|
|
(12 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''RECPLAST''' - Beispiel-Unternehmen des [[BSI]] zur Darstellung der IT-Grundschutz-Methodik
| | [[Kategorie:IT-Grundschutz/Hilfsmittel]] |
| | |
| == Beschreibung ==
| |
| ''RECPLAST GmbH'' ist ein fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund
| |
| # [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Beschreibung_Recplast.pdf?__blob=publicationFile&v=1 Beschreibung der RECPLAST GmbH]
| |
| | |
| == Referenzdokumente ==
| |
| ; Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik
| |
| * Für Zertifizierung notwendig
| |
| | |
| ; RECPLAST-Dokumente
| |
| * Zeigen möglichen Aufbau der Referenzdokumente
| |
| | |
| === Richtlinien für Informationssicherheit ===
| |
| ; Leitung einer Institution muss Informationssicherheit steuern
| |
| * Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
| |
| * Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
| |
| | |
| ; IT-Grundschutz sieht mindestens folgende Richtlinien vor
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A01_Sicherheitsleitlinie.pdf?__blob=publicationFile&v=2 Sicherheitsleitlinie]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A02_Richtlinie_Risikoanalyse.pdf?__blob=publicationFile&v=1 Richtlinie zur Risikoanalyse]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A03_Richtlinie_Lenkung_Dokumenten_und_Aufzeichnungen.pdf?__blob=publicationFile&v=1 Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A04_Richtlinie_internen_ISMS_Auditierung.pdf?__blob=publicationFile&v=1 Richtlinie zur internen ISMS-Auditierung]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A05_Richtlinie_Lenkung_Korrektur_Vorbeugungsm.pdf?__blob=publicationFile&v=1 Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen]
| |
| | |
| === Strukturanalyse ===
| |
| ; Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A11_Abgrenzung_des_Informationsverbunds.pdf?__blob=publicationFile&v=1 Abgrenzung des Informationsverbunds]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=2 Strukturanalyse]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse-Abhaengigkeiten_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=1 Strukturanalyse Abhängigkeiten]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A18_Liste_der_Dienstleister.xlsx?__blob=publicationFile&v=1 Liste der Dienstleister]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Zuordnung_Prozesse_Standort.xlsx?__blob=publicationFile&v=1 Zuordnung Prozesse zu Standorten]
| |
| | |
| === Schutzbedarfsfeststellung ===
| |
| ; Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt
| |
| Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet. Abweichungen werden begründet.
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A21_Definition_Schutzbedarfskategorien.pdf?__blob=publicationFile&v=1 Definition der Schutzbedarfskategorien]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Schutzbedarfsfeststellung]
| |
| | |
| === Modellierung des Informationsverbunds ===
| |
| * Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden
| |
| * Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
| |
| | |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A3_Modellierung_Recplast_GmbH.xlsx?__blob=publicationFile&v=2 Modellierung]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Nicht verwendete Bausteine].
| |
| | |
| === Ergebnis des IT-Grundschutz-Checks ===
| |
| ; Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.
| |
| | |
| [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Ergebnis_des_IT-Grundschutz-Checks.xlsx?__blob=publicationFile&v=2 Ergebnis IT-Grundschutz-Check]
| |
| | |
| === Risikoanalyse ===
| |
| ; Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.
| |
| * Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
| |
| | |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse.xlsx?__blob=publicationFile&v=1 Risikoanalyse]
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse_GP_Ebene.xlsx?__blob=publicationFile&v=1 Risikoanalyse auf Geschäftsprozessebene]
| |
| | |
| === Realisierungsplan ===
| |
| ; In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.
| |
| * Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.
| |
| * Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.
| |
| | |
| [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Realisierungsplan.xlsx?__blob=publicationFile&v=1 Realisierungsplan]
| |
| | |
| == Links ==
| |
| # https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html
| |
| [[Kategorie:Grundschutz/Hilfsmittel]]
| |