Datensicherheit Einhaltung der ICT Security Guideline
in Bangladesch

Überblick über die Bestimmungen

Die ICT Security Guideline gilt für Banken, Finanzunternehmen außerhalb des Bankensektors (NBFI), Anbieter von mobilen Finanzdienstleistungen (MFSP), Zahlungsdienstleister (PSP), Betreiber von Zahlungssystemen (PSO), White-Label-ATMs und Merchant Acquirers (WLAMA) sowie andere Finanzdienstleister, die von der Bangladesh Bank reguliert werden.

Diese überarbeitete ICT Guideline definiert aufsichtsrechtliche Mindestanforderungen, an die sich jedes Unternehmen halten muss. Die Hauptziele der Guideline sind:

1. Aufbau einer IKT-Governance im Finanzsektor
2. Unterstützung von Unternehmen bei der Entwicklung ihrer eigenen ICT-Sicherheitsrichtlinien
3. Einführung eines Standardkonzepts für das IKT-Sicherheitsmanagement
4. Unterstützung von Unternehmen bei der Entwicklung einer sicheren und zuverlässigen IKT-Infrastruktur
5. Schaffung einer sicheren Umgebung für die Verarbeitung von Daten
6. Einführung eines ganzheitlichen Ansatzes für das IKT-Risikomanagement
7. Einführung eines Verfahrens zur Analyse von Geschäftsauswirkungen in Verbindung mit dem IKT-Risikomanagement
8. Entwicklung eines Bewusstseins für die Rollen und Verantwortlichkeiten der Stakeholder in Bezug auf den Datenschutz
9. Priorisierung der Informations- und IKT-Systeme und der damit verbundenen Risiken, die gemindert werden müssen
10. Festlegung eines geeigneten Projektmanagementansatzes für IKT-Projekte
11. Gewährleistung bewährter Praktiken (Branchenstandards) für den Einsatz von Technologie
12. Entwicklung eines Rahmenwerks für den frühzeitigen und wirksamen Umgang mit Vorfällen im Bereich der Betriebs- und Informationssicherheit
13. Begrenzung von Unterbrechungen der Geschäftsaktivitäten und Schutz kritischer Geschäftsprozesse vor den Auswirkungen erheblicher Ausfälle von Informationssystemen oder Katastrophen sowie Sicherstellung der zeitnahen Wiederaufnahme des Betriebs
14. Festlegung der erforderlichen Kontrollmaßnahmen zum Schutz der über Kommunikationsnetzwerke übertragenen Daten
15. Gewährleistung, dass die Sicherheit in den gesamten Lebenszyklus der Anschaffung, Entwicklung und Wartung von Informationssystemen integriert wird
16. Minimierung der Sicherheitsrisiken für die Infrastruktur des elektronischen Bankwesens, einschließlich Geldautomaten und POS-Geräte, Zahlungskarten, Online-Banking, mobile Finanzdienstleistungen usw.
17. Sensibilisierung und Schulung der Nutzer im Zusammenhang mit IKT-Aktivitäten zur Erreichung der Unternehmensziele
18. Förderung der sicheren Nutzung neuer Technologien.

Die detaillierten Anforderungen werden in 13 Kapiteln beschrieben.

Thales ermöglicht es Banken und Finanzunternehmen in Bangladesch, Konformität mit den folgenden sechs Kapiteln der ICT Security Guideline zu erreichen.

Kapitel 4: Management von IKT-Dienstleistungen

• CipherTrust Cloud Key Management ermöglicht es Unternehmen, ihre Schlüssel von den in der Cloud gespeicherten Daten zu trennen und einen unbefugten Datenzugriff durch Cloud-Dienstleister zu verhindern. Durch die Verwendung der Hold-Your-Own-Key (HYOK)-Technologie behalten Unternehmen die volle Kontrolle und das Eigentum an ihren Daten, indem sie den Zugriff auf die Verschlüsselungsschlüssel selbst bestimmen.
• Schutz von Data-at-Rest: CipherTrust Data Security Platform bietet mehrere Funktionen zum Schutz von Data-at-Rest in Dateien, Volumes und Datenbanken. Dazu gehören CipherTrust Transparent Encryption und CipherTrust Tokenization.
• Schutz von Data-in-Motion: High Speed Network Encryption (HSE) von Thales bietet eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet.

