|
|
| (25 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''RECPLAST''' - Beispiel-Unternehmen des [[BSI]] zur Darstellung der IT-Grundschutz-Methodik
| | [[Kategorie:IT-Grundschutz/Hilfsmittel]] |
| | |
| == Beschreibung ==
| |
| ''RECPLAST GmbH'' ist ein fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund
| |
| | |
| == Referenzdokumente ==
| |
| ; Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik
| |
| * Für Zertifizierung notwendig
| |
| | |
| ; RECPLAST-Dokumente
| |
| * Möglichen Aufbau der Referenzdokumente
| |
| | |
| === Richtlinien für Informationssicherheit ===
| |
| ; Leitung einer Institution muss Informationssicherheit steuern
| |
| * Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
| |
| * Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
| |
| | |
| ==== Mindestanforderung ====
| |
| ; IT-Grundschutz sieht mindestens folgende Richtlinien vor
| |
| * Sicherheitsleitlinie
| |
| * Richtlinie zur Risikoanalyse
| |
| * Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
| |
| * Richtlinie zur internen ISMS-Auditierung
| |
| * Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
| |
| | |
| === Strukturanalyse ===
| |
| ; Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.
| |
| | |
| ; Zur Strukturanalyse gehören:
| |
| * Abgrenzung des Informationsverbunds
| |
| * Strukturanalyse der RECPLAST GmbH
| |
| * Strukturanalyse Abhängigkeiten der RECPLAST GmbH
| |
| * Liste der Dienstleister
| |
| * Zuordnung Prozesse zu Standorten
| |
| | |
| === Schutzbedarfsfeststellung ===
| |
| ; Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt
| |
| * Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet.
| |
| * Eventuelle Abweichungen werden begründet
| |
| * Definition der Schutzbedarfskategorien
| |
| * Schutzbedarfsfeststellung
| |
| | |
| === Modellierung des Informationsverbunds ===
| |
| * Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden
| |
| * Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
| |
| | |
| * [[Modellierung der RECPLAST GmbH]]
| |
| * [[Bausteine, die nicht verwendet wurden]].
| |
| | |
| === Ergebnis des IT-Grundschutz-Checks ===
| |
| ; Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.
| |
| | |
| Ergebnis des IT-Grundschutz-Checks
| |
| | |
| === Risikoanalyse ===
| |
| ; Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.
| |
| * Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
| |
| | |
| * Risikoanalyse
| |
| * Risikoanalyse auf Geschäftsprozessebene
| |
| | |
| === Realisierungsplan ===
| |
| ; In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.
| |
| * Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.
| |
| * Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.
| |
| | |
| Realisierungsplan
| |
| | |
| [[Kategorie:Grundschutz/Hilfsmittel]]
| |