Grundschutz/Strukturanalyse/Anwendungen
Anwendungen
[Image:Abb_3_04_Schritt2.png?__blob=normal&v=1Bild10.png|top|alt="Schritte bei der Strukturanalyse, der hier behandelte Schritt ist hervorgehoben"]]
Als Anwendungen erfassen Sie -Lösungen, die Geschäftsprozesse und die Erledigung von Fachaufgaben unterstützen und die aufgrund ihres Bedarfs an Geheimhaltung, Korrektheit und Unverfälschtheit oder Verfügbarkeit zumindest ein Mindestmaß an Schutz erfordern.
- Zur Identifikation der in dieser Hinsicht wesentlichen und folglich in der Strukturanalyse zu dokumentierenden Anwendungen bieten sich Gespräche oder gemeinsame Workshops mit Benutzern, Anwendungs- und Geschäftsprozessverantwortlichen sowie sachkundigen Mitarbeitern der -Abteilung an.
Für jede als wesentlich identifizierte Anwendung sollten Sie folgende Angaben in einer Tabelle erfassen:* eine eindeutige Kennung (Nummer oder Kürzel),
- einen Namen für die Anwendung,
- eine kurze Beschreibung des Ziels, der Funktion und der verarbeiteten Informationen,
- die für die Anwendung Verantwortlichen,
- die Benutzer dieser Anwendung.
Zusätzlich müssen Sie die Abhängigkeiten zwischen Anwendungen und Geschäftsprozessen oder Fachaufgaben dokumentieren, also festhalten, in welchen Prozessen und Fachaufgaben eine gegebene Anwendung benutzt wird.
Achten Sie bei der Erfassung der Anwendungen auf eine angemessene Granularität.
- Beispielsweise ist es in der Regel nicht sinnvoll, ein Office-Produkt in seine einzelnen Bestandteile ( Textverarbeitung, Präsentation, Tabellenkalkulation) zu zerlegen und diese dann gesondert zu beschreiben.
- Wenn Sie zu feinteilig erfassen, erzeugen Sie einen unnötigen Aufwand für die nachfolgenden Phasen der Sicherheitskonzeption durch ein Übermaß an zu behandelnden Objekten.
- Bei einer zu groben Betrachtung der Anwendungen verhindern Sie erforderliche Differenzierungen, insbesondere auch bei der Festlegung erforderlicher Schutzmaßnahmen.
Beispiel
- Anwendungen der RECPLAST
Eine vollständige Übersicht aller Anwendungen, die in den Geschäftsprozessen der RECPLAST bedeutsam sind, würde den Rahmen dieses Kurses sprengen.
- Die nachfolgenden Tabellen enthalten daher nur einen Ausschnitt, um zu verdeutlichen, wie Sie Anwendungen und ihren Zusammenhang mit den Geschäftsprozessen dokumentieren.
- Anwendungen
| Bezeichnung, Name und Beschreibung der Anwendung | Anzahl | Benutzer/Verantwortlicher |
|---|---|---|
| A001: Textverarbeitung, Präsentation, TabellenkalkulationAlle geschäftlichen Informationen werden in einem Office-Produkt verarbeitet: Geschäftsbriefe, Analysen oder Präsentationen. | 290 | Alle Mitarbeiter/-Betrieb |
| A002: Lotus NotesDiese Anwendung wird von allen Mitarbeitern für die Bearbeitung von Mailnachrichten, Terminen und Kontakten genutzt. | 290 | Alle Mitarbeiter/-Betrieb |
| ... | ||
| A009: Auftrags- und KundenverwaltungMit dieser datenbankgestützten Anwendung werden Kundenstammdaten und Auftragsdaten verarbeitet sowie die Informationen für Produktion und Lieferung vorbereitet. | 55 | Marketing &Vertrieb/Marketing &Vertrieb |
A010: Active DirectoryZu allen Benutzern der -Systeme werden Informationen zu Gruppenzugehörigkeit, Rechten und Authentisierungsmerkmalen verarbeitet und gespeichert.
|
2 | Administratoren/-Betrieb |
A013: Druckservice Über diesen Dienst können alle Mitarbeiter in Bad Godesberg die dortigen Drucker benutzen.
|
1 | Alle Mitarbeiter in Bad Godesberg/-Betrieb |
A014: Druckservice BeuelÜber diesen Dienst können alle Mitarbeiter in Beuel die dortigen Drucker benutzen.
|
1 | Alle Mitarbeiter in Beuel/-Betrieb |
| A015: FirewallDie Anwendung steuert die Kommunikation zwischen dem Firmennetz und dem Internet und ermöglicht die verschlüsselte Kommunikation der Vertriebsbüros über -Tunnel. | 1 | Alle Mitarbeiter/-Betrieb |
| A016: -VermittlungÜber die beiden miteinander gekoppelten -Anlagen in Bad Godesberg und Beuel werden ein- und ausgehende Telefongespräche und Fax-Nachrichten vermittelt und ein Telefonverzeichnis gepflegt. | 2 | Alle Mitarbeiter/-Betrieb |
Die folgende Tabelle zeigt auszugsweise, in welchen Geschäftsprozessen diese Anwendungen verwendet werden
Zuordnung der Anwendungen zu Geschäftsprozessen
| | Anwendung | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Geschäftsprozess | A001 | A002 | ... | A009 | A010 | A013 | A014 | A015 | A016 |
| GP001 Produktion | X | X | X | X | X | X | |||
| GP002 Angebotswesen | X | X | X | X | X | X | X | ||
| GP003 Auftragsabwicklung | X | X | X | X | X | X | X | ||
| GP004 Einkauf | X | X | X | X | X | X | |||
| GP005 Disposition | X | X | X | X | X | X | X | ||
Anwendungen erheben
"Schritte bei der Strukturanalyse, der hier behandelte Schritt ist hervorgehoben"
Als Anwendungen erfassen Sie -Lösungen, die Geschäftsprozesse und die Erledigung von Fachaufgaben unterstützen und die aufgrund ihres Bedarfs an Geheimhaltung, Korrektheit und Unverfälschtheit oder Verfügbarkeit zumindest ein Mindestmaß an Schutz erfordern.
