RECPLAST: Unterschied zwischen den Versionen
Dirkwagner verschob die Seite RECPLAST nach Kategorie:RECPLAST Markierung: Neue Weiterleitung |
K Textersetzung - „IT-Grundschutz-Kompendium“ durch „IT-Grundschutz/Kompendium“ |
||
| (16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
# | '''RECPLAST''' - Beispiel-Unternehmen des [[BSI]] zur Darstellung der IT-Grundschutz-Methodik | ||
== Beschreibung == | |||
; RECPLAST GmbH | |||
Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund | |||
* siehe [[RECPLAST/Beschreibung]] | |||
== Referenzdokumente == | |||
Elementarer Bestandteil der IT-Grundschutz-Methodik | |||
* Für Zertifizierung notwendig | |||
; RECPLAST-Dokumente | |||
* Zeigen möglichen Aufbau der Referenzdokumente | |||
=== Richtlinien für Informationssicherheit === | |||
; Leitung einer Institution steuert Informationssicherheit | |||
* Grundlegende Aspekte der Informationssicherheit | |||
* Informationssicherheitsziele | |||
* Verfahren zur Messung der Zielerreichung | |||
; Informationssicherheit ist ein Prozess | |||
* Muss kontinuierlich aufrechterhalten und verbessert werden | |||
; IT-Grundschutz sieht mindestens folgende Richtlinien vor | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A01_Sicherheitsleitlinie.pdf?__blob=publicationFile&v=2 Sicherheitsleitlinie] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A02_Richtlinie_Risikoanalyse.pdf?__blob=publicationFile&v=1 Richtlinie zur Risikoanalyse] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A03_Richtlinie_Lenkung_Dokumenten_und_Aufzeichnungen.pdf?__blob=publicationFile&v=1 Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A04_Richtlinie_internen_ISMS_Auditierung.pdf?__blob=publicationFile&v=1 Richtlinie zur internen ISMS-Auditierung] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A05_Richtlinie_Lenkung_Korrektur_Vorbeugungsm.pdf?__blob=publicationFile&v=1 Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen] | |||
=== Strukturanalyse === | |||
; Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A11_Abgrenzung_des_Informationsverbunds.pdf?__blob=publicationFile&v=1 Abgrenzung des Informationsverbunds] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=2 Strukturanalyse] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse-Abhaengigkeiten_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=1 Strukturanalyse Abhängigkeiten] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A18_Liste_der_Dienstleister.xlsx?__blob=publicationFile&v=1 Liste der Dienstleister] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Zuordnung_Prozesse_Standort.xlsx?__blob=publicationFile&v=1 Zuordnung Prozesse zu Standorten] | |||
=== Schutzbedarfsfeststellung === | |||
# Schutzbedarf der Geschäftsprozesse bestimmen | |||
# Daraus wird der Schutzbedarf abgeleitet für | |||
## Anwendungen | |||
## IT-Systeme | |||
## Aller weiteren Zielobjekte | |||
# Abweichungen werden begründet | |||
; Dokumente | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A21_Definition_Schutzbedarfskategorien.pdf?__blob=publicationFile&v=1 Definition der Schutzbedarfskategorien] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Schutzbedarfsfeststellung] | |||
=== Modellierung des Informationsverbunds === | |||
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden | |||
* Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und | |||
* eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A3_Modellierung_Recplast_GmbH.xlsx?__blob=publicationFile&v=2 Modellierung] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Nicht verwendete Bausteine]. | |||
=== Ergebnis des IT-Grundschutz-Checks === | |||
; Prüfung je Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind | |||
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Ergebnis_des_IT-Grundschutz-Checks.xlsx?__blob=publicationFile&v=2 Ergebnis IT-Grundschutz-Check] | |||
=== Risikoanalyse === | |||
; Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die | |||
* einen erhöhten Schutzbedarf haben | |||
* die unter besonderen Bedingungen eingesetzt werden | |||
* für die es keinen IT-Grundschutz-Baustein gibt. | |||
Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A02_Richtlinie_Risikoanalyse.pdf?__blob=publicationFile&v=1 Richtlinie zur Risikoanalyse] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse.xlsx?__blob=publicationFile&v=1 Risikoanalyse] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse_GP_Ebene.xlsx?__blob=publicationFile&v=1 Risikoanalyse auf Geschäftsprozessebene] | |||
=== Realisierungsplan === | |||
* Anforderungen, die nicht (ausreichend) umgesetzt sind | |||
* Maßnahmen, die sich aus der Risikoanalyse ergeben haben | |||
; Welche Maßnahmen werden durch wen, bis wann umgesetzt | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Realisierungsplan.xlsx?__blob=publicationFile&v=1 Realisierungsplan] | |||
== Links == | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html BSI-Website zu RECPLAST] | |||
[[Kategorie:RECPLAST]] | |||
Aktuelle Version vom 29. Juli 2024, 11:10 Uhr
RECPLAST - Beispiel-Unternehmen des BSI zur Darstellung der IT-Grundschutz-Methodik
Beschreibung
- RECPLAST GmbH
Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund
- siehe RECPLAST/Beschreibung
Referenzdokumente
Elementarer Bestandteil der IT-Grundschutz-Methodik
- Für Zertifizierung notwendig
- RECPLAST-Dokumente
- Zeigen möglichen Aufbau der Referenzdokumente
Richtlinien für Informationssicherheit
- Leitung einer Institution steuert Informationssicherheit
- Grundlegende Aspekte der Informationssicherheit
- Informationssicherheitsziele
- Verfahren zur Messung der Zielerreichung
- Informationssicherheit ist ein Prozess
- Muss kontinuierlich aufrechterhalten und verbessert werden
- IT-Grundschutz sieht mindestens folgende Richtlinien vor
- Sicherheitsleitlinie
- Richtlinie zur Risikoanalyse
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Strukturanalyse
- Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution
- Abgrenzung des Informationsverbunds
- Strukturanalyse
- Strukturanalyse Abhängigkeiten
- Liste der Dienstleister
- Zuordnung Prozesse zu Standorten
Schutzbedarfsfeststellung
- Schutzbedarf der Geschäftsprozesse bestimmen
- Daraus wird der Schutzbedarf abgeleitet für
- Anwendungen
- IT-Systeme
- Aller weiteren Zielobjekte
- Abweichungen werden begründet
- Dokumente
Modellierung des Informationsverbunds
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden
- Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und
- eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
Ergebnis des IT-Grundschutz-Checks
- Prüfung je Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind
Risikoanalyse
- Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die
- einen erhöhten Schutzbedarf haben
- die unter besonderen Bedingungen eingesetzt werden
- für die es keinen IT-Grundschutz-Baustein gibt.
Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
Realisierungsplan
- Anforderungen, die nicht (ausreichend) umgesetzt sind
- Maßnahmen, die sich aus der Risikoanalyse ergeben haben
- Welche Maßnahmen werden durch wen, bis wann umgesetzt