RECPLAST: Unterschied zwischen den Versionen
K Textersetzung - „IT-Grundschutz/“ durch „Grundschutz/“ |
K Textersetzung - „IT-Grundschutz-Kompendium“ durch „IT-Grundschutz/Kompendium“ |
||
| (14 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
; RECPLAST GmbH | |||
Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund | |||
* siehe [[RECPLAST/Beschreibung]] | |||
== Referenzdokumente == | == Referenzdokumente == | ||
Elementarer Bestandteil der IT-Grundschutz-Methodik | |||
* Für Zertifizierung notwendig | * Für Zertifizierung notwendig | ||
| Zeile 13: | Zeile 14: | ||
=== Richtlinien für Informationssicherheit === | === Richtlinien für Informationssicherheit === | ||
; Leitung einer Institution | ; Leitung einer Institution steuert Informationssicherheit | ||
* | * Grundlegende Aspekte der Informationssicherheit | ||
* Informationssicherheit ist ein Prozess | * Informationssicherheitsziele | ||
* Verfahren zur Messung der Zielerreichung | |||
; Informationssicherheit ist ein Prozess | |||
* Muss kontinuierlich aufrechterhalten und verbessert werden | |||
; IT-Grundschutz sieht mindestens folgende Richtlinien vor | ; IT-Grundschutz sieht mindestens folgende Richtlinien vor | ||
| Zeile 25: | Zeile 30: | ||
=== Strukturanalyse === | === Strukturanalyse === | ||
; Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution | ; Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution | ||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A11_Abgrenzung_des_Informationsverbunds.pdf?__blob=publicationFile&v=1 Abgrenzung des Informationsverbunds] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A11_Abgrenzung_des_Informationsverbunds.pdf?__blob=publicationFile&v=1 Abgrenzung des Informationsverbunds] | ||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=2 Strukturanalyse] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=2 Strukturanalyse] | ||
| Zeile 33: | Zeile 38: | ||
=== Schutzbedarfsfeststellung === | === Schutzbedarfsfeststellung === | ||
# Schutzbedarf der Geschäftsprozesse bestimmen | |||
# Daraus wird der Schutzbedarf abgeleitet für | |||
## Anwendungen | |||
## IT-Systeme | |||
## Aller weiteren Zielobjekte | |||
# Abweichungen werden begründet | |||
; Dokumente | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A21_Definition_Schutzbedarfskategorien.pdf?__blob=publicationFile&v=1 Definition der Schutzbedarfskategorien] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A21_Definition_Schutzbedarfskategorien.pdf?__blob=publicationFile&v=1 Definition der Schutzbedarfskategorien] | ||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Schutzbedarfsfeststellung] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Schutzbedarfsfeststellung] | ||
=== Modellierung des Informationsverbunds === | === Modellierung des Informationsverbunds === | ||
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden | |||
* Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden. | * Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und | ||
* eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A3_Modellierung_Recplast_GmbH.xlsx?__blob=publicationFile&v=2 Modellierung] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A3_Modellierung_Recplast_GmbH.xlsx?__blob=publicationFile&v=2 Modellierung] | ||
| Zeile 46: | Zeile 58: | ||
=== Ergebnis des IT-Grundschutz-Checks === | === Ergebnis des IT-Grundschutz-Checks === | ||
; | ; Prüfung je Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind | ||
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Ergebnis_des_IT-Grundschutz-Checks.xlsx?__blob=publicationFile&v=2 Ergebnis IT-Grundschutz-Check] | [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Ergebnis_des_IT-Grundschutz-Checks.xlsx?__blob=publicationFile&v=2 Ergebnis IT-Grundschutz-Check] | ||
=== Risikoanalyse === | === Risikoanalyse === | ||
; Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben | ; Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die | ||
* einen erhöhten Schutzbedarf haben | |||
* die unter besonderen Bedingungen eingesetzt werden | |||
* für die es keinen IT-Grundschutz-Baustein gibt. | |||
Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A02_Richtlinie_Risikoanalyse.pdf?__blob=publicationFile&v=1 Richtlinie zur Risikoanalyse] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse.xlsx?__blob=publicationFile&v=1 Risikoanalyse] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse.xlsx?__blob=publicationFile&v=1 Risikoanalyse] | ||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse_GP_Ebene.xlsx?__blob=publicationFile&v=1 Risikoanalyse auf Geschäftsprozessebene] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse_GP_Ebene.xlsx?__blob=publicationFile&v=1 Risikoanalyse auf Geschäftsprozessebene] | ||
=== Realisierungsplan === | === Realisierungsplan === | ||
* Anforderungen, die nicht (ausreichend) umgesetzt sind | |||
* | * Maßnahmen, die sich aus der Risikoanalyse ergeben haben | ||
; Welche Maßnahmen werden durch wen, bis wann umgesetzt | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Realisierungsplan.xlsx?__blob=publicationFile&v=1 Realisierungsplan] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Realisierungsplan.xlsx?__blob=publicationFile&v=1 Realisierungsplan] | ||
== Links == | == Links == | ||
# https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz | # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html BSI-Website zu RECPLAST] | ||
[[Kategorie:RECPLAST]] | [[Kategorie:RECPLAST]] | ||
Aktuelle Version vom 29. Juli 2024, 11:10 Uhr
RECPLAST - Beispiel-Unternehmen des BSI zur Darstellung der IT-Grundschutz-Methodik
Beschreibung
- RECPLAST GmbH
Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund
- siehe RECPLAST/Beschreibung
Referenzdokumente
Elementarer Bestandteil der IT-Grundschutz-Methodik
- Für Zertifizierung notwendig
- RECPLAST-Dokumente
- Zeigen möglichen Aufbau der Referenzdokumente
Richtlinien für Informationssicherheit
- Leitung einer Institution steuert Informationssicherheit
- Grundlegende Aspekte der Informationssicherheit
- Informationssicherheitsziele
- Verfahren zur Messung der Zielerreichung
- Informationssicherheit ist ein Prozess
- Muss kontinuierlich aufrechterhalten und verbessert werden
- IT-Grundschutz sieht mindestens folgende Richtlinien vor
- Sicherheitsleitlinie
- Richtlinie zur Risikoanalyse
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Strukturanalyse
- Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution
- Abgrenzung des Informationsverbunds
- Strukturanalyse
- Strukturanalyse Abhängigkeiten
- Liste der Dienstleister
- Zuordnung Prozesse zu Standorten
Schutzbedarfsfeststellung
- Schutzbedarf der Geschäftsprozesse bestimmen
- Daraus wird der Schutzbedarf abgeleitet für
- Anwendungen
- IT-Systeme
- Aller weiteren Zielobjekte
- Abweichungen werden begründet
- Dokumente
Modellierung des Informationsverbunds
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden
- Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und
- eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
Ergebnis des IT-Grundschutz-Checks
- Prüfung je Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind
Risikoanalyse
- Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die
- einen erhöhten Schutzbedarf haben
- die unter besonderen Bedingungen eingesetzt werden
- für die es keinen IT-Grundschutz-Baustein gibt.
Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
Realisierungsplan
- Anforderungen, die nicht (ausreichend) umgesetzt sind
- Maßnahmen, die sich aus der Risikoanalyse ergeben haben
- Welche Maßnahmen werden durch wen, bis wann umgesetzt