Anwendungsentwicklung von IT Projekten – BAIT

Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

 

Anwendungsentwicklung von IT Projekten - BAIT

 

Anwendungsentwicklung von IT Projekten – BAIT

Wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Projekten, deren Auswirkung auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungsanalyse zu bewerten (vgl. AT 8.2 Tz. 1 MaRisk). Im Hinblick auf den erstmaligen Einsatz sowie wesentliche Veränderungen von IT-Systemen sind die Anforderungen des AT 7.2 (insbesondere Tz. 3 und Tz. 5) MaRisk, AT 8.2 Tz. 1 MaRisk sowie AT 8.3 Tz. 1 MaRisk zu erfüllen.

Die organisatorischen Grundlagen von IT-Projekten (inkl. Qualitätssicherungsmaßnahmen) und die Kriterien für deren Anwendung sind zu regeln. IT-Projekte sind angemessen zu steuern, insbesondere unter Berücksichtigung der Risiken im Hinblick auf die Dauer, den Ressourcenverbrauch und die Qualität von IT-Projekten.

Hierfür sind Vorgehensmodelle festzulegen, deren Einhaltung zu überwachen ist. Wesentliche IT-Projekte und IT-Projektrisiken sind der Geschäftsleitung regelmäßig und anlassbezogen zu berichten. Wesentliche Projektrisiken sind im Risikomanagement zu berücksichtigen. Für die Anwendungsentwicklung sind angemessene Prozesse festzulegen, die Vorgaben zur Anforderungsermittlung, zum Entwicklungsziel, zur (technischen) Umsetzung (einschließlich Programmierrichtlinien), zur Qualitätssicherung, sowie zu Test, Abnahme und Freigabe enthalten. Anforderungen an die Funktionalität der Anwendung müssen ebenso erhoben, bewertet und dokumentiert werden wie nichtfunktionale Anforderungen.

 

Anwendungsentwicklung von IT Projekten – BAIT – Verantwortung Fachbereich

Die Verantwortung für die Erhebung und Bewertung der Anforderungen liegt in den Fachbereichen. Im Rahmen der Anwendungsentwicklung sind nach Maßgabe des Schutzbedarfs angemessene Vorkehrungen im Hinblick darauf zu treffen,dass nach Produktivsetzung der Anwendung die Vertraulichkeit, Integrität,Verfügbarkeit und Authentizität der zu verarbeitenden Daten nachvollziehbar sichergestellt werden.Im Rahmen der Anwendungsentwicklung müssen Vorkehrungen getroffen werden, die erkennen lassen, ob eine Anwendung versehentlich geändert oder absichtlich manipuliert wurde.

Die Anwendung sowie deren Entwicklung sind übersichtlich und für sachkundige Dritte nachvollziehbar zu dokumentieren.

Es ist eine Methodik für das Testen von Anwendungen vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen zu definieren und einzuführen. Die Tests haben in ihrem Umfang die Funktionalität der Anwendung, die Sicherheitskontrollen und die Systemleistung unter verschiedenen Stressbelastungsszenarien einzubeziehen. Die Durchführung von fachlichen Abnahmetests verantwortet der für die Anwendung zuständige Fachbereich. Testumgebungen zur Durchführung der Abnahmetests haben in für den Test wesentlichen Aspekten der Produktionsumgebung zu entsprechen. Testaktivitäten und Testergebnisse sind zu dokumentieren.

 

Anwendungsentwicklung von IT Projekten – BAIT – Abweichungen Regelbetrieb

Nach Produktivsetzung der Anwendung sind mögliche Abweichungen vom Regelbetrieb zu überwachen, deren Ursachen zu untersuchen und ggf. Maßnahmen zur Nachbesserung zu veranlassen.Ein angemessenes Verfahren für die Klassifizierung / Kategorisierung (Schutzbedarfsklasse) und den Umgang mit den von Endbenutzern des Fachbereichs entwickelten oder betriebenen Anwendungen ist festzulegen.

Die Vorgaben zur Identifizierung aller von Endbenutzern des Fachbereichs entwickelten oder betriebenen Anwendungen, zur Dokumentation, zu den Programmierrichtlinien und zur Methodik des Testens, zur Schutzbedarfsfeststellung und zum Rezertifizierungsprozess der Berechtigungen sind zu regeln (z. B. in einer IDV-Richtlinie).Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, umzusetzen (vgl. AT 7.2 Tz. 1 und Tz. 2 MaRisk).

