RECPLAST: Unterschied zwischen den Versionen
K Textersetzung - „IT-Grundschutz-Kompendium“ durch „IT-Grundschutz/Kompendium“ |
|||
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 5: | Zeile 5: | ||
Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund | Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund | ||
* siehe [[RECPLAST/Beschreibung]] | * siehe [[RECPLAST/Beschreibung]] | ||
== Referenzdokumente == | == Referenzdokumente == | ||
Elementarer Bestandteil der IT-Grundschutz-Methodik | |||
* Für Zertifizierung notwendig | * Für Zertifizierung notwendig | ||
Zeile 17: | Zeile 14: | ||
=== Richtlinien für Informationssicherheit === | === Richtlinien für Informationssicherheit === | ||
; Leitung einer Institution | ; Leitung einer Institution steuert Informationssicherheit | ||
* Grundlegende Aspekte der Informationssicherheit | |||
* Grundlegende Aspekte der Informationssicherheit | * Informationssicherheitsziele | ||
* Informationssicherheitsziele | * Verfahren zur Messung der Zielerreichung | ||
* | |||
; Informationssicherheit ist ein Prozess | ; Informationssicherheit ist ein Prozess | ||
Zeile 43: | Zeile 39: | ||
=== Schutzbedarfsfeststellung === | === Schutzbedarfsfeststellung === | ||
# Schutzbedarf der Geschäftsprozesse bestimmen | # Schutzbedarf der Geschäftsprozesse bestimmen | ||
# | # Daraus wird der Schutzbedarf abgeleitet für | ||
## Anwendungen | ## Anwendungen | ||
## IT-Systeme | ## IT-Systeme | ||
Zeile 84: | Zeile 80: | ||
== Links == | == Links == | ||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz | # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html BSI-Website zu RECPLAST] | ||
[[Kategorie:RECPLAST]] | [[Kategorie:RECPLAST]] |
Aktuelle Version vom 29. Juli 2024, 11:10 Uhr
RECPLAST - Beispiel-Unternehmen des BSI zur Darstellung der IT-Grundschutz-Methodik
Beschreibung
- RECPLAST GmbH
Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund
- siehe RECPLAST/Beschreibung
Referenzdokumente
Elementarer Bestandteil der IT-Grundschutz-Methodik
- Für Zertifizierung notwendig
- RECPLAST-Dokumente
- Zeigen möglichen Aufbau der Referenzdokumente
Richtlinien für Informationssicherheit
- Leitung einer Institution steuert Informationssicherheit
- Grundlegende Aspekte der Informationssicherheit
- Informationssicherheitsziele
- Verfahren zur Messung der Zielerreichung
- Informationssicherheit ist ein Prozess
- Muss kontinuierlich aufrechterhalten und verbessert werden
- IT-Grundschutz sieht mindestens folgende Richtlinien vor
- Sicherheitsleitlinie
- Richtlinie zur Risikoanalyse
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Strukturanalyse
- Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution
- Abgrenzung des Informationsverbunds
- Strukturanalyse
- Strukturanalyse Abhängigkeiten
- Liste der Dienstleister
- Zuordnung Prozesse zu Standorten
Schutzbedarfsfeststellung
- Schutzbedarf der Geschäftsprozesse bestimmen
- Daraus wird der Schutzbedarf abgeleitet für
- Anwendungen
- IT-Systeme
- Aller weiteren Zielobjekte
- Abweichungen werden begründet
- Dokumente
Modellierung des Informationsverbunds
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden
- Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und
- eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
Ergebnis des IT-Grundschutz-Checks
- Prüfung je Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind
Risikoanalyse
- Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die
- einen erhöhten Schutzbedarf haben
- die unter besonderen Bedingungen eingesetzt werden
- für die es keinen IT-Grundschutz-Baustein gibt.
Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
Realisierungsplan
- Anforderungen, die nicht (ausreichend) umgesetzt sind
- Maßnahmen, die sich aus der Risikoanalyse ergeben haben
- Welche Maßnahmen werden durch wen, bis wann umgesetzt