Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6 Basis-<strong>Sicherheit</strong>scheck<br />
Mit e<strong>in</strong>em Basis-<strong>Sicherheit</strong>scheck ermitteln Sie, ob und <strong>in</strong>wieweit die Maßnahmen-Empfehlungen der<br />
IT-Grundschutz-Kataloge <strong>für</strong> die e<strong>in</strong>zelnen Zielobjekte des betrachteten IT-Verbunds umgesetzt s<strong>in</strong>d.<br />
Sie greifen dazu auf die Ergebnisse der vorangegangenen Schritte zurück:<br />
• Bei der IT-Strukturanalyse haben Sie die vorhandenen IT-Systeme und die von diesen<br />
unterstützten Anwendungen erfasst.<br />
• Anschließend haben Sie den Schutzbedarf der IT-Systeme, Anwendungen, Räume und<br />
Kommunikationsverb<strong>in</strong>dungen bestimmt und<br />
• bei der Modellierung durch Auswahl der anzuwendenden Bauste<strong>in</strong>e e<strong>in</strong>en Prüfplan („IT-Grundschutz-Modell“)<br />
<strong>für</strong> die verschiedenen Zielobjekte (gesamter IT-Verbund, Räume, Rechner,<br />
Kommunikationsverb<strong>in</strong>dungen, Anwendungen) zusammengestellt.<br />
Den Prüfplan wenden Sie beim Basis-<strong>Sicherheit</strong>scheck an, <strong>in</strong>dem Sie <strong>für</strong> jedes Zielobjekt und <strong>für</strong> jede<br />
Maßnahme, die <strong>in</strong> den anzuwendenden Bauste<strong>in</strong>en empfohlenen wird, prüfen,<br />
• ob sie überhaupt auf das Zielobjekt anzuwenden ist, und falls ja,<br />
• ob sie vollständig, teilweise oder überhaupt nicht umgesetzt ist.<br />
Die nachfolgenden Tabellen zeigen <strong>in</strong> Auszügen e<strong>in</strong>en Basis-<strong>Sicherheit</strong>scheck <strong>für</strong> das <strong>Beispielunternehmen</strong><br />
<strong>RECPLAST</strong> und zwar die Anwendung des zentralen Bauste<strong>in</strong>s<br />
• B 1.0 IT-<strong>Sicherheit</strong>smanagement auf die gesamte Organisation<br />
sowie die Anwendung der Bauste<strong>in</strong>e<br />
• B 1.2 Personal auf die gesamte Organisation,<br />
• B 2.4 Serverraum auf den Serverraum <strong>in</strong> Bad Godesberg,<br />
• B 3.101 Allgeme<strong>in</strong>er Server und B 3.106 Server unter W<strong>in</strong>dows 2000 auf den Datenbankserver<br />
<strong>für</strong> F<strong>in</strong>anzbuchhaltung <strong>in</strong> Bad Godesberg,<br />
• B 4.1 Heterogene Netze auf e<strong>in</strong> Teilnetz des Standorts Bad Godesberg sowie<br />
• B 5.7 Datenbanken auf die Datenbank <strong>für</strong> F<strong>in</strong>anzbuchhaltung.<br />
In der Praxis dürfen Sie <strong>für</strong> e<strong>in</strong>en umfassenden IT-Grundschutz bei e<strong>in</strong>em Basis-<strong>Sicherheit</strong>scheck<br />
selbstverständlich ke<strong>in</strong> Zielobjekt und ke<strong>in</strong>en Bauste<strong>in</strong> auslassen.<br />
Die folgenden Tabellen enthalten <strong>in</strong> der ersten Spalte zusätzlich zur Nummer der Maßnahme e<strong>in</strong>en<br />
H<strong>in</strong>weis darauf, <strong>für</strong> welche Stufe der Qualifizierung gemäß IT-Grundschutz die Umsetzung e<strong>in</strong>er<br />
Maßnahme erforderlich ist. Die H<strong>in</strong>weise bedeuten im E<strong>in</strong>zelnen:<br />
• A: Diese Maßnahme muss <strong>für</strong> alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz<br />
(E<strong>in</strong>stiegsstufe, Aufbaustufe und IT-Grundschutz-Zertifikat) umgesetzt se<strong>in</strong>.<br />
• B: Diese Maßnahme muss <strong>für</strong> die Aufbaustufe und <strong>für</strong> das IT-Grundschutz-Zertifikat umgesetzt<br />
se<strong>in</strong>.<br />
• C: Diese Maßnahme muss lediglich <strong>für</strong> das IT-Grundschutz-Zertifikat umgesetzt se<strong>in</strong>.<br />
• Z: Diese Maßnahme muss weder <strong>für</strong> e<strong>in</strong>e Qualifizierungsstufe noch <strong>für</strong> das IT-Grundschutz-<br />
Zertifikat verb<strong>in</strong>dlich umgesetzt werden.<br />
Mehr zum Basis-<strong>Sicherheit</strong>scheck f<strong>in</strong>den Sie <strong>in</strong> Kapitel 4.4 und zur IT-Grundschutz-Qualifizierung <strong>in</strong><br />
Kapitel 5.3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2).<br />
Seite 36