NIST 800-30_esp
Short Description
Download NIST 800-30_esp...
Description
10/6/2014
Guía de Gesti ón de Riesg os pár r Sistemas Infor máti cos Página 1
Special Publication 800-30
Guía de gestión de riesgos para Sistemas de Tecnología de la Información
Recomendaciones del Instituto Nacional de Normas y Tecnología
Gary Stoneburner, Alice Goguen, y Alexis Feringa
Página 2
http://tr ansl ate.g oog l euser content.com/tr ansl ate_f
1/45
10/6/2014
Guía de Gesti ón de Riesg os pár r Sistemas Infor máti cos
NIST Special S pecial Publication Publication 800-30
Guía de gestión de riesgos para Sistemas de Tecnología de la Información Recomendaciones de la Instituto Naci onal de Estándares y Tecnología
Gar Gary Ston Stoneb ebu urner, er, Alic Alicee Gog Gogu uen Alexi Alexiss Fer Feriinga 1
1, Y
COMPUTERSECURITY
División de Seguridad Informática Laboratorio de Tecnologías de la Información Instituto Nacional de Estándares y Tecnología Gaithersbur Gaithersburg, g, MD 20899-8930 20899- 8930 1Booz Allen Hamilton Inc. 3190 Fairview Park Drive Falls Church, VA 22042 07 2002
EE.UU. EE.UU. Departamento D epartamento de Comercio Donald L. Evans, Secretario
ADMINISTRACIÓN DE TECNOLOGÍA Phillip J. Bond, Subsecretario Subsecretario de Tecnología Tecnología
INSTITUTO NACIONAL DE NORMAS NOR MAS Y TECNOLOGÍA TECNOLOGÍA Arden L. Bement, Jr., Director Director
SP 800- 30
Página ii
Página 3
Informes sobre Sistemas Computer Technology El Laboratorio de Tecnología de la Información (DIT) en el Instituto Nacional de Estándares y Tecnología promuev romuevee la la economí economíaa de EE.UU. EE.UU. y el bienest bienestar ar públic públicoo al proporcionar onar liderazgo derazgo técni técnico co para la la nación ón de la medición y la infraestructura de las normas. ITL desarrolla pruebas, métodos de prueba, datos de referencia, prueba de implementaciones de concepto y análisis técnicos para avanzar en el desarrollo y el uso productivo de tecnología de la información. Responsabilidades de ITL incluyen el desarrollo de técnicas, físicas, normas y directrices para la seguridad económica y la privacidad de los administrativos y de gestión información no clasificada sensible en los sistemas informáticos federales. La Publicación Especial 800-series informes sobre la investigación, la guía de liras italianas, y los esfuerzos de difusión de la seguridad informática, y su colaboración actividades con la industria, el gobierno y organizaciones académicas.
http://tr ansl ate.g oog l euser content.com/tr ansl ate_f
2/45
10/6/2014
Guía de Gesti ón de Riesg os pár r Sistemas Infor máti cos
NIST Special S pecial Publication Publication 800-30
Guía de gestión de riesgos para Sistemas de Tecnología de la Información Recomendaciones de la Instituto Naci onal de Estándares y Tecnología
Gar Gary Ston Stoneb ebu urner, er, Alic Alicee Gog Gogu uen Alexi Alexiss Fer Feriinga 1
1, Y
COMPUTERSECURITY
División de Seguridad Informática Laboratorio de Tecnologías de la Información Instituto Nacional de Estándares y Tecnología Gaithersbur Gaithersburg, g, MD 20899-8930 20899- 8930 1Booz Allen Hamilton Inc. 3190 Fairview Park Drive Falls Church, VA 22042 07 2002
EE.UU. EE.UU. Departamento D epartamento de Comercio Donald L. Evans, Secretario
ADMINISTRACIÓN DE TECNOLOGÍA Phillip J. Bond, Subsecretario Subsecretario de Tecnología Tecnología
INSTITUTO NACIONAL DE NORMAS NOR MAS Y TECNOLOGÍA TECNOLOGÍA Arden L. Bement, Jr., Director Director
SP 800- 30
Página ii
Página 3
Informes sobre Sistemas Computer Technology El Laboratorio de Tecnología de la Información (DIT) en el Instituto Nacional de Estándares y Tecnología promuev romuevee la la economí economíaa de EE.UU. EE.UU. y el bienest bienestar ar públic públicoo al proporcionar onar liderazgo derazgo técni técnico co para la la nación ón de la medición y la infraestructura de las normas. ITL desarrolla pruebas, métodos de prueba, datos de referencia, prueba de implementaciones de concepto y análisis técnicos para avanzar en el desarrollo y el uso productivo de tecnología de la información. Responsabilidades de ITL incluyen el desarrollo de técnicas, físicas, normas y directrices para la seguridad económica y la privacidad de los administrativos y de gestión información no clasificada sensible en los sistemas informáticos federales. La Publicación Especial 800-series informes sobre la investigación, la guía de liras italianas, y los esfuerzos de difusión de la seguridad informática, y su colaboración actividades con la industria, el gobierno y organizaciones académicas.
http://tr ansl ate.g oog l euser content.com/tr ansl ate_f
2/45
10/6/2014
Guía de Gesti ón de Riesg os pár r Sistemas Infor máti cos
Instituto Nacional de Estándares y Tecnología de la publicación especial 800-30 Natl. Inst. Párese. Technol. Spec. Publ. 800-30, 54 páginas (julio de 2002) CODEN: NSPUE2
Ciertas entidades comerciales, equipos o materiales pueden ser identificadas en este documento con el fin de describir un procedimi rocedimiento ento experi experimental mental o concepto concepto adecuadam adecuadament ente. e. Esta Esta ident identiificación cación no no pretenden pretenden dar dar a enten entender der recomendaci recomendación ón u aprobación por parte del Instituto Nacional de Estándares y Tecnología, ni pretende dar a entender que las entidades, materiales o equipos son necesariamente los mejores disponibles para ese fin.
SP 800- 30
Página iii
Página 4
Agradecimientos Los autores, Gary Stoneburner, del NIST y Alice Goguen y Alexis Feringa de Booz Allen Hamilton desean expresar su agradecimiento a sus colegas de las dos organizaciones que borradores orradores revi revisados de este este documen documento. to. En En parti particul cular, ar, Timothy othy Gran Grance, ce, Mariann Mariannee Swanson Swanson,, y Joan Joan Hash de NIST y Debra L. Banning, Jeffrey Confer, Randall K. Ewell, y Waseem Mamlouk de Booz Allen proporcionó información valiosa que contribuyeron sustancialmente a la contenido do técnico de este documento. documento. Por otra parte, agradecemos y apreciamos apreciamos el muchos comentarios de los sectores público y privado cuyas reflexiva y constructiva comentarios mejoraron la calidad y la utilidad de esta publicación.
http://tr ansl ate.g oog l euser content.com/tr ansl ate_f
3/45
10/6/2014
Guía de Gesti ón de Riesg os pár r Sistemas Infor máti cos
SP 800- 30
Página iv
Página 5
TABLA DE CONTENIDO 1.
INTRODUCTION...... INTRODUCTION................................ ................................................... ................................................... ................................................... ................................................... ..................................1 ........1 1.1 1.2 1.3 1.4 1.5 1.6
2.
PANORAMA GENERAL DE GESTIÓN DEL RIESGO .................................................. ............................................................................ ................................................... .................................4 ........4 2.1 2.2 2.3
3.
YIMPORTANCIA o R ISK ............................................................................. ................................................... ............................4 ..4 ISK DEMGESTIÓN .................................................... YINTEGRACIÓN o ................................................. .................................... .................................... 4 INTEGRA CIÓNR ISK IDE SK MGESTIÓN EN SDLC ................................................. KEY R OLES ........................................................................... ................................................... .................................................... ............................................6 ..................6 OLES..................................................
EVALUACIÓN DE RIESGOS .................................................. ............................................................................ .................................................... ................................................... ..................................8 .........8 3.1 3.1.1 3.1.1 3.1.2 3.1.2
3.2 3.2. .2.1 3.2.2 3.2.2
3.3
3.3. 3.3.1 1 3.3.2 3.3.2 3.3.3
3.4
3.4.1 3.4. 3.4.2 2 3.4. 3.4.3 3
3.5 3.6 3.7
3.7. .7.1 3.7. 3.7.2 2
3.8 3.9
4.
