationen. Verantwortlicher für Informationsressourcen Die Einzelperson bei Barclays, die für die Kategorisierung einer Ressource verantwortlich ist sowie dafür, dass der korrekte Umgang mit der Ressource sichergestellt wird. Anhang A: Barclays Mindestanforderungen zur Risikobewertung Tabelle 1: Bedrohungen Bedrohung Beschreibung Manipulation von Informationen Unzulässige Verwendung eines Computersystems, um Informationen zu ändern. Dies könnte über ein gehacktes Konto oder durch eine autorisierte Person geschehen, die bewusst oder unbewusst ihre Befugnisse überschreitet. Unbefugte Offenlegung von Informationen Bewusste oder unbewusste, unzulässige Offenlegung von: Geschäftsinformationen (z. B. Projektbezeichnungen, Kundennamen, Patientenakten oder Kreditkartennummern) Benutzeranmeldedaten (z. B. eindeutige Bezeichner oder Kennwörter), die vertraulich bleiben sollten Diebstahl, unbefugte Verwendung von Software oder unbefugter Zugriff auf Software Diebstahl von Barclays' Software, ob nun proprietäre Software oder Software, für die Barclays eine Lizenz von Dritten hat (z. B. Programme, Computercode, Quellcode und Methodiken). Unbefugter Zugriff auf bzw. Diebstahl von Barclays’ Unbefugter Zugriff auf bzw. Diebstahl von: Barclays Geschäftsinformationen (z. B. Kundenlisten, Produktdesigns, Handelsgeheimnisse oder geistiges Eigentum) Personenbezogene Daten (Kreditkartennummern, Sozialversicherungsnummern, Patientenakten) Informationsressource Diebstahl oder Verlust von Mobilgeräten oder Wechseldatenträgern mit Informationsressourcen von Barclays Version 7.0, Dezember 2016 Diebstahl oder Verlust von tragbaren Computergeräten (z. B. Geräte, die von Personen in Remote-Umgebungen verwendet werden) wie beispielsweise Laptops, Tablets, Smartphones und Wechseldatenträger. 11 Tabelle 2: Minimale Gruppe von Daten- (Informations-) Ausschleusungskanälen, die im Rahmen der Informationsrisikobewertung des Lieferanten in Betracht zu ziehen sind: Kanal Beispiele E-Mail Firmen-E-Mail, Webmail, sonstige E-Mail Web Internet (z. B. soziale Netzwerke, Wikis, Chaträume) Wechseldatenträger Genehmigte / nicht genehmigte Verwendung, Backup-Datenträger, USBGeräte, unter anderem Speichersticks, tragbares Festplattenlaufwerk. Zudem optische Speichermedien, Smartcards usw. Firmengeräte (Laptops, Telefone, Tablets usw.) Persönliche Geräte (Laptops, Telefone, Tablets usw.) Dokumente/Papiere (Notizblöcke, Flipcharts usw.) Papierlose Quellen (Kodierungsschlüsselkarten, Smartcards usw.) Physische Dateien Physische Ressourcen Drucken Dateiübertragung Personen Spracheingabe Netzwerke und Konnektivität Version 7.0, Dezember 2016 Jegliches Drucken – Homeprinting, Remote-Drucken Website Cloud-Dienste Peer-to-Peer / IM FTP / Sicheres FTP Fax EDI (elektronischer Datenaustausch) Social Engineering Nötigung Bestechung Menschliches Versagen Diktiergeräte Telefonkonferenzen Aufzeichnungen und Voicemail Ungesicherte/persönliche Netzwerke W-LAN 12 Bild Remotezugriff Fotografische Aufnahme Webcams Video/CCTV Anhang B: Barclays Schema zur Kategorisierung von Informationen – Tabelle 1: Barclays Schema zur Kategorisierung von Informationen und Standardbeschriftungen Version 7.0, Dezember 2016 13 Kategorie Definition Informationen, deren unbefugte Offenlegung (intern oder extern) schwerwiegende finanzielle oder rufbedingte Schäden, einen deutlichen Verlust an Wettbewerbsvorteilen oder eine regulatorische bzw. rechtliche Strafmaßnahme zur Folge haben kann. Geheim Hinweis: Einige Informationen können nur über einen kurzen Zeitraum als „Geheim“ erachtet werden. Informationen, die geistiges Eigentum des Unternehmens sind („proprietäre Informationen“) oder die mit einem Kerngeschäftsprozess verbunden sind und auf die nicht alle