|
|
| (59 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| = TMP =
| | [[Kategorie:IT-Grundschutz/Hilfsmittel]] |
| | |
| == Beschreibung und Vorgehensweise ==
| |
| In diesem Dokument wird zunächst das fiktive Beispielunternehmen „RECPLAST <abbr>GmbH</abbr>“ beschrieben. Die RECPLAST <abbr>GmbH</abbr> ist ein mittelständisches Unternehmen mit einem typischen Informationsverbund.
| |
| | |
| Anhand dieses Beispiels wird die <abbr>IT</abbr>-Grundschutz-Methodik gemäß <abbr>BSI</abbr>-Standard 200-2 dargestellt. Dabei werden Auszüge aus den sogenannten Referenzdokumenten verwendet, die im Rahmen der <abbr>IT</abbr>-Grundschutz-Methodik erstellt werden. Die Referenzdokumente sind elementarer Bestandteil der <abbr>IT</abbr>-Grundschutz-Methodik und werden insbesondere für eine Zertifizierung nach <abbr>ISO</abbr> 27001 auf der Basis von <abbr>IT</abbr>-Grundschutz benötigt. Die vollständigen Referenzdokumente der RECPLAST <abbr>GmbH</abbr> sind ebenfalls auf dieser Seite verfügbar.
| |
| | |
| Beschreibung der RECPLAST <abbr>GmbH</abbr>
| |
| | |
| == Referenzdokumente ==
| |
| Die folgenden Dokumente zeigen beispielhaft auf, wie die Referenzdokumente aufgebaut sein können, die für eine Zertifizierung nach <abbr>ISO</abbr> 27001 auf Basis von <abbr>IT</abbr>-Grundschutz notwendig sind.
| |
| | |
| === Richtlinien für Informationssicherheit ===
| |
| Die Leitung einer Institution muss die Informationssicherheit steuern. Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden. Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden. Die <abbr>IT</abbr>-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss:
| |
| | |
| * Sicherheitsleitlinie
| |
| * Richtlinie zur Risikoanalyse
| |
| * Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
| |
| * Richtlinie zur internen <abbr>ISMS</abbr>-Auditierung
| |
| * Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
| |
| | |
| === Strukturanalyse ===
| |
| Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution. Zur Strukturanalyse gehören:
| |
| | |
| * Abgrenzung des Informationsverbunds
| |
| * Strukturanalyse der RECPLAST <abbr>GmbH</abbr>
| |
| * Strukturanalyse Abhängigkeiten der RECPLAST <abbr>GmbH</abbr>
| |
| * Liste der Dienstleister
| |
| * Zuordnung Prozesse zu Standorten
| |
| | |
| === Schutzbedarfsfeststellung ===
| |
| Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt. Darauf aufbauend wird der Schutzbedarf der Anwendungen, <abbr>IT</abbr>-Systeme und aller weiteren Zielobjekte abgeleitet. Eventuelle Abweichungen werden begründet.
| |
| | |
| * Definition der Schutzbedarfskategorien
| |
| * Schutzbedarfsfeststellung
| |
| | |
| === Modellierung des Informationsverbunds ===
| |
| Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden. Außerdem gibt es eine Liste von <abbr>IT</abbr>-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit <abbr>IT</abbr>-Grundschutz-Bausteinen, die nicht verwendet werden.
| |
| | |
| * Modellierung der RECPLAST <abbr>GmbH</abbr>
| |
| * Bausteine, die nicht verwendet wurden.
| |
| | |
| === Ergebnis des <abbr>IT</abbr>-Grundschutz-Checks ===
| |
| Im <abbr>IT</abbr>-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten <abbr>IT</abbr>-Grundschutz-Bausteinen umgesetzt sind. Aus Gründen der Übersichtlichkeit ist der <abbr>IT</abbr>-Grundschutz-Check der RECPLAST <abbr>GmbH</abbr> nur auszugsweise enthalten.
| |
| | |
| Ergebnis des IT-Grundschutz-Checks
| |
| | |
| === Risikoanalyse ===
| |
| Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen <abbr>IT</abbr>-Grundschutz-Baustein gibt. Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
| |
| | |
| * Risikoanalyse
| |
| * Risikoanalyse auf Geschäftsprozessebene
| |
| | |
| === Realisierungsplan ===
| |
| In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind. Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen. Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.
| |
| | |
| Realisierungsplan
| |
| | |
| [[Kategorie:Grundschutz/Hilfsmittel]] | |