LaUTORIDAD .................................................. ........................................................................... ................................................... .................................................... ............................................1 ..................1 PROPÓSITO ................................................. ........................................................................... ................................................... ................................................... ..................................................1 ........................1 OBJETIVO................................................... ............................................................................ ................................................... .................................................... ............................................2 ..................2 TARGETLaUDIENCE ................................................. ........................................................................... ................................................... ................................................... .................................2 .......2 UDIENCE REXALTADA R EFERENCIAS .................................................. ........................................................................... ................................................... ................................................... ...........................3 ..3 EFERENCIAS T GUÍASSTRUCTURA .................................................. ............................................................................ ................................................... ................................................... .................................3 .......3 DEL USUARIO
STEP1: S ISTEMA CHARACTERIZATION ................................................... ............................................................................ ................................................... ..........................10 10
Rela Relacio cionad nadas as con el sistem sistema a Information....................... Information................................................. ................................................... ................................................... ......................................10 ............10 Técni Técnicas cas de reco recogi gida da de de inform informaci ación ón ................................................. ........................................................................... ................................................... ..........................11 .11
STEP2: T Hreat Yo ................................................... ............................................................................ ................................................... .................................12 .......12 DENTIFICACIÓN Amen Amena aza-fu a-fuen ente te Identification.................... Identification.............................................. .................................................... ................................................... ........................................12 ...............12 La motiva motivaci ción ón y la la amena amenaza za accio acciones nes ................................................ .......................................................................... ................................................... ..................................13 .........13
STEP3: V Ulnerabilidad Yo .................................................. .................................................. .............................................. .............................................. 15 DENTIFICACIÓN
Vul Vulnera nerabi billidad idad Sources....... Sources................................. ................................................... ................................................... ................................................... .......................................16 ..............16 Prueba Pruebass de de segu seguri ridad dad del sistem sistema a ................................................. .......................................................................... ................................................... .............................................17 ...................17 Desarrollo Desarrollo de Requisitos Requisitos de Seguridad Seguridad Lista de control ............................. ............................................. ................ ................................... ................................... 18 18
STEP4: C ONTROL La NÁLISIS ................................................ ......................................................................... ................................................... ...........................................19 .................19
Cont ro rol Methods............................................... Methods..................... .................................................... ................................................... ................................................... ................................20 ......20 Contr Control ol de Categ Categor oría íass ................................................... ............................................................................. ................................................... .................................................2 ........................20 0 Anál Anális isiis de con contr trol ol Technique.......... Technique.................................... ................................................... ................................................... ................................................... ..........................20 .20
STEP5: L IKELIHOOD DETERMINACIÓN .................................................. ........................................................................... ................................................... ..........................21 21 STEP6: MPACT La La NÁLISIS ................................................. ........................................................................... .................................................... ............................................21 ..................21 STEP7: R ISK DETERMINACIÓN ................................................. ........................................................................... ................................................... ......................................24 .............24
Riesgo esgo Nive Nivel l Matrix................................... Matrix............................................................ ................................................... ................................................... ...........................................24 ..................24 Desc Descri ripc pció ión n de Rie Riesg sgo o Level................................... Level............................................................ ................................................... ................................................... ...............................25 ......25
STEP8: C ONTROL R RECOMENDACIONES ................................................ ......................................................................... ................................................... ..........................26 26 RECOMENDACIONES STEP9: R ESULTADOS DOCUMENTACIÓN ................................................ ......................................................................... ................................................... ................................26 ......26
RIESGO MITIGATIO MITIGATION.............................. N........................................................ ................................................... ................................................... ................................................... ............................27 ...27 4.1 4.2 4.3 4.4 4.4. 4.4.1 1 4.4. 4.4.2 2 4.4. 4.4.3 3
4.5
RISK MITIGATION OPCIONES ................................................. ........................................................................... .................................................... ............................................27 ..................27 RISK MITIGATION SESTRATEGIA ................................................ ......................................................................... ................................................... ...........................................28 .................28 La NFOQUE PARA CONTROL Yo .................................................. ... .......................................... .......................................... 29 PAR A EJECUCIÓN ............................................... CONTROL CATEGORIES .................................................. ........................................................................... ................................................... ..................................................3 ........................322
Segu Seguri rida dad d Técni Técnica ca Controls............................................ Controls...................................................................... .................................................... ...........................................32 .................32 Secu Securi rity ty Mana Manage gemen ment t Controls................. Controls.......................................... ................................................... ................................................... ........................................35 ...............35 Segu Seguri rida dad d Oper Operac acio iona nal l Controls................... Controls............................................. ................................................... ................................................... .......................................36 .............36
COST-BENEFICIO La NÁLISIS ................................................... ............................................................................. .................................................... ............................................37 ..................37
http://tr ansl ate.g oog l euser content.com/tr ansl ate_f
4/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
5.
4.6 RESIDUAL RISK.........................................................................................................................................39 EVALUACIÓN Y ASSESSMENT............................................................................................................41 5.1 5.2
T OODSEGURIDAD PRactique.......................................................................................................................41 KEYS PARA SL éxito ...................................................................................................................................41
Apéndice A-Ejemplo de preguntas de la entrevista ............................................................................................................. A-1 Apéndice B-Ejemplo de informe de evaluación de riesgos Outline...........................................................................................B-1
SP 800-30
Página iv
Página 6
Apéndice C-Sample Plan de Salvaguarda Implementación Cuadro Resumen ......................................... ......................... C-1 Apéndice D—Acronyms.......................................................................................................................................... D-1 Apéndice E—Glossary..............................................................................................................................................E-1 Apéndice F—References...........................................................................................................................................F-1
LISTA DE FIGURAS Figura 3-1 Evaluación de Riesgos Metodología Flowchart...................................................................................................9 Figura 4-1 Mitigación de Riesgos Acción Points....................................................................................................................28 Figura 4-2 Mitigación de Riesgos Metodología Flowchart...................................................................................................31 Figura 4-3 Técnica de Seguridad Controls.......................................................................................................................33 Implementación Figura 4-4 Control y Riesgo Residual ......................................... .................................................. .... 40
LISTA DE TABLAS Tabla 2-1 Integración de la Gestión de Riesgos a la ....................................... SDLC .................................................. ..... 5 Tabla 3-1 Amenazas humanas: Amenaza-Source, la motivación y acciones de amenaza .................................. ............................. 14 Tabla 3-2 Vulnerabilidad / Amenaza Pairs...........................................................................................................................15 Tabla 3-3 Criterios de seguridad ..........................................................................................................................................18 Tabla Tabla Tabla Tabla
3-4 Definiciones de probabilidad ................................................................................................................................21 3-5 Magnitud del Impacto Definiciones ................................................................................................................23 3-6 Riesgo Nivel Matrix.......................................................................................................................................25 3-7 Escala de Riesgo y acciones necesarias ..............................................................................................................25
SP 800-30
http://translate.googleusercontent.com/translate_f
Página v
5/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
Página 7
1. INTRODUCCIÓN Cada organización tiene una misión. En esta era digital, como las organizaciones utilizan la información automatizada 1 para procesar su información para un mejor apoyo de su misión, el riesgo tecnología (TI) gestión juega un papel fundamental en la protección de los activos de información de una organización, y por lo tanto su misión, de los riesgos relacionados con las TI. Un proceso eficaz de gestión de riesgos es un componente importante de una seguridad de TI con éxito programa. El objetivo principal del proceso de gestión de riesgos de una organización debe ser la protección de la organización y su capacidad para llevar a cabo su m isión, no sólo sus activos de TI. Por lo tanto, el riesgo proceso de gestión no debe ser tratado principalmente como una función técnica llevada a cabo por la TI expertos que operan y administran el sistema informático, sino como una función esencial de la administración de la organización.
1.1 AUTORIDAD Este documento ha sido desarrollado por el NIST en cumplimiento de sus responsabilidades legales en virtud de la Ley de Seguridad Informática de 1987 y la Ley de Reforma de la Gestión de la Tecnología de la Información 1996 (en concreto 15 del Código de los Estados Unidos (USC) 278 g-3 (a) (5)). Esto no es una pauta dentro de el significado de 15 USC 278 g-3 (a) (3). Estas directrices son para uso de las organizaciones federales que procesan información sensible. Son consistentes con los requisitos de la OMB Circular A-130, Apéndice III. Las presentes directrices no son obligatorias y las normas vinculantes. Este documento puede ser utilizado por las organizaciones no gubernamentales sobre una base voluntaria. No está sujeto a derechos de autor. Nada en este documento que pretenda contradecir las normas y directrices hizo obligatorio y vinculante para las agencias federales por el Secretario de Comercio bajo su legal autoridad. Tampoco deberían estas directrices pueden interpretar como la alteración o reemplazando el existente autoridades de la Secretaría de Comercio, el Director de la Oficina de Gerencia y Presupuesto, o cualquier otro funcionario federal.
1.2 PROPÓSITO El riesgo es el impacto negativo neto del ejercicio de una vulnerabilidad, teniendo en cuenta tanto la probabilidad y el impacto de la ocurrencia. La gestión del riesgo es el proceso de identificación de riesgos, evaluación de riesgos, y tomar medidas para reducir el riesgo a un nivel aceptable. Esta guía proporciona una base para la desarrollo de un programa de gestión de riesgos efectiva, que contiene tanto las definiciones y la orientación práctica necesaria para evaluar y mitigar los riesgos identificados en los sistemas de TI. La objetivo final es ayudar a las organizaciones a gestionar mejor los riesgos relacionados con las TI de misión.
1 El término "sistema informático" se refiere a un sistema de apoyo general (por ejemplo, la computadora central, ordenador de gama media, locales
red de área, columna vertebral agencywide) o una de las principales aplicaciones que se pueden ejecutar en un sistema de apoyo general y cuya uso de los recursos de información satisface un conjunto específico de necesidades de los usuarios.
SP 800-30
Página 1
Página 8
Además, esta guía proporciona información sobre la selección de los controles de seguridad rentables. Estos controles se pueden utilizar para mitigar los riesgos para la mejor protección de misión crítica la información y los sistemas informáticos que procesan, almacenan y transportan esta información.
2
Las organizaciones pueden optar por ampliar o abreviar los procesos y medidas integrales se sugiere en esta guía y adaptarlos a su entorno en la gestión de misión relacionados con TI riesgos.
1.3 OBJETIVO El objetivo de la realización de la gestión de riesgos es permitir a la organización para llevar a cabo su http://translate.googleusercontent.com/translate_f
6/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
misión (s) (1) por mejor asegurar los sistemas que almacenan, procesan o transmiten organizacional información; (2) haciendo posible la gestión para tomar decisiones de gestión de riesgos con conocimiento de causa a justificar los gastos que forman parte de un presupuesto de TI; y (3) por ayudar a la administración en 3 sobre la base de la documentación de apoyo autorizar (o acreditación de) los sistemas de TI derivados de la realización de la gestión de riesgos.
1.4 DESTINATARIOS Esta guía proporciona una base común para la experiencia y sin experiencia, técnica y personal no técnico que apoyan o usan el proceso de gestión de riesgos para sus sistemas de TI. Este personal incluye • La alta dirección, los propietarios de la misión, los que toman las decisiones acerca de la seguridad de TI presupuesto. • Jefes de los Servicios de Información Federal, que garanticen la puesta en práctica de riesgo la gestión de los sistemas de TI de la agencia y la seguridad proporcionados para estos sistemas de TI • La Autoridad Designada Aprobatoria (DAA), que es responsable de la final decisión sobre si se debe permitir el funcionamiento de un sistema informático • El administrador del programa de seguridad de TI, que implementa el programa de seguridad • Los oficiales de seguridad del sistema de información (ISSO), que son responsables de la seguridad de TI • Los propietarios de sistemas de TI de software y / o hardware del sistema utilizados para apoyar las funciones de TI. • Los dueños de la información de los datos almacenados, procesados y transmitidos por los sistemas de TI • Los gerentes de negocios o funcionales, que son responsables del proceso de adquisición de TI • El personal de apoyo técnico (por ejemplo, redes, sistemas, aplicaciones y bases de datos administradores; especialistas en informática; Los analistas de seguridad de datos), que gestionan y administrar la seguridad de los sistemas informáticos • Sistema de TI y programadores de aplicaciones, que desarrollan y mantienen el código que podría sistema y la integridad de datos afectará 2 Los términos "garantías" y "controles" se refieren a las medidas de reducción de riesgos; estos términos se utilizan indistintamente en
este documento de orientación.
