RECPLAST

RECPLAST - Beispiel-Unternehmen des BSI zur Darstellung der IT-Grundschutz-Methodik

Beschreibung

RECPLAST GmbH

Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund

• siehe RECPLAST/Beschreibung

Referenzdokumente

Elementarer Bestandteil der IT-Grundschutz-Methodik

• Für Zertifizierung notwendig

RECPLAST-Dokumente

• Zeigen möglichen Aufbau der Referenzdokumente

Richtlinien für Informationssicherheit

Leitung einer Institution steuert Informationssicherheit

• Grundlegende Aspekte der Informationssicherheit
• Informationssicherheitsziele
• Verfahren zur Messung der Zielerreichung

Informationssicherheit ist ein Prozess

• Muss kontinuierlich aufrechterhalten und verbessert werden

IT-Grundschutz sieht mindestens folgende Richtlinien vor

• Sicherheitsleitlinie
• Richtlinie zur Risikoanalyse
• Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
• Richtlinie zur internen ISMS-Auditierung
• Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Strukturanalyse

Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution

• Abgrenzung des Informationsverbunds
• Strukturanalyse
• Strukturanalyse Abhängigkeiten
• Liste der Dienstleister
• Zuordnung Prozesse zu Standorten

Schutzbedarfsfeststellung

1. Schutzbedarf der Geschäftsprozesse bestimmen
2. Daraus wird der Schutzbedarf abgeleitet für
   1. Anwendungen
   2. IT-Systeme
   3. Aller weiteren Zielobjekte
3. Abweichungen werden begründet

Dokumente

• Definition der Schutzbedarfskategorien
• Schutzbedarfsfeststellung

Modellierung des Informationsverbunds

Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden

• Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und
• eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.

• Modellierung
• Nicht verwendete Bausteine.

Ergebnis des IT-Grundschutz-Checks

Prüfung je Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind

Ergebnis IT-Grundschutz-Check

Risikoanalyse

Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die

• einen erhöhten Schutzbedarf haben
• die unter besonderen Bedingungen eingesetzt werden
• für die es keinen IT-Grundschutz-Baustein gibt.

Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.

• Richtlinie zur Risikoanalyse
• Risikoanalyse
• Risikoanalyse auf Geschäftsprozessebene

Realisierungsplan

• Anforderungen, die nicht (ausreichend) umgesetzt sind
• Maßnahmen, die sich aus der Risikoanalyse ergeben haben

Welche Maßnahmen werden durch wen, bis wann umgesetzt

• Realisierungsplan

Links

1. BSI-Website zu RECPLAST