Kategorie:RECPLAST

RECPLAST - Beispiel-Unternehmen des BSI zur Darstellung der IT-Grundschutz-Methodik

Beschreibung

RECPLAST GmbH

Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund

• Beschreibung der RECPLAST GmbH

Referenzdokumente

Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik

• Für Zertifizierung notwendig

RECPLAST-Dokumente

• Zeigen möglichen Aufbau der Referenzdokumente

Richtlinien für Informationssicherheit

Leitung einer Institution muss Informationssicherheit steuern

• Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
• Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.

IT-Grundschutz sieht mindestens folgende Richtlinien vor

• Sicherheitsleitlinie
• Richtlinie zur Risikoanalyse
• Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
• Richtlinie zur internen ISMS-Auditierung
• Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Strukturanalyse

Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.

• Abgrenzung des Informationsverbunds
• Strukturanalyse
• Strukturanalyse Abhängigkeiten
• Liste der Dienstleister
• Zuordnung Prozesse zu Standorten

Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt

Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet. Abweichungen werden begründet.

• Definition der Schutzbedarfskategorien
• Schutzbedarfsfeststellung

Modellierung des Informationsverbunds

• Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden
• Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.

• Modellierung
• Nicht verwendete Bausteine.

Ergebnis des IT-Grundschutz-Checks

Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.

Ergebnis IT-Grundschutz-Check

Risikoanalyse

Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.

• Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.

• Risikoanalyse
• Risikoanalyse auf Geschäftsprozessebene

Realisierungsplan

• Anforderungen, die nicht (ausreichend) umgesetzt sind
• Maßnahmen, die sich aus der Risikoanalyse ergeben haben

Welche Maßnahmen werden durch wen, bis wann umgesetzt

• Realisierungsplan

Links

1. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz-Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html