3 Oficina de Administración y Presupuesto de noviembre de 2000 la Circular A-130 de la Ley de Seguridad Informática de 1987, y el
Información del Gobierno de Ley de Reforma de Seguridad en octubre de 2000 exige que un sistema informático ser autorizado antes de la a partir de entonces volvió a autorizar la operación y al menos cada 3 años.
SP 800-30
Página 2
Página 9
• El personal de garantía de calidad de TI, que ponen a prueba y garantizar la integridad de los sistemas informáticos y los datos • Los auditores de sistemas de información, quienes auditan sistemas de TI • Los consultores de TI, que apoyan a los clientes en la gestión de riesgos.
1.5 REFERENCIAS RELACIONADAS Esta guía se basa en los conceptos generales presentados en el Instituto Nacional de Estándares y Tecnología (NIST) Publicación Especial (SP) 800-27, Principios de Ingeniería de Seguridad Informática, junto con los principios y prácticas de NIST SP 800-14, Principios Generalmente Aceptados y Prácticas recomendadas para proteger Sistemas Informáticos. Además, es coherente con la políticas que se presentan en la Oficina de Administración y Presupuesto (OMB) Circular A-130, Apéndice III, "La seguridad de Federal Automatizado de Información de Recursos"; la Ley de Seguridad Informática (CSA) de 1987; y la Ley de Reforma de la Seguridad de Información del Gobierno de octubre de 2000.
1.6 GUÍA DE ESTRUCTURA Las secciones restantes de esta guía discutir lo siguiente: • La Sección 2 proporciona una visión general de la gestión del riesgo, cómo se integra en el sistema el desarrollo del ciclo de vida (SDLC), y las funciones de las personas que apoyan y utilizan esta proceso. http://translate.googleusercontent.com/translate_f
7/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
• La realizar secciónuna 3 describe la metodología de riesgos y los nueve pasos principales en evaluación de riesgo dede unevaluación sistema informático. • La sección 4 describe el proceso de mitigación de riesgos, incluidas las opciones de mitigación de riesgos y estrategia, el enfoque de la aplicación de control, las categorías de control, el costo-beneficio análisis, y el riesgo residual. • Sección 5 analiza las buenas prácticas y la necesidad de una evaluación de riesgos en curso y evaluación y los factores que conduzcan a un programa de gestión de riesgos exitosa. Esta guía también contiene seis anexos. El Apéndice A proporciona preguntas de la entrevista de la muestra. Apéndice B proporciona un esquema de ejemplo para su uso en la documentación de los resultados de la evaluación de riesgos. Apéndice C contiene una tabla de ejemplo para el plan de implementación de salvaguardia. Apéndice D proporciona una lista de las siglas utilizadas en este documento. Apéndice E contiene un glosario de términos de uso frecuente en esta guía. Apéndice F incluye las referencias.
SP 800-30
Página 3
Página 10
2. PANORAMA GENERAL DE GESTIÓN DEL RIESGO En esta guía se describe la metodología de gestión de riesgos, cómo se integra en cada fase de la SDLC, y cómo el proceso de gestión de riesgos está ligado al proceso de autorización del sistema (o acreditación).
2.1 IMPORTANCIA DE LA GESTIÓN DE RIESGOS La gestión de riesgos se compone de tres procesos: evaluación de riesgos, mitigación del riesgo y evaluación y la evaluación. Sección 3 de este manual se describe el proceso de evaluación de riesgos, que incluye identificación y evaluación de los riesgos e impactos de riesgo, y la recomendación de reducir el riesgomedidas. La sección 4 describe la mitigación de riesgos, que se refiere a la priorización, ejecución y mantenimiento de las medidas de reducción del riesgo adecuadas recomendadas por la evaluación de riesgos proceso. Sección 5 discute el proceso de evaluación continua y las claves para la implementación de un programa de gestión de riesgos exitosa. La DAA o autorizar sistema oficial es responsable de determinar si el riesgo restante es a un nivel aceptable o si la seguridad adicional controles deben implementarse para reducir aún más o eliminar el riesgo residual antes autorizar (o acreditación de) el sistema informático para la operación. La gestión del riesgo es el proceso que permite a los administradores de TI para equilibrar el funcionamiento y los costos económicos de las medidas de protección y lograr ganancias en la capacidad de la misión de proteger la Sistemas de información y de datos que apoyan las misiones de sus organizaciones. Este proceso no es única para la Entorno de TI; de hecho, impregna la toma de decisiones en todos los ámbitos de nuestra vida cotidiana. Tomemos el caso de seguridad para el hogar, por ejemplo. Muchas personas deciden tener sistemas de seguridad instalados y pagar una cuota mensual a un proveedor de servicios para que estos sistemas monitorizados para la mejor protección de su propiedad. Es de suponer que los propietarios han sopesado el costo de la instalación del sistema y monitoreo contra el valor de sus artículos para el hogar y la seguridad de su familia, un derecho fundamental Necesidad "misión". El jefe de una unidad de organización debe asegurarse de que la organización tiene la capacidad necesaria para cumplir su misión. Estos dueños de misión deben determinar las capacidades de seguridad que sus sistemas de TI deben tener para proporcionar el nivel deseado de apoyo a la misión ante la vida real amenazas mundiales. La mayoría de las organizaciones cuentan con presupuestos limitados para la seguridad de la información; Por lo tanto, la seguridad de TI el gasto debe ser revisado tan a fondo como otras decisiones de gestión. Un riesgo bien estructurado metodología de gestión, cuando se utiliza con eficacia, puede ayudar a identificar la gestión adecuada controla para proporcionar las funciones de seguridad esenciales para la misión. http://translate.googleusercontent.com/translate_f
8/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
2.2 INTEGRACIÓN DE LA GESTIÓN DE RIESGOS EN SDLC Minimizar el impacto negativo en la organización y la necesidad de base sólida en la toma de decisiones son las organizaciones razones fundamentales implementar un proceso de gestión de riesgo para proyectos de TI sistemas. La gestión eficaz del riesgo debe estar totalmente integrado en el SDLC. De un sistema de TI SDLC tiene cinco fases: inicio, desarrollo o adquisición, implementación, operación o mantenimiento y eliminación. En algunos casos, un sistema de TI puede ocupar varias de estas fases en al mismo tiempo. Sin embargo, la metodología de gestión del riesgo es el mismo independientemente de la SDLC fase para la que se está llevando a cabo la evaluación. La gestión de riesgos es un proceso iterativo que se puede realizar durante cada fase importante del SDLC. La Tabla 2-1 describe las características
SP 800-30
Página 4
Página 11
de cada fase SDLC e indica cómo la gestión del riesgo se puede realizar en apoyo de cada fase.
Tabla 2-1 Integración de la Gestión de Riesgos en el SDLC Fases SDLC Fase 1-Iniciación
Fase 2-Desarrollo o Adquisición
Fase 3 Implementació n
Fase 4-Funcionamiento o Mantenimiento
Fase 5-Eliminación
http://translate.googleusercontent.com/translate_f
Características de fase La necesidad de un sistema de TI es expresado y el propósito y alcance del sistema de TI es documentado
El apoyo de Riesgo Actividades de ge stión • Riesgos identificados se utilizan para apoyar el desarrollo de la requisitos del sistema, incluyendo requisitos de seguridad, y una concepto de seguridad de las operaciones (Estrategia)
• Los riesgos identificados durante este fase se puede utilizar para el apoyo análisis de la seguridad de la TI sistema que puede llevar a arquitectura y diseño con el comercio offs durante sistema desarrollo • El proceso de gestión de riesgos Las funcio nes de seguridad del sistema apoya la evaluación de la debe ser configurado, se activa, la implementación del sistema en contra probado, y verificada sus requisitos y dentro de su modelo operativo medio ambiente. Decisiones con respecto a los riesgos identificados deben hacerse antes de sistema operación • Actividades de gestión de riesgos son El sistema realiza su realizado para sistema periódico funciones. Típicamente, el sistema es reautorización (o se modifique en un curso reacreditación) o siempre base a través de la adición de principales cambios se hacen para una hardware y software y por Sistema informático en su funcionamiento, cambios en la organización entorno de producción (por ejemplo, los procesos, las políticas y interfaces de nuevo sistema) procedimientos El sistema informático está diseñado, comprado, programado, desarrollada, o de otra manera construido
• Actividades de gestión de riesgos Esta fase puede implicar la se llevan a cabo para el sistema de disposición de la información, componentes que serán de hardware y software. eliminarlo o bien reemplazado a Las actividades pueden incluir en movimiento, asegurarse de que el hardware y el archivo, los descartes, o software en las debidas disposiciones destrucción de información o de, que los datos residuales es desinfectar el hardware y el Con manejo apropiado, y que software se lleva a cabo la migración del sistema en un lugar seguro y sistemático manera
9/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
SP 800-30
Página 5
Página 12
