Einhaltung der Technology Risk Management (TRM) Guidelines der Monetary Authority of Singapore (MAS)

Überblick über die Bestimmungen

Die Monetary Authority of Singapore (MAS) hat die Richtlinie Technology Risk Management (TRM) Guidelines veröffentlicht, um Finanzunternehmen dabei zu unterstützen, ein solides Technologie-Risikomanagement zu etablieren, die Systemsicherheit zu verstärken und sensible Daten und Transaktionen zu schützen.

Die TRM-Richtlinie beinhaltet bewährte Verfahren der Branche, die Finanzinstitute, die in Singapur tätig sind, übernehmen sollen. Die MAS stellt klar, dass die Vorgaben der TRM nicht rechtsverbindlich sind, sondern eine Bemessungsgrundlage, anhand derer die MAS das Risiko von Finanzinstituten bewertet.

Beschreibung der Richtlinie

• 8.4.4 Das Finanzinstitut sollte Backups von Bändern und Datenträgern einschließlich USB-Sticks erstellen, die sensible oder vertrauliche Informationen enthalten, bevor diese zur Archivierung an einen externen Ort gebracht werden.
• 9.1.6 Vertrauliche Informationen, die auf IT-Systemen, Servern und Datenbanken gespeichert sind, sollten verschlüsselt und durch strikte Zugriffskontrollen unter Berücksichtigung des Least-Privilege-Prinzips geschützt werden.
• 11.0.1.c Grundsatz der Zugriffskontrolle: Das Finanzinstitut sollte Zugriffsrechte und Systemberechtigungen nur auf Grundlage der Aufgaben des jeweiligen Mitarbeiters und der Erfordernisse, die diese Aufgaben mit sich bringen, vergeben. Das Finanzinstitut sollte prüfen, dass niemand allein aufgrund seines Rangs oder seiner Stellung das Recht hat, auf vertrauliche Daten, Anwendungen, Systemressourcen oder -anlagen zuzugreifen.
• 11.1.1 Das Finanzinstitut sollte Benutzern den Zugriff auf IT-Systeme und Netzwerke nur dann gewähren, wenn es erforderlich ist, und ausschließlich für den Zeitraum, indem der Zugriff benötigt wird. Das Finanzinstitut sollte sicherstellen, dass der jeweilige Eigentümer alle Anfragen auf Zugriff zu seinen IT-Ressourcen ordnungsgemäß autorisiert und genehmigt.
• 11.2 Verwaltung privilegierter Benutzerzugriffe
• 11.2.3.d. Privilegierter Zugriff sollte nach dem „Need-to-Have“-Prinzip gewährt werden.
• 11.2.3.e. Die Systemaktivitäten privilegierter Benutzer sollten zu Prüfungszwecken protokolliert werden.
• 11.2.3.f. Privilegierten Benutzer sollte der Zugriff auf Systemprotokolle, die ihre Aktivitäten aufzeichnen, verweigert werden
• 13 Sicherheit von Zahlungskarten (Geldautomaten, Kredit- und Debitkarten).

Thales unterstützt Ihr Unternehmen dabei, Datenschutzverletzungen in erster Linie durch Folgendes zu verhindern:

• Zugriffskontrollen, die sicherstellen, dass nur Benutzer mit den entsprechenden Berechtigungen auf Ihres Systeme und Daten zugreifen können.
• Verschlüsselung, Tokenisierung und die Verwaltung kryptographischer Schlüssel, damit Daten im Falle eines Diebstahls für Cyberkriminelle keinen Sinn ergeben und damit nutzlos sind.
• Security-Intelligence-Protokolle zur Identifizierung unregelmäßiger Zugriffsmuster und laufender Verstöße

Leistungsstarke Zugriffsverwaltung und Authentifizierung

Die Zugriffsverwaltungs- und Authentifizierungslösungen von Thales bieten die erforderlichen Sicherheitsmechanismen und Berichtsfunktionen, die Unternehmen für die Einhaltung von Datensicherheitsvorschriften benötigen. Unsere Lösungen schützen sensible Daten, indem Sie geeignete Zugriffskontrollen durchsetzen, sobald Benutzer auf Anwendungen zugreifen, in denen sensible Daten gespeichert sind. Sie unterstützen eine große Bandbreite an Authentifizierungsmethoden sowie richtlinien- und rollenbasierten Zugriff und helfen Unternehmen dabei, das Risiko von Datenschutzverletzungen aufgrund kompromittierter oder gestohlener Zugangsdaten oder deren Missbrauch durch Insider zu senken.

Dank intelligentem Single-Sign-on und Step-up-Authentifizierung können Organisationen die Benutzerfreundlichkeit erhöhen. Endbenutzer müssen sich nur bei Bedarf authentifizieren. Unternehmen können mithilfe umfangreicher Berichtsfunktionen detaillierte Audit-Protokolle aller Zugriffs- und Authentifizierungsereignisse erstellen. So ist die Einhaltung zahlreicher Vorschriften gewährleistet.

Die CipherTrust Data Security Platform

Die CipherTrust Data Security Platform von Thales ist die einzige Lösung, die einen einzelnen erweiterbaren Rahmen bietet, um Data-at-Rest gemäß den unterschiedlichen Vorgaben für Unternehmen in einer Vielzahl an Betriebssystemen, Datenbanken, Cloud-Umgebungen und Big-Data-Implementierungen zu schützen. Das senkt die Betriebskosten und gewährleistet eine einfache und schnelle Bereitstellung sowie einen reibungslosen Betrieb.

• CipherTrust Transparent Encryption verschlüsselt Data-at-Rest auf Datei- und Volume-Ebene und bietet sichere Schlüsselverwaltung und Zugriffskontrolle entsprechend den regulatorischen und gesetzlichen Vorgaben.
• CipherTrust Key Management ermöglicht die zentrale Verwaltung Ihrer kryptographischen Schlüssel für andere Umgebungen und Geräte einschließlich KMIP-kompatibler Hardware, Masterschlüssel für Oracle und SQL Server TED sowie digitale Zertifikate.
• CipherTrust Security Intelligence bietet zusätzlichen Schutz vor böswilligen Insidern, privilegierten Benutzern, APTs und sonstigen Angriffen, die die Sicherheit von Daten gefährden, indem es die erforderlichen Informationen zu Zugriffsmustern liefert, mit denen ein laufender Vorfall entdeckt werden kann.
• Mit CipherTrust Application Data Protection können Behörden ganz einfach Verschlüsselungsfunktionen in interne Anwendungen auf Feld- und Spaltenebene integrieren.
• Mithilfe von CipherTrust Tokenization können Administratoren Richtlinien erstellen, um ein gesamtes Feld zu tokenisieren oder Teile eines Feldes dynamisch zu maskieren. Die Tokenisierungsfunktionen der Lösung behalten das ursprüngliche Format bei. So können Sie den Zugriff auf sensible Datensätze beschränken und gleichzeitig die geschützten Daten so formatieren, dass eine Vielzahl von Benutzern diese für Ihre Aufgaben nutzen können.

High Speed Encryptors von Thales

Die High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Ebene 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren HSE-Lösungen können Kunden Daten, Videos, Sprach- und Metadaten besser vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen schützen.