RECPLAST: Unterschied zwischen den Versionen
K Textersetzung - „IT-Grundschutz/“ durch „Grundschutz/“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
; RECPLAST GmbH | |||
Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Beschreibung_Recplast.pdf?__blob=publicationFile&v=1 Beschreibung der RECPLAST GmbH] | |||
== Referenzdokumente == | == Referenzdokumente == | ||
| Zeile 25: | Zeile 26: | ||
=== Strukturanalyse === | === Strukturanalyse === | ||
; Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution | ; Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution | ||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A11_Abgrenzung_des_Informationsverbunds.pdf?__blob=publicationFile&v=1 Abgrenzung des Informationsverbunds] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A11_Abgrenzung_des_Informationsverbunds.pdf?__blob=publicationFile&v=1 Abgrenzung des Informationsverbunds] | ||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=2 Strukturanalyse] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A1_Strukturanalyse_RECPLAST_GmbH.xlsx?__blob=publicationFile&v=2 Strukturanalyse] | ||
| Zeile 39: | Zeile 40: | ||
=== Modellierung des Informationsverbunds === | === Modellierung des Informationsverbunds === | ||
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden | |||
* Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden. | * Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und | ||
* eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden. | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A3_Modellierung_Recplast_GmbH.xlsx?__blob=publicationFile&v=2 Modellierung] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A3_Modellierung_Recplast_GmbH.xlsx?__blob=publicationFile&v=2 Modellierung] | ||
| Zeile 58: | Zeile 60: | ||
=== Realisierungsplan === | === Realisierungsplan === | ||
* Anforderungen, die nicht (ausreichend) umgesetzt sind | |||
* | * Maßnahmen, die sich aus der Risikoanalyse ergeben haben | ||
; Welche Maßnahmen werden durch wen, bis wann umgesetzt | |||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Realisierungsplan.xlsx?__blob=publicationFile&v=1 Realisierungsplan] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/Realisierungsplan.xlsx?__blob=publicationFile&v=1 Realisierungsplan] | ||
Version vom 20. Mai 2024, 07:18 Uhr
RECPLAST - Beispiel-Unternehmen des BSI zur Darstellung der IT-Grundschutz-Methodik
Beschreibung
- RECPLAST GmbH
Fiktives mittelständisches Unternehmen mit einem typischen Informationsverbund
Referenzdokumente
- Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik
- Für Zertifizierung notwendig
- RECPLAST-Dokumente
- Zeigen möglichen Aufbau der Referenzdokumente
Richtlinien für Informationssicherheit
- Leitung einer Institution muss Informationssicherheit steuern
- Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
- Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
- IT-Grundschutz sieht mindestens folgende Richtlinien vor
- Sicherheitsleitlinie
- Richtlinie zur Risikoanalyse
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Strukturanalyse
- Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution
- Abgrenzung des Informationsverbunds
- Strukturanalyse
- Strukturanalyse Abhängigkeiten
- Liste der Dienstleister
- Zuordnung Prozesse zu Standorten
Schutzbedarfsfeststellung
- Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt
Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet. Abweichungen werden begründet.
Modellierung des Informationsverbunds
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden
- Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und
- eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
Ergebnis des IT-Grundschutz-Checks
- Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.
Risikoanalyse
- Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.
- Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
Realisierungsplan
- Anforderungen, die nicht (ausreichend) umgesetzt sind
- Maßnahmen, die sich aus der Risikoanalyse ergeben haben
- Welche Maßnahmen werden durch wen, bis wann umgesetzt