2.3 FUNCIONES PRINCIPALES La gestión de riesgos es una responsabilidad de gestión. En esta sección se describen las funciones principales de la personal que deben apoyar y participar en el proceso de gestión de riesgos. • Alta Dirección.L a alta dirección, bajo la norma de la diligencia debida y la responsabilidad final de cumplimiento de la misión, debe asegurarse de que la necesaria los recursos se apliquen de manera efectiva para desarrollar las capacidades necesarias para llevar a cabo la misión. También deben evaluar e incorporar los resultados de la actividad de evaluación de riesgos en el proceso de toma de decisiones. Un programa eficaz de gestión de riesgos que evalúa y mitiga los riesgos relacionados con las TI de misión requiere el apoyo y la participación de la alta dirección. • Jefe de Información (CIO). El CIO es el responsable de IT de la agencia planificación, presupuestación, y el rendimiento incluidos sus componentes de seguridad de la información. Las decisiones tomadas en estas áreas deben estar basadas en una gestión eficaz del riesgo programa. • Siste ma de Información y Propietarios.L os propietarios de los sistemas y de la información son responsable de asegurar que los controles adecuados están en su lugar para hacer frente a la integridad, confidencialidad y disponibilidad de los sistemas informáticos y los datos que poseen. Típicamente, la propietarios de los sistemas y de la información son responsables de cambios en sus sistemas de TI. Por lo tanto, por lo general tienen que aprobar y firmar en cambios en sus sistemas de TI (por ejemplo, el sistema de mejora, los principales cambios en el software y hardware). El sistema y Por lo tanto, los propietarios de la información deben entender su papel en la gestión de riesgos procesar y totalmente apoyar este proceso. • Negocios y Gerentes Funcionales. Los responsables de negocio operaciones y proceso de adquisición de TI deben tener un papel activo en el riesgo proceso de gestión. Estos gestores son las personas con la autoridad y la responsabilidad de tomar las decisiones de trade-off esenciales para el logro de misión. Su participación en el proceso de gestión de riesgos permite el logro de adecuada seguridad de los sistemas informáticos, que, si se gestiona adecuadamente, proporcionará misión eficacia con un gasto mínimo de recursos. • ISSO. IT directores de los programas de seguridad y oficiales de seguridad informática son responsables para programas de seguridad de sus organizaciones, incluyendo la gestión de riesgos. Por lo tanto, que desempeñan un papel destacado en la introducción de una metodología estructurada adecuada para ayudar a identificar, evaluar y minimizar los riesgos de los sistemas de TI que apoyan su misiones de organizaciones. Issos también actúan como los principales consultores en apoyo de la alta administración para asegurar que esta actividad se lleva a cabo de manera continua. • Los profesionales de TI de seguridad. Profesionales de seguridad de TI (por ejemplo, redes, sistemas, aplicación, y los administradores de bases de datos; especialistas en informática; los analistas de seguridad; consultores de seguridad) son responsables de la correcta aplicación de la seguridad requisitos de sus sistemas de TI. Cuando se producen cambios en el sistema de TI existente medio ambiente (por ejemplo, la expansión de la conectividad de red, los cambios en el vigente políticas de infraestructura y de organización, la introducción de nuevas tecnologías), la TI profesionales de la seguridad deben apoyar o utilizar el proceso de gestión de riesgos para identificar y evaluar nuevos riesgos potenciales e implementar nuevos controles de seguridad según sea necesario para salvaguardar sus sistemas de TI. SP 800-30
Página 6
Página 13
• Los formadores de la conciencia de la Seguridad (Seguridad / Subject Matter Profesionales). El el personal de la organización son los usuarios de los sistemas de TI. El uso de los sistemas de TI y datos de acuerdo con las políticas de la organización, las directrices y normas de comportamiento es fundamental para la mitigación de riesgos y la protección de los recursos de TI de la organización. Para reducir al mínimo riesgo a los sistemas de TI, es esencial que se proporcionen a los usuarios de sistemas y aplicaciones con la formación de la conciencia de la seguridad. Por lo tanto, los instructores en seguridad de TI o seguridad / sujetos profesionales materia deben entender el proceso de gestión de riesgos, para http://translate.googleusercontent.com/translate_f
10/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
que puedan desarrollar materiales de formación adecuados e incorporar la evaluación de riesgos en los programas de formación para educar a los usuarios finales.
SP 800-30
Página 7
Página 14
3. EVALUACIÓN DE RIESGOS La evaluación de riesgos es el primer proceso en la metodología de gestión de riesgos. Las organizaciones utilizan el riesgo evaluación para determinar el grado de la amenaza potencial y el riesgo asociado con un TI sistema largo de su SDLC. El resultado de este proceso ayuda a identificar los controles apropiados para reducir o eliminar los riesgos durante el proceso de mitigación de riesgos, como se discutió en la Sección 4. El riesgo es una función de la probabilidad de una determinada amenaza de código de ejercer un particular potencial la vulnerabilidad y el impacto resultante de ese acontecimiento adverso en la organización. Para determinar la probabilidad de un evento adverso futuro, las amenazas a un sistema de TI deben ser analizados junto con las posibles vulnerabilidades y los controles establecidos para el sistema de TI. El impacto se refiere a la magnitud del daño que podría ser causado por el ejercicio de una amenaza de un vulnerabilidad. El nivel de impacto se rige por los posibles impactos de la misión ya su vez produce un valor relativo de los activos de TI y los recursos afectados (por ejemplo, la criticidad y sensibilidad de los componentes del sistema de TI y datos). La metodología de evaluación de riesgos abarca nueve pasos principales, que se describen en las secciones 3.1 a 3.9 • Paso 1 Sistema de Caracterización (Sección 3.1) • Paso 2 Amenaza de identificación (Sección 3.2) http://translate.googleusercontent.com/translate_f
11/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
• Paso 3 Vulnerabilidad de identificación (Sección 3.3) • Paso 4 análisis del control (sección 3.4) • Paso 5 determinación de probabilidad (sección 3.5) • Paso 6 Análisis de Impacto (Sección 3.6) • Paso 7 Determinación de Riesgos (Sección 3.7) • Recomendaciones Paso 8 control (sección 3.8) • Paso 9 Resultados Documentación (Sección 3.9). Pasos 2, 3, 4, y 6 se puede realizar en paralelo después de la Etapa 1 se ha completado. Figura 3-1 representa los pasos y las entradas y salidas del cada paso.
SP 800-30
Página 8
Página 15
Entrada • Hardware • Software • Acoplamientos del sistema • Los datos y la información • Personas • La misión del Sistema
Evaluación de Riesgos Actividades
Paso 1. Caracterización Sistema
Paso 2. • Historia del ataque del sistema Amenaza de identificación • Los datos de inteligencia agencias, NIPC, OIG, FedCIRC, medios de comunicación, • Los informes de riesgo antes de Paso 3. evaluaciones • Cualquier observación de auditoría Vulnerabilidad de identificación • Los requisitos de seguridad • Los resultados de las pruebas de seguridad
• Los controles actuales • Los controles previstos
Paso 4 Análisis de control.
Salida • Límite de sistema • Funciones del sistema • Sistema y Datos Criticidad • Sistema y Datos Sensibilidad Declaración de Amenazas
Lista de Potencial Vulnerabilidades
Lista de corriente y Los controles previstos
• Motivación Amenaza de código Paso 5. • Capacidad de Amenazas • La naturaleza de la vulnerabilidad Determinación de la probabilidad • Los controles actuales
Riesgo Clasificación
• Análisis del impacto de la Misión Paso 6 Análisis de Impacto. • evaluación de la criticidad del activo • La pérdida de integridad • criticidad de datos • Pérdida de disponibilidad • Sensibilidad de datos • Pérdida de confidencialidad
Impacto en el
http://translate.googleusercontent.com/translate_f
12/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
• Probabilidad de amenaza explotación Paso 7. Determinación del Riesgo • Magnitud del impacto • Adecuación de la prevista o controles actuales
Paso 8. Recomendaciones para el control
Paso 9. Resultados Documentación
Riesgos y Riesgo asociado Niveles Recomendado Controles
Evaluación de Riesgos Informe
Figura 3-1. Evaluación de Riesgos Metodología Organigrama
SP 800-30
Página 9
Página 16
3.1 PASO 1: SISTEMA DE CARACTERIZACIÓN En la evaluación de los riesgos para un sistema informático, el primer paso es definir el alcance del esfuerzo. En este paso, de los límites del sistema de TI son identificados, junto con los recursos y la información que constituyen el sistema. Caracterización de un sistema de TI establece el alcance de la evaluación de riesgos esfuerzo, delinea los límites de la autorización operacional (o acreditación), y proporciona información (por ejemplo, hardware, software, conectividad del sistema, y la división responsable o el apoyo personal) esenciales para la definición del riesgo. Sección 3.1.1 se describe la información relacionada con el sistema utilizado para caracterizar un sistema de TI y su entorno operativo. Sección 3.1.2 sugiere las técnicas de recopilación de información que puede ser utilizado para solicitar información relativa al medio ambiente de procesamiento del sistema de TI. La metodología descrita en este documento se puede aplicar a las evaluaciones de simple o múltiple, sistemas interrelacionados. En este último caso, es importante que el dominio de interés y todas las interfaces y dependencias de estar bien definidos antes de la aplicación de la metodología.
3.1.1 Sistema de Información relacionada con La identificación de los riesgos de un sistema de TI requiere un profundo conocimiento de procesamiento del sistema medio ambiente. La persona o personas que llevan a cabo la evaluación de riesgos deben, por tanto, en primer lugar recopilar información relacionada con el sistema, que por lo general se clasifica de la siguiente manera: • Hardware • Software • Las interfaces del sistema (por ejemplo, la conectividad interna y externa) • Los datos y la información • Las personas que apoyan y utilizan el sistema de TI • La misión del sistema (por ejemplo, los procesos realizados por el sistema de TI) • Sistema y criticidad de datos (por ejemplo, el valor del sistema o de la importancia de una organización) • Sistema y sensibilidad de los datos. 4 Información adicional relacionada con el medio ambiente operativo del sistema informático y sus datos incluye, pero no se limita a, los siguientes: • Los requisitos funcionales del sistema de TI • Los usuarios del sistema (por ejemplo, los usuarios de sistemas que prestan apoyo técnico a la TI sistema; usuarios de las aplicaciones que utilizan el sistema de TI para llevar a cabo las funciones de negocio) • Las políticas de seguridad Sistema que rigen el sistema de TI (políticas de la organización, federal requisitos, leyes, prácticas de la industria) • La arquitectura de seguridad del sistema
http://translate.googleusercontent.com/translate_f
13/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos 4 El nivel de protección necesario para mantener el sistema y la integridad de los datos, confidencialidad y disponibilidad.
