Le projet d'obligation informatique de surveillance bancaire (BAIT) de l'Autorité fédérale allemande de surveillance financière (BaFin) lors de la consultation de février 2017 vise à préciser les exigences de la loi MaRisk et de la loi sur les banques §25a. Les cas pratiques font référence à des thèmes tels que la stratégie informatique, la gouvernance informatique, la gestion des risques de l'information et la gestion de la sécurité de l'information, ainsi que la gestion des autorisations.
En particulier en ce qui concerne les spécifications pour la gestion des autorisations, les directives jusqu'ici plutôt «souples» et les exigences des chapitres correspondants du MaRisk (structure AT 4.3.1 et organisation des processus, ainsi que l'équipement technique et organisationnel AT 7.2) sont définies plus précisément et réduisent la portée à l'avenir.
Concepts d'autorisation informatique
Constituent la base de l’attribution future des droits et décrivent des conditions d’utilisation des autorisations informatiques alignées sur les exigences de protection du système informatique.
Cession de comptes à des personnes actives
Les droits et comptes informatiques non personnalisés doivent être attribués à une personne active sans aucun doute à l'avenir.
Processus d'approbation et de contrôle
Les processus impliquant le service responsable garantissent que l'établissement, la modification, la désactivation et la suppression des autorisations informatiques sont respectées conformément aux concepts d'autorisation informatique.
Recertification
Examen régulier des autorisations informatiques attribuées en ce qui concerne leur nécessité, ainsi que le retrait éventuellement associé.
Traçabilité et documentation
Conformément aux exigences du BAIT, tous les processus d'établissement, de modification, de désactivation et de suppression des autorisations dans les systèmes informatiques doivent être documentés de manière compréhensible et évaluable.
Le rôle de la GIA
La gestion des identités et des accès répond au moins aux exigences du BAIT concernant:
- L'affectation automatique de comptes techniques à des personnes physiques
- Le processus d'autorisation et de contrôle des autorisations traçables
- Le modèle de rôle d'entreprise uniforme à l'échelle de l'entreprise
- La recertification régulière des autorisations
Demandez-nous plus d'informations et de soutien à la mise en œuvre.