- Zur Identifikation der in dieser Hinsicht wesentlichen und folglich in der Strukturanalyse zu dokumentierenden Anwendungen bieten sich Gespräche oder gemeinsame Workshops mit Benutzern, Anwendungs- und Geschäftsprozessverantwortlichen sowie sachkundigen Mitarbeitern der -Abteilung an.
Für jede als wesentlich identifizierte Anwendung sollten Sie folgende Angaben in einer Tabelle erfassen:* eine eindeutige Kennung (Nummer oder Kürzel),
- einen Namen für die Anwendung,
- eine kurze Beschreibung des Ziels, der Funktion und der verarbeiteten Informationen,
- die für die Anwendung Verantwortlichen,
- die Benutzer dieser Anwendung.
Zusätzlich müssen Sie die Abhängigkeiten zwischen Anwendungen und Geschäftsprozessen oder Fachaufgaben dokumentieren, also festhalten, in welchen Prozessen und Fachaufgaben eine gegebene Anwendung benutzt wird.
Achten Sie bei der Erfassung der Anwendungen auf eine angemessene Granularität.
- Beispielsweise ist es in der Regel nicht sinnvoll, ein Office-Produkt in seine einzelnen Bestandteile ( Textverarbeitung, Präsentation, Tabellenkalkulation) zu zerlegen und diese dann gesondert zu beschreiben.
- Wenn Sie zu feinteilig erfassen, erzeugen Sie einen unnötigen Aufwand für die nachfolgenden Phasen der Sicherheitskonzeption durch ein Übermaß an zu behandelnden Objekten.
- Bei einer zu groben Betrachtung der Anwendungen verhindern Sie erforderliche Differenzierungen, insbesondere auch bei der Festlegung erforderlicher Schutzmaßnahmen.
Beispiel: Anwendungen der RECPLAST
Eine vollständige Übersicht aller Anwendungen, die in den Geschäftsprozessen der RECPLAST bedeutsam sind, würde den Rahmen dieses Kurses sprengen.
- Die nachfolgenden Tabellen enthalten daher nur einen Ausschnitt, um zu verdeutlichen, wie Sie Anwendungen und ihren Zusammenhang mit den Geschäftsprozessen dokumentieren.
Anwendungen
| Bezeichnung, Name und Beschreibung der Anwendung | Anzahl | Benutzer/Verantwortlicher |
|---|---|---|
| A001: Textverarbeitung, Präsentation, TabellenkalkulationAlle geschäftlichen Informationen werden in einem Office-Produkt verarbeitet: Geschäftsbriefe, Analysen oder Präsentationen. | 290 | Alle Mitarbeiter/-Betrieb |
| A002: Lotus NotesDiese Anwendung wird von allen Mitarbeitern für die Bearbeitung von Mailnachrichten, Terminen und Kontakten genutzt. | 290 | Alle Mitarbeiter/-Betrieb |
| ... | ||
| A009: Auftrags- und KundenverwaltungMit dieser datenbankgestützten Anwendung werden Kundenstammdaten und Auftragsdaten verarbeitet sowie die Informationen für Produktion und Lieferung vorbereitet. | 55 | Marketing &Vertrieb/Marketing &Vertrieb |
A010: Active DirectoryZu allen Benutzern der -Systeme werden Informationen zu Gruppenzugehörigkeit, Rechten und Authentisierungsmerkmalen verarbeitet und gespeichert.
|
2 | Administratoren/-Betrieb |
A013: Druckservice Über diesen Dienst können alle Mitarbeiter in Bad Godesberg die dortigen Drucker benutzen.
|
1 | Alle Mitarbeiter in Bad Godesberg/-Betrieb |
A014: Druckservice BeuelÜber diesen Dienst können alle Mitarbeiter in Beuel die dortigen Drucker benutzen.
|
1 | Alle Mitarbeiter in Beuel/-Betrieb |
| A015: FirewallDie Anwendung steuert die Kommunikation zwischen dem Firmennetz und dem Internet und ermöglicht die verschlüsselte Kommunikation der Vertriebsbüros über -Tunnel. | 1 | Alle Mitarbeiter/-Betrieb |
| A016: -VermittlungÜber die beiden miteinander gekoppelten -Anlagen in Bad Godesberg und Beuel werden ein- und ausgehende Telefongespräche und Fax-Nachrichten vermittelt und ein Telefonverzeichnis gepflegt. | 2 | Alle Mitarbeiter/-Betrieb |
Die folgende Tabelle zeigt auszugsweise, in welchen Geschäftsprozessen diese Anwendungen verwendet werden
Zuordnung der Anwendungen zu Geschäftsprozessen
| | Anwendung | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Geschäftsprozess | A001 | A002 | ... | A009 | A010 | A013 | A014 | A015 | A016 |
| GP001 Produktion | X | X | X | X | X | X | |||
| GP002 Angebotswesen | X | X | X | X | X | X | X | ||
| GP003 Auftragsabwicklung | X | X | X | X | X | X | X | ||
| GP004 Einkauf | X | X | X | X | X | X | |||
| GP005 Disposition | X | X | X | X | X | X | X | ||