RECPLAST: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Zeile 39: Zeile 39:


=== Schutzbedarfsfeststellung ===
=== Schutzbedarfsfeststellung ===
; Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt
# Schutzbedarf der Geschäftsprozesse bestimmen
Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet.  Abweichungen werden begründet.
# Darauf aufbauend wird der Schutzbedarf abgeleitet
## Anwendungen
## IT-Systeme
## Aller weiteren Zielobjekte  
# Abweichungen werden begründet
 
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A21_Definition_Schutzbedarfskategorien.pdf?__blob=publicationFile&v=1 Definition der Schutzbedarfskategorien]
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A21_Definition_Schutzbedarfskategorien.pdf?__blob=publicationFile&v=1 Definition der Schutzbedarfskategorien]
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Schutzbedarfsfeststellung]
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Schutzbedarfsfeststellung]

Version vom 20. Mai 2024, 07:38 Uhr

RECPLAST - Beispiel-Unternehmen des BSI zur Darstellung der IT-Grundschutz-Methodik

Beschreibung

RECPLAST GmbH

Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund

Referenzdokumente

Elementarer Bestandteil der IT-Grundschutz-Methodik
  • Für Zertifizierung notwendig
RECPLAST-Dokumente
  • Zeigen möglichen Aufbau der Referenzdokumente

Richtlinien für Informationssicherheit

Leitung einer Institution muss Informationssicherheit steuern

Dazu ist es unter anderem erforderlich

  • Grundlegende Aspekte der Informationssicherheit regeln
  • Informationssicherheitsziele definieren
  • Festlegen, wie überprüft werden kann, dass die Ziele erreicht wurden
Informationssicherheit ist ein Prozess
  • Muss kontinuierlich aufrechterhalten und verbessert werden
IT-Grundschutz sieht mindestens folgende Richtlinien vor

Strukturanalyse

Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution

Schutzbedarfsfeststellung

  1. Schutzbedarf der Geschäftsprozesse bestimmen
  2. Darauf aufbauend wird der Schutzbedarf abgeleitet
    1. Anwendungen
    2. IT-Systeme
    3. Aller weiteren Zielobjekte
  3. Abweichungen werden begründet

Modellierung des Informationsverbunds

Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden

  • Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und
  • eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.

Ergebnis des IT-Grundschutz-Checks

Prüfung je Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind

Ergebnis IT-Grundschutz-Check

Risikoanalyse

Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die
  • einen erhöhten Schutzbedarf haben
  • die unter besonderen Bedingungen eingesetzt werden
  • für die es keinen IT-Grundschutz-Baustein gibt.

Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.

Realisierungsplan

  • Anforderungen, die nicht (ausreichend) umgesetzt sind
  • Maßnahmen, die sich aus der Risikoanalyse ergeben haben
Welche Maßnahmen werden durch wen, bis wann umgesetzt

Links

  1. BSI-Website zu RECPLAST