Mitarbeiter zugreifen müssen bzw. dürfen. Vertraulich Der Zugriff auf diese Informationen wird nur von denjenigen benötigt, bei denen eine Notwendigkeit der Kenntnis („need-to-know“) zur Erfüllung ihrer Aufgaben besteht. Solche Informationen können negative Auswirkungen haben, wenn sie – intern oder extern – unbefugten Mitarbeitern offengelegt würden. Persönliche und finanzielle Kundeninformationen müssen mindestens als „Vertraulich“ eingestuft werden. Wenn die Informationen als „vertraulichpersönlich” gelten und eines besonderen Schutzes bedürfen, müssen sie als „Geheim“ eingestuft werden. . Betrifft Informationen bezüglich interner Vorgänge von Barclays, nicht vertrauliche interne Mitteilungen und allgemeine Mitteilungen, die für die Verteilung innerhalb des Unternehmens geeignet sind. Nur für den internen Gebrauch Solche Informationen haben in der Regel keine wesentlichen Auswirkungen oder Folgen für Barclays oder seine Kunden bzw. Geschäftspartner, wenn sie unbefugten Personen gegenüber offengelegt werden. Jedoch könnten sie Kenntnisse über interne Vorgänge von Barclays vermitteln, die für Firmenfremde ungeeignet sind. Informationen der Kategorie „Nur für den internen Gebrauch” können, soweit angemessen, nach außerhalb des Unternehmens gesendet werden (z. B. an freie Mitarbeiter), sofern eine Genehmigung beim Verantwortlichen für die Informationsressource eingeholt wurde. Unbegrenzt Informationen, die sich bereits in der öffentlichen Domäne befinden oder dafür freigegeben wurden, oder Informationen, deren unbefugte Veröffentlichung keine wesentlichen negativen Auswirkungen oder Folgen für Barclays oder seine Kunden bzw. Geschäftspartner hätte. Beispiele Gewinnprognosen oder Jahresbilanzen (vor deren Veröffentlichung) Informationen über mögliche Firmenzusammenschlüsse oder übernahmen Informationen über strategische Pläne Vorstandsprotokolle Bestimmte Angaben über die Sicherheitskonfiguration von Informationssystemen* Bestimmte Befunde und Berichte einer Betriebsprüfung* Bestimmte Datensätze bezüglich Klienten, Kunden oder Mitarbeiter* Neue Produktpläne Klientenverträge Befunde und Berichte einer Betriebsprüfung* Rechtsgültige Verträge Kunden-/Klienteninformationen* Strategien und Budgets Schwachstellenbewertungen Leistungsbeurteilungen Löhne und persönliche Daten von Mitarbeitern Angaben über die Sicherheitskonfiguration von Informationssystemen* Organisatorische Richtlinien und Standards Prozessdokumente Interne Ankündigungen Namen und Verzeichnisse der Belegschaft Berufliche Funktionen Organisatorische Diagramme Handbuch der Belegschaft Newsletter Interne Mitteilungen (an Einzelne oder mehrere Empfänger), die nicht als „Vertraulich“ oder „Geheim“ eingestuft sind Tagesordnungen/Protokolle von Besprechungen, die nicht als „Vertraulich“ oder „Geheim“ eingestuft sind Marketingmaterial Stellenausschreibungen Öffentliche Ankündigungen Öffentlich zugängliche Websites von Barclays Veröffentlichungen * Informationen über Systemsicherheitskonfigurationen, Ergebnisse von Betriebsprüfungen und personenbezogene Datensätze können, je nach den Auswirkungen ihrer unbefugten Offenlegung auf das Geschäft, entweder als „Vertraulich“ oder „Geheim“ eingestuft werden. Version 7.0, Dezember 2016 14 Barclays Schema zur Kategorisierung von Informationen – Tabelle 2: Verarbeitungsanforderungen gemäß dem Barclays Schema zur Kategorisierung von Informationen im Laufe des Lebenszyklus der Informationsressource Kategorisierung nach Phase des Lebenszyklus Nur für den internen Gebrauch Erstellen und Einführen Speichern Zugriff und Verwendung Ressourcen müssen einem Verantwortlichen für Informationen zugewiesen sein. Ressourcen (ob physisch oder elektronisch) dürfen nicht in öffentlichen Bereichen