SP 800-30
Página 10
Página 17
• topología de red actual (por ejemplo, diagrama de la red) • Protección de almacenamiento de información que el sistema de salvaguardias y la disponibilidad de datos, la integridad, y confidencialidad • Flujo de información relacionada con el sistema de TI (por ejemplo, las interfaces del sistema, la entrada del sistema y diagrama de flujo de salida) • Los controles técnicos utilizados para el sistema de TI (por ejemplo, una función de complemento o producto de seguridad que apoya la identificación y autenticación, discrecional o de acceso obligatorio la protección del control, auditoría, información residual, métodos de cifrado) • Los controles de gestión utilizados para el sistema de TI (por ejemplo, reglas de comportamiento, la seguridad planificación) • Los controles operacionales utilizados para el sistema de TI (por ejemplo, la seguridad personal, la copia de seguridad, operaciones de contingencia y reanudación y recuperación; mantenimiento del sistema; fuera de las instalaciones almacenamiento; cuenta de usuario del establecimiento y procedimientos de eliminación; controles para la segregación de las funciones de los usuarios, como el acceso de usuarios privilegiados frente acceso de usuario estándar) • entorno de seguridad física del sistema informático (por ejemplo, protección de la instalación, centro de datos políticas) • La seguridad ambiental implementado para el entorno de ejecución del sistema de TI (por ejemplo, controles de humedad, el agua, la energía, la contaminación, la temperatura y los productos químicos). Para un sistema que está en el inicio o la fase de diseño, la información del sistema se puede derivar de la diseño o los requisitos de documentos. Para un sistema de TI en fase de desarrollo, es necesario definir normas de seguridad clave y atributos previstas para el futuro sistema de TI. Documentos de diseño de sistemas y el plan de seguridad del sistema puede proporcionar información útil sobre la seguridad de un sistema informático que es en desarrollo. Para un sistema operativo, se recogen datos sobre el sistema de TI en su producción medio ambiente, incluyendo datos sobre la configuración del sistema, la conectividad y documentada y procedimientos y prácticas de indocumentados. Por lo tanto, la descripción del sistema se puede basar en la seguridad proporcionada por la infraestructura subyacente o en los planes de seguridad de futuro para el sistema de TI.
3.1.2 Técnicas de recogida de información Cualquier, o una combinación, de las siguientes técnicas pueden ser utilizadas en la recopilación de información relevante al sistema de TI dentro de sus límites operativos: • Cuestionario.P ara recopilar la información pertinente, el personal de evaluación del riesgo puede desarrollar un cuestionario relativo a la gestión y los controles operativos previstos o utilizados con el sistema informático. Este cuestionario debe ser distribuido a la aplicable personal técnico y no técnico de gestión que están diseñando o de apoyo el sistema de TI. El cuestionario también se podría utilizar durante las visitas sobre el terreno y entrevistas. • Entrevistas en sitio. Entrevistas con el apoyo del sistema de TI y gestión de personal puede permitir que el personal de evaluación de riesgos para recopilar información útil acerca de la TI sistema (por ejemplo, cómo funciona el sistema y logró). Las visitas in situ permiten también el riesgo
SP 800-30
Página 11
Página 18
personal de evaluación para observar y recopilar información sobre las características físicas, seguridad ambiental y operativo del sistema informático. El apéndice A contiene preguntas de la entrevista de la muestra que se hacen durante las entrevistas con el personal del sitio para lograr un mejor comprensión de las características operativas de una organización. Para http://translate.googleusercontent.com/translate_f
14/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
sistemas todavía en la fase de diseño, visita in situ serían recopilación de datos cara a cara ejercicios y podría proporcionar la oportunidad de evaluar el entorno físico en el que el sistema va a operar. • Revisión de documentos.D ocumentos de política (por ejemplo, documentación legislativa, directivas), documentación del sistema (por ejemplo, la guía de usuario del sistema, manual de administración del sistema, diseño del sistema y documento de requerimientos, documento de adquisición), y la seguridad relacionada documentación (por ejemplo, anterior informe de auditoría, el informe de evaluación de riesgos, resultados de las pruebas del sistema, 5, Las políticas de seguridad) pueden proporcionar una buena información sobre la plan de seguridad del sistema controles de seguridad utilizados por y planificadas para el sistema de TI. La misión de una organización análisis de impacto o criticidad de los activos de evaluación proporciona información sobre el sistema y la criticidad de datos y la sensibilidad. • El uso de la herramienta automatizada de escaneo.m étodos técnicos proactivos pueden ser usados para recoger información del sistema de manera eficiente. Por ejemplo, una herramienta de mapeo de red puede identificar los servicios que se ejecutan en un gran grupo de hosts y proporcionar una forma rápida de la creación de perfiles individuales del sistema de TI de destino (s). La recolección de información se puede realizar durante todo el proceso de evaluación de riesgos, de la Etapa 1 (Sistema de Caracterización) hasta el Paso 9 (Resultados Documentación). De salida de la Etapa 1 Caracterización del sistema de TI evaluados, una buena imagen de la TI entorno del sistema, y la delimitación de las fronteras del sistema
3.2 PASO 2: IDENTIFICACIÓN DE AMENAZA Una amenaza es la posibilidad de una amenaza de código especial para ejercer con éxito una determinada vulnerabilidad. Una vulnerabilidad es una debilidad que puede se dispare accidentalmente o intencionalmente explotados. La Amenaza:E l potencial de una amenazaamenaza de código no presenta un riesgo cuando no hay fuente de ejercicio (accidentalmente el gatillo vulnerabilidad que puede ser ejercida. En la determinación de la probabilidad de que una amenaza (Sección 3.5), se debe considerar o intencionalmente explotar) una específica vulnerabilidad. amenaza los recursos, vulnerabilidades potenciales (Sección 3.3), y los controles existentes (Sección 3.4).
3.2.1 Amenaza-Identificación de fuentes de El objetivo de este paso es identificar el potencial amenaza los recursos y elaborar una declaración de amenaza listado de potenciales amenazas recursos que son aplicables al sistema informático que se está evaluando.
Amenaza-Fuente:O (1) intención y el método dirigida a la explotación intencional de un vulnerabilidad o (2) una situación y método que pueden desencadenar accidentalmente una vulnerabilidad.
5 Durante la fase inicial, una evaluación de riesgos podría ser utilizado para desarrollar el plan inicial de la seguridad del sistema.
SP 800-30
Página 12
Página 19
Una amenaza de código se define como cualquier circunstancia o evento con la Amenaza Fuentes Comunes potencial de causar daño a una red IT sistema. La amenaza común Amenazas naturales-inundaciones, terremotos, tornados, fuentes pueden ser naturales, humanos, o deslizamientos de tierra, avalanchas, tormentas eléctricas, y otros tales ambiental. eventos. Humanos Amenazas-Eventos que están habilitados por o En la evaluación de las amenazas recursos, es causada por los seres humanos, como los actos no intencionales importante tener en cuenta todos los posibles Acciones (entrada de datos involuntaria) o deliberadas (red amenaza los recursos que podrían causar ataques basados, carga el software malicioso, sin autorización daño al sistema informático y su el acceso a la información confidencial). procesamiento de medio ambiente. Para Amenazas ambientales de larga duración de corte de energía, ejemplo, aunque la amenaza la contaminación, los productos químicos, las fugas de líquido. declaración para un sistema informático situada en un desierto no puede http://translate.googleusercontent.com/translate_f
15/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
incluir "natural de las inundaciones", porque de la baja probabilidad de que ocurran una, las amenazas ambientales tales de eventos tales como una tubería reventar puede inundar rápidamente una sala de ordenadores y causar daños a los activos de TI de una organización y recursos. Los seres humanos pueden ser de amenaza los recursos a través de actos intencionales, como los ataques deliberados de personas malintencionadas o empleados descontentos o actos involuntarios, tales como la negligencia y los errores. Un ataque deliberado puede ser (1) un intento malicioso para obtener acceso no autorizado a una red IT sistema (por ejemplo, por medio de adivinación de contraseñas) para el sistema y la integridad de los datos en peligro, disponibilidad o confidencialidad o (2) una benigna, pero no obstante decidido, intento de eludir la seguridad del sistema. Un ejemplo de este último tipo de ataque deliberado es de un programador escribir un Programa de caballo de Troya para eludir la seguridad del sistema con el fin de "hacer el trabajo".
3.2.2 Motivación y amenazas acciones La motivación y los recursos para llevar a cabo un ataque hacen los humanos potencialmente peligrosos amenaza los recursos. La Tabla 3-1 presenta un resumen de muchas de las amenazas humanas comunes de hoy en día, su posibles motivaciones y los métodos o acciones de amenaza por los que podrían llevar a cabo un ataque. Esta información será útil para las organizaciones que estudian sus entornos de amenazas humanas y la personalización de sus declaraciones de amenazas humanas. Además, la revisión de la historia del sistema de romperins; informes de violación de la seguridad; informes de incidentes; y entrevistas con los administradores del sistema, personal de asistencia técnica, y la comunidad de usuarios durante la recopilación de información ayudará a identificar humana amenaza los recursos que tienen el potencial para dañar un sistema informático y sus datos y que pueden ser una preocupación donde existe una vulnerabilidad.
SP 800-30
Página 13
Página 20
Tabla 3-1. Acciones Amenaza-Source, la motivación y de la amenaza: Amenazas humanas Amenaza-fuente Hacker, cracker
Motivación Desafío Ego Rebelión
Criminal de ordenador
Terrorista
Destrucción de la información Ilegal divulgación de información La ganancia monetaria Alteración no autorizada de datos Chantaje Destrucción Explotación Venganza
Espionaje industrial (empresas, extranjeras Ventaja competitiva gobiernos, otros los intereses del gobierno) Espionaje económico
Acciones de amenazas • • • • • • • • • • • • • • • • • • • •
• • • http://translate.googleusercontent.com/translate_f
Hackear Ingeniería social Intrusión del sistema, los robos El acceso no autorizado al sistema El delito informático (por ejemplo, cyber acecho) Acto fraudulento (por ejemplo, repetición, suplantación, interceptación) Información de soborno Spoofing Intrusión Sistema Bomba / Terrorismo La guerra de información Ataque del sistema (por ejemplo, distribuyó denegación de servicio) La penetración del sistema Manipulación del sistema Explotación económica El robo de información Intrusión en la privacidad personal Ingeniería social La penetración del sistema El acceso no autorizado al sistema (Acceso a clasificado, propiedad, y / o la tecnología relacionada información) Asalto a un empleado Chantaje Navegación del propietario 16/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
Insiders (mal entrenados, descontentos, malicioso, negligente, fraudulento, o empleados despedidos)
Curiosidad Ego Inteligencia La ganancia monetaria Venganza
información Abuso de computadora Fraude y robo Información de soborno Entrada de falsificada, datos corruptos Interceptación El código malicioso (por ejemplo, virus, lógica Errores involuntarios y bomba, caballo de Troya) omisiones (por ejemplo, la entrada de• datos Venta de información personal error, error de programación) • Errores del sistema • Intrusión Sistema • Sabotaje Sistema • El acceso no autorizado al sistema • • • • • •
Una estimación de la motivación, los recursos y capacidades que se requieran para llevar a cabo una ataque exitoso debe desarrollarse después de que se han identificado las posibles amenazas recursos, en Para determinar la probabilidad de que una amenaza de ejercer una vulnerabilidad del sistema, como se describe en Sección 3.5.