Beispielsweise kann die Entscheidung über den Übergang zwischen den Projektphasen von eindeutigen Qualitätskriterien des jeweiligen Vorgehensmodells abhängen. Anwendungsentwicklung umfasst beispielsweise die Entwicklung von Software zur Unterstützung bankfachlicher Prozesse oder die von Endbenutzern in den Fachbereichen selbst entwickelten Anwendungen (z. B. Individuelle Datenverarbeitung – IDV).

Die Ausgestaltung der Prozesse erfolgt risikoorientiert. Anforderungsdokumente sind beispielsweise:

  • Fachkonzept (Lastenheft bzw. User-Story)
  • Technisches Fachkonzept (Pflichtenheft bzw. Product Back-Log).

 

Nichtfunktionale Anforderungen an IT-Systeme sind beispielsweise:

  • Ergebnisse der Schutzbedarfsfeststellung
  • Zugriffsregelungen
  • Ergonomie
  • Wartbarkeit
  • Antwortzeiten
  • Resilienz.

 

Geeignete Vorkehrungen können sein:

  • Prüfung der Eingabedaten
  • Systemzugangskontrolle
  • Nutzer-Authentifizierung
  • Transaktionsautorisierung
  • Protokollierung der Systemaktivität
  • Prüfpfade (Audit Logs)
  • Verfolgung von sicherheitsrelevanten Ereignissen
  • Behandlung von Ausnahmen.

 

Anwendungsentwicklung von IT Projekten – BAIT – Berücksichtigung des Schutzbedarfs

Eine geeignete Vorkehrung unter Berücksichtigung des Schutzbedarfs kann die Überprüfung des Quellcodes im Rahmen der Anwendungsentwicklung sein. Die Überprüfung des Quellcodes ist eine methodische Untersuchung zur Identifizierung von Risiken.

Die Dokumentation der Anwendung umfasst mindestens folgende Inhalte:

  • Anwenderdokumentation
  • Technische Systemdokumentation
  • Betriebsdokumentation.

Zur Nachvollziehbarkeit der Anwendungsentwicklung trägt beispielsweise eine Versionierung des Quellcodes und der Anforderungsdokumente bei.

 

Dies umfasst einschlägige Expertise sowie eine angemessen ausgestaltete Unabhängigkeit von den Anwendungsentwicklern. Eine Testdokumentation enthält mindestens folgende Punkte:

  • Testfallbeschreibung
  • Dokumentation der zugrunde gelegten Parametrisierung des Testfalls
  • Testdaten
  • erwartetes Testergebnis
  • erzieltes Testergebnis
  • aus den Tests abgeleiteten Maßnahmen.

Hinweise auf erhebliche Mängel können z. B. Häufungen der Abweichungen vom Regelbetrieb sein. Die Einhaltung von Programmierstandards wird auch für die von Endbenutzern in den Fachbereichen entwickelten Anwendungen (z. B. IDV-Anwendung) sichergestellt.

Jede dieser Anwendungen wird einer Schutzbedarfsklasse zugeordnet. Übersteigt der ermittelte Schutzbedarf die technische Schutzmöglichkeit dieser Anwendungen, werden Schutzmaßnahmen in Abhängigkeit der Ergebnisse der Schutzbedarfsklassifizierung ergriffen. Für einen Überblick und zur Vermeidung von Redundanzen wird ein zentrales Register dieser Anwendungen geführt und es werden mindestens folgende Informationen erhoben:

  • Name und Zweck der Anwendung
  • Versionierung, Datumsangabe
  • Fremd- oder Eigenentwicklung
  • Fachverantwortliche(r) Mitarbeiter
  • Technisch verantwortliche(r) Mitarbeiter
  • Technologie
  • Ergebnis der Risikoklassifizierung/Schutzbedarfseinstufung und ggf. die daraus abgeleiteten Schutzmaßnahmen.

 

BAIT – Neue Anforderungen an das IT-Sicherheitsmanagement

Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Aktuelle Informationen zu den BAIT finden Sie direkt in unserem Informationsblog BAIT.

Pin It on Pinterest

Share This