abgelegt werden (einschließlich öffentlicher Bereiche innerhalb der Einrichtungen des Lieferanten, in die ein Besucher ohne Überwachung gelangen könnte). Vertraulich Ressourcen müssen einem Verantwortlichen für Informationen zugewiesen sein. Ressourcen müssen einem Verantwortlichen für Informationen zugewiesen sein. Ressourcen (ob physisch oder elektronisch) dürfen nicht an Orten abgelegt werden, in denen unbefugte Personen in der Lage sein könnten, sie einzusehen oder auf sie zuzugreifen. Ressourcen (ob physisch oder elektronisch) dürfen nicht an Orten abgelegt werden, in denen unbefugte Personen in der Lage sein könnten, sie einzusehen oder auf sie zuzugreifen. Elektronische Ressourcen in Speichermedien müssen durch Verschlüsselung oder geeignete Ausgleichskontrollen geschützt werden, wenn ein erhebliches Risiko des unbefugten Zugriffs besteht. Elektronische Ressourcen in Speichermedien müssen durch Verschlüsselung oder geeignete Ausgleichskontrollen geschützt werden, wenn ein erhebliches Risiko des unbefugten Zugriffs besteht. Alle zum Schutz der Daten, der Identität und/oder Reputation von Barclays verwendeten privaten Schlüssel müssen durch zertifizierte HSMs (Hardware Security Modules), d. h. FIPS 140-2 Level 3 oder höher, geschützt sein. Informationen dürfen nicht in öffentlichen Bereichen innerhalb der Einrichtungen des Lieferanten gelassen werden, in die ein Besucher ohne Überwachung gelangen könnte. Ressourcen (ob physisch oder elektronisch) dürfen nicht in öffentlichen Bereichen außerhalb der Einrichtungen des Lieferanten gelassen werden. Ressourcen (ob physisch oder elektronisch) dürfen nicht in öffentlichen Bereichen innerhalb der Einrichtungen des Lieferanten gelassen werden, in die ein Besucher ohne Überwachung gelangen könnte. Version 7.0, Dezember 2016 Geheim Ressourcen (ob physisch oder elektronisch) dürfen nicht an Orten bearbeitet oder unbeaufsichtigt gelassen werden, wo unbefugte Personen sie einsehen oder auf sie zugreifen könnten. Ressourcen können bearbeitet werden, wenn geeignete Kontrollmechanismen vorhanden sind (z. B. Sichtschutzelemente). Ressourcen (ob physisch oder elektronisch) dürfen nicht an Orten bearbeitet oder unbeaufsichtigt gelassen werden, wo unbefugte Personen sie einsehen oder auf sie zugreifen könnten. Ressourcen können bearbeitet werden, wenn geeignete Kontrollmechanismen vorhanden sind (z. B. Sichtschutzelemente). Gedruckte Ressourcen müssen sofort wieder vom Druckerspeicher gelöscht werden. Ist dies nicht möglich, müssen sichere Druckprogramme verwendet werden. Für den Druck vorgesehene Ressourcen müssen mithilfe sicherer Druckprogramme gedruckt werden. Elektronische Ressourcen müssen durch geeignete 15 Kategorisierung nach Phase des Lebenszyklus Weitergabe Nur für den internen Gebrauch Vertraulich Falls erforderlich, müssen elektronische Ressourcen durch geeignete LAMKontrollmechanismen (logische Zugriffsverwaltung) geschützt werden. Elektronische Ressourcen müssen durch geeignete LAM-Kontrollmechanismen (logische Zugriffsverwaltung) geschützt werden. Hartkopieressourcen müssen eine sichtbare Beschriftung mit der Kategorie tragen. Die Beschriftung muss mindestens auf der Vorderseite zu lesen sein. Hartkopieressourcen müssen eine sichtbare Beschriftung mit der Kategorie tragen. Die Beschriftung muss mindestens auf der Vorderseite zu lesen sein. Umschläge, in denen sich Hartkopieressourcen befinden, müssen an der Vorderseite eine sichtbare Beschriftung mit der Kategorie tragen. Elektronische Ressourcen müssen eine eindeutige Kategorie-Kennzeichnung erhalten. Elektronische Kopien mehrseitiger Dokumente müssen auf jeder Seite eine sichtbare Beschriftung mit der Kategorie tragen. Elektronische Ressourcen müssen eine eindeutige