SP 800-30
Página 14
Página 21
La declaración de amenaza, o la lista de posibles amenazas recursos, deben adaptarse a la persona organización y su entorno de procesamiento (por ejemplo, hábitos de computación de usuario final). En general, información sobre las amenazas naturales (por ejemplo, inundaciones, terremotos, tormentas) debe estar fácilmente disponible. Amenazas conocidas han sido identificados por muchas organizaciones gubernamentales y del sector privado. Herramientas de detección de intrusos también son cada vez más frecuentes, y el gobierno y la industria organizaciones recogen continuamente datos sobre los eventos de seguridad, mejorando así la capacidad de evaluar de manera realista las amenazas. Las fuentes de información incluyen, pero no se limitan a, lo siguiente: • Las agencias de inteligencia (por ejemplo, la Oficina Federal de Investigación Nacional de Centro de Protección de la Infraestructura) • Centro Federal Computer Respuesta a Incidentes (FedCIRC) • Los medios de comunicación, en particular de los recursos basados en la Web, tales como SecurityFocus.com, SecurityWatch.com, SecurityPortal.com, y SANS.org. De salida de la Etapa 2 Una declaración de amenaza que contiene una l ista de las amenazas recursos que podrían explotar vulnerabilidades del sistema
3.3 PASO 3: IDENTIFICACIÓN DE VULNERABILIDAD El análisis de la amenaza a un sistema informático deben incluir un análisis de la vulnerabilidades asociadas con el sistema medio ambiente. El objetivo de este paso es elaborar una lista de las vulnerabilidades del sistema (defectos o debilidades) que podrían ser explotado por la amenaza potencial recursos.
Vulnerabilidad:U n defecto o debilidad en el sistema procedimientos de seguridad, diseño, implementación, o controles internos que podrían ser ejercidas (Accidentalmente o intencionalmente provocado explotados) y dar lugar a un fallo de seguridad o una violación de la política de seguridad del sistema.
La Tabla 3-2 presenta ejemplos de pares de vulnerabilidad / amenaza.
Tabla 3-2. Pares de Vulnerabilidad / Amenaza Vulnerabilidad Sistema de empleados despedidos ' identificadores (ID) no se eliminan del sistema
Amenaza-fuente
Acción Amenaza
Los empleados despedidos
Marcar en la compañía de la red y el acceso de datos propiedad de la empresa
Firewall de la empresa permite entrante Los usuarios no autorizados (por ejemplo, Uso de telnet con el servidor XYZ telnet, y los huéspedesI D está activado en hackers, terminado y archivos del sistema de navegación Servidor XYZ empleados, equipo con el invitado ID criminales, los terroristas)
http://translate.googleusercontent.com/translate_f
17/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
El vendedor haseguridad identificado en el diseño de la delfallas sistema; Sin embargo, los nuevos parches no tienen ha aplicado al sistema de
Los usuarios no autorizados (por ejemplo, La obtención no autorizada hackers, descontentos acceso al sistema sensible empleados, equipo archivos en función conocida criminales, los terroristas) vulnerabilidades del sistema
SP 800-30
Página 15
Página 22
Vulnerabilidad
Amenaza-fuente
Centro de datos utiliza rociadores de agua Fuego, personas negligentes para suprimir el fuego; lonas a proteger el hardware y equipo de daños por agua no están en lugar
Acción Amenaza Rociadores de agua son encendida en el centro de datos
Métodos recomendados para la identificación de las vulnerabilidades del sistema son el uso de la vulnerabilidad fuentes, el rendimiento de las pruebas de seguridad del sistema y el desarrollo de una seguridad requisitos de lista de verificación. Cabe señalar que esa existirán los tipos de vulnerabilidades, y la metodología necesaria para determinar si las vulnerabilidades están presentes, por lo general variará dependiendo de la naturaleza de el sistema informático y la fase que se encuentra, en el SDLC: • Si el sistema aún no se ha diseñado, la búsqueda de vulnerabilidades debe centrarse sobre las políticas de seguridad de la organización, los procedimientos de seguridad previstas, y el sistema definiciones de requerimientos y análisis de productos de seguridad de los proveedores o desarrolladores (por ejemplo, libros blancos). • Si se está implementando el sistema informático, la identificación de vulnerabilidades debe ser ampliado para incluir información más específica, por ejemplo, las características de seguridad previstas se describe en la documentación de diseño de seguridad y los resultados de la certificación del sistema prueba y evaluación. • Si el sistema está operativo, el proceso de identificación de las vulnerabilidades deben incluir un análisis de las características de seguridad del sistema de TI y los controles de seguridad, técnico y de procedimiento, que se utiliza para proteger el sistema.
3.3.1 Fuentes de Vulnerabilidad Las vulnerabilidades técnicas y no técnicas asociados con el procesamiento de un sistema de TI medio ambiente puede ser identificado a través de las técnicas de recolección de información que se describen en la Sección 3.1.2. Una revisión de otras fuentes de la industria (por ejemplo, las páginas Web de los proveedores que identifican los errores del sistema y defectos) serán útiles en la preparación de las entrevistas y en el desarrollo de cuestionarios eficaces para identificar las vulnerabilidades que pueden ser aplicables a los sistemas informáticos específicos (por ejemplo, una versión específica de un sistema operativo específico). El Internet es otra fuente de información sobre el sistema conocido vulnerabilidades publicadas por los proveedores, junto con revisiones, service packs, parches y otros las medidas correctivas que se pueden aplicar para eliminar o mitigar las vulnerabilidades. Documentado fuentes de vulnerabilidad que deben ser considerados en un análisis de la vulnerabilidad a fondo incluyen, pero no se limitan a, lo siguiente: • Anterior documentación de la evaluación de riesgos del sistema de TI evaluado • Los informes del sistema de TI de auditoría, informes de anomalías del sistema, informes de revisión de la seguridad, y informes de las pruebas del sistema y evaluación • Las listas de vulnerabilidad, tales como la base de datos de vulnerabilidad I-CAT NIST (Http://icat.nist.gov)
SP 800-30
Página 16
Página 23
http://translate.googleusercontent.com/translate_f
18/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
• Recomendaciones de seguridad, tales como FedCIRC y el Departamento de Informática de la Energía Boletines de capacidad de asesoramiento de Incidentes • avisos de proveedores • Los equipos de respuesta a incidentes informáticos Comercial / emergencia y listas de correos (por ejemplo, Mailings foro SecurityFocus.com) • Las alertas y boletines para los sistemas militares Información sobre la vulnerabilidad de Aseguramiento • la seguridad del software de sistema analiza.
3.3.2 Sistema de Pruebas de Seguridad Métodos proactivos, empleando las pruebas del sistema, se puede utilizar para identificar las vulnerabilidades del sistema de manera eficiente, dependiendo de la criticidad del sistema y los recursos de TI disponibles (por ejemplo, asignado fondos, la tecnología disponible, las personas con la experiencia necesaria para realizar la prueba). Métodos de ensayo incluir • Herramienta automatizada de análisis de vulnerabilidades • Prueba de seguridad y la evaluación (ST & E) • Las pruebas de penetración. 6 La herramienta automatizada de análisis de vulnerabilidades se utiliza para explorar un grupo de hosts o de una red de servicios vulnerables conocidos (por ejemplo, el sistema permite que el Protocolo de transferencia de archivos anónimo [FTP], sendmail retransmisión). Sin embargo, debe tenerse en cuenta que algunas de las potenciales vulnerabilidades identificado por la herramienta automatizada de exploración pueden no representar las vulnerabilidades reales en el contexto de el entorno del sistema. Por ejemplo, algunas de estas herramientas de escaneo de vulnerabilidades potenciales califica sin tener en cuenta el medio ambiente y las necesidades del sitio. Algunas de las "vulnerabilidades" marcado por el software automatizado de exploración en realidad no puede ser vulnerable a un sitio en particular pero puede ser configurado de esa manera porque su entorno lo requiere. Por lo tanto, este método de ensayo puede producir falsos positivos. ST & E es otra técnica que se puede utilizar en la identificación de las vulnerabilidades del sistema de TI durante el proceso de evaluación de riesgos. Incluye el desarrollo y ejecución de un plan de pruebas (por ejemplo, la prueba de scripts, procedimientos de prueba y los resultados de las pruebas que se espera). El propósito de las pruebas de la seguridad del sistema es comprobar la eficacia de los controles de seguridad de un sistema informático, ya que se han aplicado en un entorno operativo. El objetivo es asegurar que los controles aplicados cumplen con el aprobado especificación de seguridad para el software y el hardware e implementar la seguridad de la organización normas de política o de la industria se encuentran. Las pruebas de penetración se puede utilizar para complementar la revisión de los controles de seguridad y asegurarse de que diferentes facetas del sistema de TI están asegurados. Las pruebas de penetración, cuando se emplean en el riesgo proceso de evaluación, se puede utilizar para evaluar la capacidad de un sistema de TI para resistir los intentos intencionales para burlar la seguridad del sistema. Su objetivo es poner a prueba el sistema de TI desde el punto de vista de un amenaza de código e identificar posibles fallos en los sistemas de protección de sistema de TI. 6 El proyecto de SP NIST 800-42, Pruebas de seguridad de la red general , se describe la metodología para el sistema de red
prueba y el uso de herramientas automatizadas.
