Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Weitere Magazine

Empfehlungen

Info

Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST 6 Basis-Sicherheitscheck Mit einem Basis-Sicherheitscheck ermitteln Sie, ob und inwieweit die Maßnahmen-Empfehlungen der IT-Grundschutz-Kataloge für die einzelnen Zielobjekte des betrachteten IT-Verbunds umgesetzt sind. Sie greifen dazu auf die Ergebnisse der vorangegangenen Schritte zurück: • Bei der IT-Strukturanalyse haben Sie die vorhandenen IT-Systeme und die von diesen unterstützten Anwendungen erfasst. • Anschließend haben Sie den Schutzbedarf der IT-Systeme, Anwendungen, Räume und Kommunikationsverbindungen bestimmt und • bei der Modellierung durch Auswahl der anzuwendenden Bausteine einen Prüfplan („IT-Grundschutz-Modell“) für die verschiedenen Zielobjekte (gesamter IT-Verbund, Räume, Rechner, Kommunikationsverbindungen, Anwendungen) zusammengestellt. Den Prüfplan wenden Sie beim Basis-Sicherheitscheck an, indem Sie für jedes Zielobjekt und für jede Maßnahme, die in den anzuwendenden Bausteinen empfohlenen wird, prüfen, • ob sie überhaupt auf das Zielobjekt anzuwenden ist, und falls ja, • ob sie vollständig, teilweise oder überhaupt nicht umgesetzt ist. Die nachfolgenden Tabellen zeigen in Auszügen einen Basis-Sicherheitscheck für das Beispielunternehmen RECPLAST und zwar die Anwendung des zentralen Bausteins • B 1.0 IT-Sicherheitsmanagement auf die gesamte Organisation sowie die Anwendung der Bausteine • B 1.2 Personal auf die gesamte Organisation, • B 2.4 Serverraum auf den Serverraum in Bad Godesberg, • B 3.101 Allgemeiner Server und B 3.106 Server unter Windows 2000 auf den Datenbankserver für Finanzbuchhaltung in Bad Godesberg, • B 4.1 Heterogene Netze auf ein Teilnetz des Standorts Bad Godesberg sowie • B 5.7 Datenbanken auf die Datenbank für Finanzbuchhaltung. In der Praxis dürfen Sie für einen umfassenden IT-Grundschutz bei einem Basis-Sicherheitscheck selbstverständlich kein Zielobjekt und keinen Baustein auslassen. Die folgenden Tabellen enthalten in der ersten Spalte zusätzlich zur Nummer der Maßnahme einen Hinweis darauf, für welche Stufe der Qualifizierung gemäß IT-Grundschutz die Umsetzung einer Maßnahme erforderlich ist. Die Hinweise bedeuten im Einzelnen: • A: Diese Maßnahme muss für alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz (Einstiegsstufe, Aufbaustufe und IT-Grundschutz-Zertifikat) umgesetzt sein. • B: Diese Maßnahme muss für die Aufbaustufe und für das IT-Grundschutz-Zertifikat umgesetzt sein. • C: Diese Maßnahme muss lediglich für das IT-Grundschutz-Zertifikat umgesetzt sein. • Z: Diese Maßnahme muss weder für eine Qualifizierungsstufe noch für das IT-Grundschutz- Zertifikat verbindlich umgesetzt werden. Mehr zum Basis-Sicherheitscheck finden Sie in Kapitel 4.4 und zur IT-Grundschutz-Qualifizierung in Kapitel 5.3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2). Seite 36
Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST 6.1 Beispiel aus Schicht 1: B 1.0 IT-Sicherheitsmanagement Der Baustein B1.0 IT-Sicherheitsmanagement gehört zu den Pflichtbausteinen. Zielobjekt ist bei RECPLAST die gesamte Organisation, da an allen Standorten einheitliche Regelungen zur IT-Sicherheit gelten (sollen). Erfasst am: 18. August Erfasst durch: P. Muster Baustein: B 1.0 IT-Sicherheitsmanagement Befragung am: 18. August Leiter der Befragung: P. Muster Befragte Personen: A. Admin (Leiter IT), M. Müller (Geschäftsführung) Maßnahmen: Maßnahme (erforderl. ab Stufe) M 2.192 (A) M 2.193 (A) M 2.195 (A) M 2.197 (A) M 2.199 (A) M 2.200 (C) M 2.201 (C) M 2.335 (A) Name Erstellung einer IT-Sicherheitsleitlinie Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit Erstellung eines IT-Sicherheitskonzepts Integration der Mitarbeiter in den Sicherheitsprozess Aufrechterhaltung der IT- Sicherheit Managementreporte und -bewertungen der IT- Sicherheit Dokumentation des IT- Sicherheitsprozesses Festlegung der IT- Sicherheitsziele und -strategie entbehrlich ja teilweise nein X X Bemerkung/ Begründung bei Nicht-Umsetzung X Bislang gibt es kein definiertes IT- Sicherheitskonzept. Es wird derzeit erarbeitet. Projektlaufzeit:32. – 45. KW. X Bislang nicht vorhanden. X Bislang wurden dazu keine Maßnahmen geplant. X Aufgrund der Größe der Firma und des Schutzbedarfs wird diese Maßnahme als entbehrlich eingestuft. X Seite 37 X Bislang nicht dokumentiert.
Seite 1 und 2: Webkurs IT-Grundschutz Beschreibung
Seite 3 und 4: Inhaltsverzeichnis Webkurs IT-Grund
Seite 5 und 6: Webkurs IT-Grundschutz - das Beispi
Seite 11 und 12: Vertriebsbüro Berlin Laptop Client
Seite 25 und 26: Schutzbedarf Clients Webkurs IT-Gru
Seite 29 und 30: 1 Vertriebsbüros C8: 3 Clients Ver
Seite 37: Webkurs IT-Grundschutz - das Beispi
Seite 47 und 48: Maßnahme (erforderl. ab Stufe) M 4
Seite 69 und 70: Maßnahme (erforderlich ab Stufe) M
Seite 71 und 72: Maßnahme (erforderlich ab Stufe) M

Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?