Kategorie-Kennzeichnung erhalten. Ressourcen dürfen nur über die vom Unternehmen genehmigten Systeme, Methoden und Lieferanten verteilt werden. Ressourcen dürfen nur an Personen verteilt werden, die beim Unternehmen angestellt oder entsprechend vertraglich verpflichtet sind oder die im Rahmen eines klar anerkannten geschäftlichen Bedarfs (z. B. Vertragsverhandlung) diese Ressourcen benötigen. Version 7.0, Dezember 2016 Ressourcen dürfen nur über die vom Unternehmen genehmigten Systeme, Methoden und Lieferanten verteilt werden. Ressourcen dürfen nur an Personen verteilt werden, die beim Unternehmen angestellt oder entsprechend vertraglich verpflichtet sind oder die im Rahmen eines klar anerkannten geschäftlichen Bedarfs (z. B. Vertragsverhandlung) diese Ressourcen benötigen. Ressourcen dürfen nur an Personen verteilt werden, die diese aus geschäftlichen Gründen benötigen. Ressourcen dürfen nicht per Fax gesendet werden, es sei denn, der Absender hat bestätigt, dass die Empfänger zur Abholung der Ressource bereitstehen. Geheim LAM-Kontrollmechanismen (logische Zugriffsverwaltung) geschützt werden. Hartkopieressourcen müssen auf jeder Seite eine sichtbare Beschriftung mit der Kategorie tragen. Umschläge, in denen sich Hartkopieressourcen befinden, müssen an der Vorderseite eine sichtbare Beschriftung mit der Kategorie tragen und mit einem manipulationssicheren Siegel versehen werden. Vor der Verteilung müssen diese in einen unbeschrifteten zweiten Umschlag gesteckt werden. Elektronische Ressourcen müssen eine eindeutige Kategorie-Kennzeichnung erhalten. Elektronische Kopien mehrseitiger Dokumente müssen auf jeder Seite eine sichtbare Beschriftung mit der Kategorie tragen. Ressourcen dürfen nur über die vom Unternehmen genehmigten Systeme, Methoden und Lieferanten verteilt werden. Ressourcen dürfen nur an Personen verteilt werden, die beim Unternehmen angestellt oder entsprechend vertraglich verpflichtet sind oder die im Rahmen eines klar anerkannten geschäftlichen Bedarfs (z. B. Vertragsverhandlung) diese Ressourcen benötigen. Ressourcen dürfen nur an Personen verteilt werden, die vom Informationseigentümer ausdrücklich befugt sind, sie in Empfang zu nehmen. 16 Kategorisierung nach Phase des Lebenszyklus Nur für den internen Gebrauch Vertraulich Archivieren und Entsorgen Elektronische Ressourcen müssen mithilfe eines zugelassenen kryptografischen Schutzmechanismus verschlüsselt werden, wenn die Datenübertragung außerhalb des internen Netzwerks des Lieferanten verläuft. Geheim Ressourcen dürfen nicht per Fax gesendet werden. Elektronische Ressourcen müssen mithilfe eines zugelassenen kryptografischen Schutzmechanismus verschlüsselt werden, wenn die Datenübertragung außerhalb des internen Netzwerks des Lieferanten verläuft. Für elektronische Ressourcen muss eine Kontrollkette gepflegt werden. Hartkopieressourcen müssen von einem Entsorgungsdienst für vertrauliche Unterlagen entsorgt werden. Hartkopieressourcen müssen von einem Entsorgungsdienst für vertrauliche Unterlagen entsorgt werden. Hartkopieressourcen müssen von einem Entsorgungsdienst für vertrauliche Unterlagen entsorgt werden. Kopien elektronischer Ressourcen müssen auch umgehend aus den „Papierkörben“ des Systems und ähnlichen Ablagen gelöscht werden. Kopien elektronischer Ressourcen müssen auch umgehend aus den „Papierkörben“ des Systems und ähnlichen Ablagen gelöscht werden. Kopien elektronischer Ressourcen müssen auch umgehend aus den „Papierkörben“ des Systems und ähnlichen Ablagen gelöscht werden. Medien, auf denen als „Geheim” eingestufte elektronische Ressourcen gespeichert wurden, müssen vor oder während der Entsorgung entsprechend bereinigt werden. Version 7.0, Dezember 2016 17
© Copyright 2024 ExpyDoc