SP 800-30
Página 17
Página 24
Los resultados de este tipo de pruebas de seguridad opcional ayudarán a identificar las vulnerabilidades de un sistema.
3.3.3 Desarrollo de los Requisitos de Seguridad Checklist Durante este paso, el personal de evaluación de riesgos a determinar si los requisitos de seguridad estipulado para el sistema de TI y recogidos durante la caracterización del sistema se están cumpliendo por existente o controles de seguridad previstos. Por lo general, los requisitos de seguridad del sistema pueden ser se presenta en forma de tabla, con cada requisito acompañada de una explicación de cómo la diseño o implementación del sistema tiene o no cumplen ese requisito de control de seguridad. Una lista de verificación de los requisitos de seguridad contiene las normas básicas de seguridad que se pueden utilizar para evaluar sistemáticamente e identificar las vulnerabilidades de los activos (personal, hardware, software, información), los procedimientos no automatizados, procesos e información transferencias http://translate.googleusercontent.com/translate_f
19/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
asociado a un sistema de TI que figura en las siguientes zonas de seguridad: • Gestión • Operacional • Técnico. La Tabla 3-3 enumera los criterios de seguridad sugeridas para su uso en la identificación de las vulnerabilidades de un sistema informático en cada área de la seguridad.
Tabla 3-3. Criterios de seguridad Área de Seguridad Security Management
Seguridad Operacional
Criterios de seguridad • • • • • • • • • •
Asignación de responsabilidades La continuidad de la ayuda Capacidad de respuesta a incidentes Revisión periódica de controles de seguridad Investigaciones de liquidación de personal y de fondo La evaluación de riesgos La formación en seguridad y técnica Separación de funciones Sistema de autorización y reautorización Plan de seguridad del sistema o de la aplicación
• • • • • • • •
El control de los contaminantes transportados por el aire (humo, polvo, productos químicos) Controles para garantizar la calidad del suministro de energía eléctrica El acceso y la eliminación de medios de Datos Distribución de datos externa y el etiquetado Protección de la instalación (por ejemplo, sala de informática, centro de datos, oficina) Control de humedad Control de la temperatura Las estaciones de trabajo, portátiles y ordenadores personales independientes
SP 800-30
Página 18
Página 25
Área de Seguridad Seguridad Técnica
Criterios de seguridad • • • • • • •
Comunicaciones (por ejemplo, acceso telefónico, de interconexión de sistemas, enrutadores) Criptografía Control de acceso discrecional Identificación y autenticación La detección de intrusiones Reutilización de objetos Sistema de auditoría
El resultado de este proceso es la lista de comprobación de requisitos de seguridad. Las fuentes que se pueden utilizar en compilar una lista de control de este tipo incluyen, pero no se limitan a, el siguiente gobierno regulador y las directivas de seguridad y fuentes aplicables al entorno de procesamiento del sistema de TI: • CSA de 1987 • Normas de Procesamiento de Información Federal de Publicaciones • OMB 11 2000 Circular A-130 • Ley de Privacidad de 1974 • El plan de seguridad del sistema del sistema de TI evaluado • Las políticas de la organización de seguridad, directrices y normas • Las prácticas de la industria. El NIST SP 800-26, Guía de Autoev aluación de Seguridad para Sistemas Informáticos , http://translate.googleusercontent.com/translate_f
20/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
ofrece un extenso cuestionario que contiene los objetivos de control específicos contra el que un sistema o grupo de sistemas interconectados pueden ser probados y medidos. Los objetivos de control se abstrae directamente de los requisitos de larga data que se encuentran en la ley, la política, y orientación sobre la seguridad y la privacidad. Los resultados de la lista de verificación (o cuestionario) se puede utilizar como entrada para una evaluación de el cumplimiento y el incumplimiento. Este proceso identifica sistema, proceso, y de procedimiento debilidades que representan vulnerabilidades potenciales.
7 que podrían ser ejercidas De salida de la Etapa 3 Una lista de las vulnerabilidades del sistema (observaciones) por la amenaza potencial que los recursos 3.4 PASO 4: ANÁLISIS DE CONTROL El objetivo de este paso es analizar los controles que se han implementado o están previstas para aplicación, por la organización para minimizar o eliminar la probabilidad (o la probabilidad) de un La amenaza de ejercer una vulnerabilidad del sistema.
7 Debido a que el informe de evaluación de riesgos no es un informe de auditoría, algunos sitios pueden preferir hacer frente a la identificada
vulnerabilidades como las observaciones en lugar de los hallazgos en el informe de evaluación de riesgos.
SP 800-30
Página 19
Página 26
Para obtener una calificación general probabilidad de que indica la probabilidad de que una vulnerabilidad potencial puede ser ejercida dentro de la construcción del medio ambiente amenaza asociada (paso 5 más abajo), la implementación de los controles actuales o previstas deben ser considerados. Por ejemplo, una vulnerabilidad (Por ejemplo, el sistema o la debilidad de procedimiento) no es probable que se ejerza o la probabilidad es baja si hay es un bajo nivel de interés amenaza de código o la capacidad o si hay controles de seguridad eficaces que puede eliminar, o reducir la magnitud de causar un daño. Secciones 3.4.1 a través de 3.4.3, respectivamente, discutir métodos de control, las categorías de control, y el controlar técnica de análisis.
3.4.1 Métodos de control Los controles de seguridad abarcan el uso de métodos técnicos y no técnicos. Los controles técnicos salvaguardias que se incorporan en el hardware, software, o de firmware (por ejemplo, acceso mecanismos de control, los mecanismos de identificación y autenticación, métodos de encriptación, software de detección de intrusión). Controles no técnicos son la gestión y los controles operacionales, tales como las políticas de seguridad; procedimientos operacionales; y personal, física y medioambiental seguridad.
3.4.2 Control de Categorías Las categorías de control de los métodos de control tanto técnicos como no técnicos pueden estar más clasificado como preventivo o detective. Estos dos subcategorías se explican de la siguiente manera: • Los controles preventivos inhiben los intentos de violar la política de seguridad e incluyen tales controla como la aplicación de control de acceso, cifrado y autenticación. • Los controles Detectives advierten de violaciónes o intentos de violaciónes de la política de seguridad y incluir controles tales como pistas de auditoría, los métodos de detección de intrusos, y sumas de comprobación. Sección 4.4 explica, además, estos controles desde el punto de vista de la implementación. La aplicación de los controles durante el proceso de mitigación de riesgo es el resultado directo de la identificación de las deficiencias en los controles actuales o previstas durante el proceso de evaluación de riesgos (Por ejemplo, los controles no están en su lugar o los controles no se aplican correctamente).
3.4.3 Análisis de Control Técnica Como se discutió en la Sección 3.3.3, el desarrollo de una lista de verificación los requisitos de seguridad o el uso de un lista de comprobación disponible será útil en el análisis de los controles de una manera eficiente y sistemático. La lista de verificación de los requisitos de seguridad se puede utilizar para validar el incumplimiento de seguridad, así como cumplimiento. Por lo tanto, es esencial para actualizar esas listas de control para reflejar los cambios en un http://translate.googleusercontent.com/translate_f
21/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
ambiente control de lalaorganización los cambios en las políticas de seguridad, métodos y requisitos)depara asegurar validez de la(por listaejemplo, de verificación. La salida de la Etapa 4 Lista de los controles actuales o previstas utili zados para el sistema de TI para mitigar el probabilidad de ser ejercida de una vulnerabilidad y reducir el impacto de un evento adverso
SP 800-30
Página 20
Página 27
3.5 PASO 5: RIESGO DETERMINACIÓN Para obtener una calificación general probabilidad de que indica la probabilidad de que una vulnerabilidad potencial puede ser ejercida dentro de la construcción del medio ambiente amenaza asociada, la siguiente factores que gobiernan deben ser considerados: • Motivación Amenaza de código y la capacidad • La naturaleza de la vulnerabilidad • Existencia y eficacia de los controles actuales. La probabilidad de que una vulnerabilidad potencial podría ser ejercida por una amenaza determinada fuente puede ser descrito como alto, medio o bajo. Tabla 3-4 siguiente se describen estos tres niveles de probabilidad.
Tabla 3-4. De finiciones de probabilidad Nivel de Riesgo Alto Medio Bajo
Probabilidad Definición La amenaza de código está muy motivado y suficientemente capaz, y controles para prevenir la vulnerabilidad de la que se ejerce son ineficaces. La amenaza de código está motivado y capaz, pero los controles son en el lugar que puede obstaculizar el ejercicio con éxito de la vulnerabilidad. La amenaza de código carece de motivación o capacidad, o los controles se han establecido para prevenir o impedir al menos de manera significativa, la vulnerabilidad de ser ejercido.
De salida de la Etapa 5 Calificación de probabilidad (alta, media, baja)
3.6 PASO 6: ANÁLISIS DE IMPACTO El siguiente paso importante en el nivel de riesgo de medición es determinar los efectos adversos resultantes de un ejercicio de amenaza exitosa de una vulnerabilidad. Antes de iniciar el análisis de impacto, es necesario para obtener la siguiente información necesaria como se discutió en la Sección 3.1.1: • La misión del sistema (por ejemplo, los procesos realizados por el sistema de TI) • Sistema y criticidad de datos (por ejemplo, el valor del sistema o de la importancia de una organización) • Sistema y sensibilidad de los datos. Esta información puede obtenerse a partir de la documentación de la organización existente, como la informe de análisis de impacto misión o activo informe de evaluación de la criticidad. Un análisis del impacto misión (También conocido como análisis de impacto en el negocio [BIA] para algunas organizaciones) prioriza el impacto niveles asociados con el compromiso de los activos de información de una organización basada en una evaluación cualitativa o cuantitativa de la sensibilidad y criticidad de dichos activos. Un activo evaluación de la criticidad identifica y da prioridad a la información de la organización sensible y crítica los activos (por ejemplo, hardware, software, sistemas, servicios y tecnología relacionada activos) que apoyan la misiones críticas de la organización.