Kapitel 5: Infrastruktur-Sicherheitsmanagement

• CipherTrust Data Discovery and Classification ermöglicht es Unternehmen, strukturierte und unstrukturierte regulierte Daten über mehrere Datenquellen hinweg gemäß den wichtigsten globalen und regionalen Compliance-Anforderungen effizient zu lokalisieren und zu klassifizieren.
• High Speed Network Encryption (HSE)-Lösungen von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Transit/-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet.
• CipherTrust Transparent Encryption (CTE) bietet eine datenbankunabhängige Data-at-Rest-Verschlüsselung mit zentraler Schlüsselverwaltung, Zugriffskontrolle für privilegierte Benutzer und detaillierter Protokollierung des Datenzugriffs, die Unternehmen bei der Einhaltung von Vorschriften und Best Practices zum Schutz von Daten unterstützt.
• Hardware Security Models (HSM) schützen kryptografische Schlüssel und bieten eine nach FIPS 140-2 Level 3 gehärtete, manipulationssichere Umgebung für sichere kryptografische Verarbeitung, Schlüsselerzeugung und -schutz, Verschlüsselung und mehr. Luna HSMs sind on-premises, in der Cloud (as-a-Service) und in hybriden Umgebungen verfügbar und ermöglichen die Sicherung von Schlüsseln in FIPS 140-2 Level 3-konformen Backup HSMs.
• Die Angebote von Thales Key Management rationalisieren und stärken die Schlüsselverwaltung in Cloud- und Unternehmensumgebungen für eine Vielzahl von Anwendungsfällen. Durch den Einsatz von FIPS-140-2-konformen virtuellen oder Hardware-Appliances bieten die Schlüsselverwaltungstools und -lösungen von Thales hohe Sicherheit in sensiblen Umgebungen und zentralisieren die Schlüsselverwaltung für hausinterne Verschlüsselung sowie für Anwendungen von Drittanbietern.

Kapitel 9: Management der Geschäftskontinuität

• Sensible Daten auf Bändern oder Disketten können mit der CipherTrust Data Security Platform geschützt werden, die sicherstellt, dass die Daten vor der Speicherung und dem Transport verschlüsselt werden. Thales Key Management lässt sich mit den führenden Anbietern von Backup-Lösungen integrieren, um die Backup-Verschlüsselungsschlüssel zu verwalten und die Daten von den Schlüsseln zu trennen. Außerdem schützt es die Daten, bevor sie gesichert und auf dem Wechselmedium gespeichert werden.

Kapitel 10: Beschaffung und Entwicklung von Informationssystemen

• CipherTrust Secrets Management (CSM) ist eine hochmoderne Lösung für das Secrets Management, die auf Akeyless basiert. Sie schützt und automatisiert den Zugriff auf unternehmenskritische Secrets über DevOps-Tools und Cloud-Workloads hinweg, einschließlich Secrets, Anmeldeinformationen, Zertifikaten, API-Schlüsseln und Token.
• CipherTrust Data Protection Gateway bietet transparenten Datenschutz für jeden RESTful-Webdienst oder Microservice, der REST-APIs nutzt.

Kapitel 11: Sicherheit im digitalen Zahlungsverkehr

• PayShield 10k HSM ist ein Hardware-Sicherheitsmodul (HSM), das im gesamten globalen Zahlungsökosystem von Emittenten, Dienstleistern, Acquirern, Verarbeitern und Zahlungsnetzwerken eingesetzt wird. Es spielt eine grundlegende Rolle bei der Sicherung der Ausstellung von Zahlungsberechtigungen, der Benutzerauthentifizierung, der Kartenauthentifizierung und des Schutzes sensibler Daten sowohl bei Präsenz- als auch bei digitalen Fernzahlungen.

Kapitel 14: Management neuer Technologien

• Die Luna Network HSMs von Thales sind so konzipiert, dass sie die privaten Schlüssel, die von den Blockchain-Mitgliedern zum Signieren aller Transaktionen verwendet werden, in einem dedizierten kryptografischen Prozessor gemäß FIPS 140-2 Level 3 speichern. Die kryptografischen Schlüssel werden während ihres gesamten Lebenszyklus gespeichert, sodass sichergestellt ist, dass sie nicht von unbefugten Geräten oder Personen eingesehen, geändert oder verwendet werden können.