Bedeutung der Produktsicherheit bei Hardund Software Dr. Josef Kokert, BaFin 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 2 Überblick I. Problemstellung II. Rechtsgrundlagen III.Lösungsansätze 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 3 I. Problemstellung Produkte in der Informations- und Kommunikationstechnik Hard- und Software als Bestandteil der IT-Systeme Erwartungshorizont der Nutzer an Hardund Software 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 4 I. Problemstellung Qualität und Funktionalität Passend zu vorhandenen Bestandteilen des IT-Systems Gewährleistung der IT-Sicherheit 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 5 II. Rechtsgrundlagen EU – Hard- und Software keine Spezialvorschriften NIS gilt nicht für Soft- u. Hardwarehersteller EU – Allgemeine Produktsicherheitsrichtlinie Deutschland - Produktsicherheitsgesetz § 3 ProdSG – Produkte dürfen bei bestimmungsgemäßer oder vorhersehbarer Verwendung die Sicherheit und Gesundheit von Personen nicht gefährden 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 6 II. Rechtsgrundlagen 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 7 II. Rechtsgrundlagen Deutschland: Eckpunktepapier der BReg zu „Trusted Computing“ und „Secure Boot“ August 2012 Transparenz Zertifizierung des TPM, Common Criteria EAL4+ Vollständige Kontrolle durch Geräte-Eigentümer (Steuerbarkeit/Beobachtbarkeit) Opt-in-/Opt-out-Funktion Keine Abtretung der Kontrolle an Dritte Verfügbarkeit der Standards Interoperabilität 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 8 II. Rechtsgrundlagen - Eckpunktepapier Gewährleistung der IT-Sicherheit (VIVA) Keine nicht dokumentierten Funktionen, keine Beeinflussung Verfügbarkeit von Kritischen Infrastrukturen Datenschutz – Privacy by design 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 9 II. Rechtsgrundlagen - Eckpunktepapier § 25a Abs. 1 KWG i.V.m. AT 7.2 MaRisk: Die IT-Systeme (Hardware- und SoftwareKomponenten) und die zugehörigen ITProzesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 10 III. Lösungsansätze Überprüfbare Produkte Regulierungsebene EU National Unternehmensebene IT-Sicherheitskonzept Prüfung der Produktsicherheit a) vor erstmaligem Einsatz b) regelmäßig und anlassbezogen 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 11 III. Lösungsansätze Unternehmensebene (Fortsetzung) Nachweis der Produktsicherheit a) Zertifikate unabhängiger Institutionen b) Eigene Testergebnisse Vertragliche Zusicherung Staatliche Ebene - § 7b und § 9 BSIGesetz Aufsichtsebene Strategische Beteiligungen 07.10.2015 Informationsveranstaltung: IT-Aufsicht bei Banken 12 Kontaktdaten Dr. Josef Kokert Bundesanstalt für Finanzdienstleistungsaufsicht Tel. +49 (0)228 / 41 08-1806 [email protected] 09.10.2014 Arbeitsschwerpunkte des Referats 2013/2014 13
© Copyright 2024 ExpyDoc