SP 800-30
http://translate.googleusercontent.com/translate_f
Página 21
22/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
Página 28
Si esta documentación no existe o tipo de evaluaciones para los activos de TI de la organización no tiene sido realizado, el sistema y los datos de sensibilidad puede ser determinada basándose en el nivel de la protección necesaria para mantener el sistema y la disponibilidad de los datos, la integridad y la confidencialidad. Independientemente del método utilizado para determinar el grado de sensibilidad de un sistema informático y sus datos son, la propietarios de los sistemas y de la información son los responsables de determinar el nivel de impacto de su propio sistema y la información. Por consiguiente, en el análisis de impacto, el enfoque apropiado es entrevistar al sistema y el propietario (s) de la información. Por lo tanto, el impacto negativo de un evento de seguridad se puede describir en términos de pérdida o degradación de algunos, o una combinación de cualquiera de los siguientes tres objetivos de seguridad: integridad, disponibilidad y confidencialidad. La siguiente lista proporciona una breve descripción de cada objetivo de seguridad y la consecuencia (o impacto) de su no se cumplan: • Pérdida de la integridad.s istema y la integridad de datos se refiere a la exigencia de que información será protegida contra la modificación incorrecta. La integridad se pierde si no autorizada se realizan cambios en los datos o sistema de TI ya sea por actos intencionales o accidentales. Si la pérdida del sistema o integridad de los datos no se corrige, el uso continuado de la contaminación sistema o datos dañados podrían causar inexactitud, fraude o decisiones erróneas. Además, la violación de la integridad puede ser el primer paso de un ataque exitoso contra el sistema disponibilidad o confidencialidad. Por todas estas razones, la pérdida de la integridad reduce la seguridad de un sistema informático. • Pérdida de la disponibilidad.S i un sistema de TI de misión crítica no está disponible para sus usuarios finales, La misión de la organización puede verse afectada. La pérdida de la funcionalidad del sistema y eficacia operativa, por ejemplo, puede resultar en la pérdida de tiempo productivo, por lo tanto obstaculizar el rendimiento de los usuarios finales de sus funciones en el apoyo a la La misión de la organización. • La pérdida de confidencialidad. sistema y confidencialidad de los datos se refiere a la protección de los información de su divulgación no autorizada. El impacto de la divulgación no autorizada de información confidencial puede ir desde la puesta en peligro de la seguridad nacional a la divulgación de datos de la Ley de Privacidad. No autorizada, no previstos, o no intencional divulgación pueda resultar en la pérdida de la confianza pública, la vergüenza, o la acción legal en contra de la organización. Algunos impactos tangibles se pueden medir cuantitativamente en pérdidas de ingresos, el costo de la reparación de la sistema, o el nivel de esfuerzo necesario para corregir los problemas causados por una acción de amenaza exitosa. Otros impactos (por ejemplo, la pérdida de la confianza pública, la pérdida de credibilidad, el daño a una organización de intereses) no se puede medir en unidades específicas, sino que puede ser calificado o descrito en términos de altura, medio y bajo impacto. Debido a la naturaleza genérica de esta discusión, esta guía designa y describe sólo el impacto cualitativo categorías: alta, media y baja (ver Cuadro 3.5).
SP 800-30
Página 22
Página 29
Tabla 3-5. Magnitud del Impacto Definiciones Magnitud de Impacto Alto
Medio
Definición de Impacto Ejercicio de la vulnerabilidad (1) puede dar lugar a la muy costosa pérdida de principales activos o recursos tangibles; (2) pueda violar de manera significativa, daño, o obstaculizar la misión de una organización, la reputación o intereses; o (3) puede resultar en la muerte humanas y heridos graves. Ejercicio de la vulnerabilidad (1) puede resultar en la pérdida de la costosa tangible bienes o recursos; (2) pueda violar, dañar o impedir la organización de
http://translate.googleusercontent.com/translate_f
23/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
misión, reputación o intereses; o (3) puede dar lugar a lesiones. Bajo
El ejercicio de la vulnerabilidad (1) puede resultar en la pérdida de algunos tangible activos o recursos o (2) puede afectar notablemente a una organización de misión, reputación o intereses.
Cuantitativo frente Evaluación cualitativa Al realizar el análisis de impacto, se debe considerar las ventajas y desventajas de comparación cuantitativa evaluaciones cualitativas. La principal ventaja de la análisis de impacto cualitativo es que prioriza los riesgos e identifica áreas para inmediata la mejora en el tratamiento de las vulnerabilidades. La desventaja del análisis cualitativo es que no proporcionan mediciones cuantificables específicos de la magnitud de los impactos, por lo tanto, hacer un análisis de costo-beneficio de los controles recomendados difíciles. La principal ventaja de un análisis cuantitativo de impacto es que proporciona una medida de la magnitud impactos ", que se puede utilizar en el análisis coste-beneficio de los controles recomendados. La desventaja es que, dependiendo de los rangos numéricos utilizados para expresar la medición, el significado del análisis de impacto cuantitativo puede ser poco clara, lo que requiere que el resultado sea interpretado de manera cualitativa. Los factores adicionales a menudo se deben considerar para determinar la magnitud del impacto. Estos pueden incluir, pero no se limitan a• Una estimación de la frecuencia de ejercicio de la amenaza-fuente de la vulnerabilidad durante un período de tiempo determinado (por ejemplo, 1 año) • Un costo aproximado de cada ocurrencia de ejercicio de la amenaza-fuente de la vulnerabilidad • Un factor ponderado basado en un análisis subjetivo del impacto relativo de un determinado La amenaza de ejercer una vulnerabilidad específica. De salida de la Etapa 6 Magnitud del impacto (Alta, Media o Baja)
SP 800-30
Página 23
Página 30
3.7 PASO 7: DETERMINACIÓN DEL RIESGO El propósito de este paso es evaluar el nivel de riesgo para el sistema de TI. La determinación del riesgo para un par amenaza / vulnerabilidad particular, se puede expresar como una función de • La probabilidad de intentar ejercer una vulnerabilidad dado un de amenaza determinada fuente • La magnitud del impacto en caso de una amenaza de código ejercer con éxito la vulnerabilidad • La adecuación de los controles de seguridad planificadas o existentes para reducir o eliminar riesgo. Para medir el riesgo, una escala de riesgo y una matriz de nivel de riesgo se deben desarrollar. Sección 3.7.1 se presenta un matriz estándar de nivel de riesgo; Sección 3.7.2 se describen los niveles de riesgo resultantes.
3.7.1 Riesgo Nivel Matrix La determinación final del riesgo de la misión se obtiene multiplicando la calificación otorgada por la amenaza probabilidad (por ejemplo, probabilidad) y el impacto de amenazas. Tabla 3.6 muestra cómo el riesgo global Las calificaciones pueden ser determinados con base en las aportaciones de los efectos probabilidad amenaza y la amenaza categorías. La siguiente matriz es una matriz de 3 x 3 de la probabilidad de amenaza (Alta, Media y Baja) y el impacto de amenazas (Alta, Media y Baja). Dependiendo de los requisitos del sitio y la http://translate.googleusercontent.com/translate_f
24/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
evaluación de riesgo deseado, algunos sitios puede utilizar una de 4 xpel 4 oigrosidad una matriz debaja 5 x 5. Estealúltimo pgranularidad uede incluir de un la/ Muy Alta probabilidad de peligrosidad muy baja y un impacto muy / muy ta a generar un nivel Muy Bajo / Muy alto riesgo. Un "Muy Alto" nivel de riesgo puede requerir posible apagado del sistema o interrupción de todos los esfuerzos de integración y pruebas de sistemas de TI. La matriz de la muestra en la Tabla 3-6 muestra cómo los niveles generales de riesgo de Alta, Media y Baja son derivada. La determinación de estos niveles de riesgo o calificaciones puede ser subjetiva. La justificación de esta justificación se puede explicar en términos de la probabilidad asignada para cada probabilidad amenaza nivel y un valor asignado para cada nivel de impacto. Por ejemplo, • La probabilidad asignada para cada nivel de probabilidad de amenaza es 1.0 para alto, 0,5 para Mediana, 0.1 para Baja • El valor asignado para cada nivel de impacto es 100 para alta, 50 de media, y 10 para Low.
SP 800-30
Página 24
Página 31
Tabla 3-6. Matriz de Riesgo de nivel Bajo (10)
Impacto Medio (50)
Alto (100)
Alta (1,0)
Bajo 10 X 1,0 = 10
Medio 50 X 1,0 = 50
Alto 100 X 1,0 = 100
Medio (0,5)
Bajo 10 X 0,5 = 5
Medio 50 X 0,5 = 25
Medio 100 X 0,5 = 50
Low (0.1)
Bajo 10 X 0,1 = 1
Bajo 50 X 0,1 = 5
Bajo 100 X 0,1 = 10
Amenaza Probabilidad
Escala de riesgo: High (> 50 a 100); Medio (> 10 a 50); Bajo (1 a 10) 8
3.7.2 Des cripción del Nivel de Ries go La Tabla 3-7 describe los niveles de riesgo que aparecen en la matriz anterior. Esta escala de riesgo, con las calificaciones de Alta, Media y Baja, representa el grado o nivel de riesgo al que un sistema informático, instalación o procedimiento podría estar expuesto si una vulnerabilidad dada fuera ejercida. La escala de riesgo también presenta acciones que la alta dirección, los propietarios de la misión, deben tomar para cada nivel de riesgo.
Tabla 3-7. Escala de Ries go y acciones necesarias Nive l de rie sgo Alto
Medio
Bajo
De scripción de rie sgos y accione s ne ce sarias Si una observación o hallazgo se evalúa como de alto riesgo, hay un fuerte necesidad de medidas correctivas. Un sistema existente puede continúan operando, sino un plan de acción correctiva debe ser puesto en marcha tan pronto como sea posible. Si una observación está clasificado como de riesgo medio, las acciones correctivas son necesaria y un plan debe ser desarrollado para incorporar estas acciones dentro de un período razonable de tiempo. Si una observación es descrito como de bajo riesgo, DAA del sistema debe determinar si aún se requieren acciones correctivas o deciden aceptar el riesgo.
http://translate.googleusercontent.com/translate_f
25/45
10/6/2014
Guía de Gestión de Riesgos párr Sistemas Informáticos
La salida de la Etapa 7 El nivel de riesgo (alto, medio, bajo)
8 Si el nivel indicado en ciertos artículos es tan bajo como para ser considerados como "insignificante" o no significativa (el valor es
View more...
Comments
