RECPLAST: Unterschied zwischen den Versionen
Dirkwagner verschob die Seite RECPLAST nach Kategorie:RECPLAST Markierung: Neue Weiterleitung |
Weiterleitung auf Kategorie:RECPLAST entfernt Markierung: Weiterleitung entfernt |
||
| Zeile 1: | Zeile 1: | ||
# | '''RECPLAST''' - Beispiel-Unternehmen des [[BSI]] zur Darstellung der IT-Grundschutz-Methodik | ||
== Beschreibung == | |||
''RECPLAST GmbH'' ist ein fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund | |||
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Beschreibung_Recplast.pdf?__blob=publicationFile&v=1 Beschreibung der RECPLAST GmbH] | |||
== Referenzdokumente == | |||
; Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik | |||
* Für Zertifizierung notwendig | |||
; RECPLAST-Dokumente | |||
* Zeigen möglichen Aufbau der Referenzdokumente | |||
=== Richtlinien für Informationssicherheit === | |||
; Leitung einer Institution muss Informationssicherheit steuern | |||
* Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden. | |||
* Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden. | |||
; IT-Grundschutz sieht mindestens folgende Richtlinien vor | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A01_Sicherheitsleitlinie.pdf?__blob=publicationFile&v=2 Sicherheitsleitlinie] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A02_Richtlinie_Risikoanalyse.pdf?__blob=publicationFile&v=1 Richtlinie zur Risikoanalyse] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A03_Richtlinie_Lenkung_Dokumenten_und_Aufzeichnungen.pdf?__blob=publicationFile&v=1 Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A04_Richtlinie_internen_ISMS_Auditierung.pdf?__blob=publicationFile&v=1 Richtlinie zur internen ISMS-Auditierung] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A05_Richtlinie_Lenkung_Korrektur_Vorbeugungsm.pdf?__blob=publicationFile&v=1 Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen] | |||
=== Strukturanalyse === | |||
; Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A11_Abgrenzung_des_Informationsverbunds.pdf?__blob=publicationFile&v=1 Abgrenzung des Informationsverbunds] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=2 Strukturanalyse] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse-Abhaengigkeiten_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=1 Strukturanalyse Abhängigkeiten] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A18_Liste_der_Dienstleister.xlsx?__blob=publicationFile&v=1 Liste der Dienstleister] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Zuordnung_Prozesse_Standort.xlsx?__blob=publicationFile&v=1 Zuordnung Prozesse zu Standorten] | |||
=== Schutzbedarfsfeststellung === | |||
; Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt | |||
Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet. Abweichungen werden begründet. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A21_Definition_Schutzbedarfskategorien.pdf?__blob=publicationFile&v=1 Definition der Schutzbedarfskategorien] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Schutzbedarfsfeststellung] | |||
=== Modellierung des Informationsverbunds === | |||
* Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden | |||
* Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A3_Modellierung_Recplast_GmbH.xlsx?__blob=publicationFile&v=2 Modellierung] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Nicht_modellierte_Bausteine.xlsx?__blob=publicationFile&v=1 Nicht verwendete Bausteine]. | |||
=== Ergebnis des IT-Grundschutz-Checks === | |||
; Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind. | |||
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Ergebnis_des_IT-Grundschutz-Checks.xlsx?__blob=publicationFile&v=2 Ergebnis IT-Grundschutz-Check] | |||
=== Risikoanalyse === | |||
; Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt. | |||
* Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse.xlsx?__blob=publicationFile&v=1 Risikoanalyse] | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Risikoanalyse_GP_Ebene.xlsx?__blob=publicationFile&v=1 Risikoanalyse auf Geschäftsprozessebene] | |||
=== Realisierungsplan === | |||
; In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind. | |||
* Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen. | |||
* Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Realisierungsplan.xlsx?__blob=publicationFile&v=1 Realisierungsplan] | |||
== Links == | |||
# https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html | |||
[[Kategorie:RECPLAST]] | |||
Version vom 21. September 2023, 12:21 Uhr
RECPLAST - Beispiel-Unternehmen des BSI zur Darstellung der IT-Grundschutz-Methodik
Beschreibung
RECPLAST GmbH ist ein fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund
Referenzdokumente
- Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik
- Für Zertifizierung notwendig
- RECPLAST-Dokumente
- Zeigen möglichen Aufbau der Referenzdokumente
Richtlinien für Informationssicherheit
- Leitung einer Institution muss Informationssicherheit steuern
- Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
- Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
- IT-Grundschutz sieht mindestens folgende Richtlinien vor
- Sicherheitsleitlinie
- Richtlinie zur Risikoanalyse
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Strukturanalyse
- Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.
- Abgrenzung des Informationsverbunds
- Strukturanalyse
- Strukturanalyse Abhängigkeiten
- Liste der Dienstleister
- Zuordnung Prozesse zu Standorten
Schutzbedarfsfeststellung
- Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt
Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet. Abweichungen werden begründet.
Modellierung des Informationsverbunds
- Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden
- Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
Ergebnis des IT-Grundschutz-Checks
- Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.
Risikoanalyse
- Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.
- Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
Realisierungsplan
- In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.
- Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.
- Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.