Australiana para Risk Management AS / NZS - Tcnicas de seguridad - Gestin de riesgos de seguridad de informacin Anlisis de Riesgo y Metodologa de Gestin de Sistemas de Informacin. El NIST (National Institute of Standards and Technology) ha dedicado una serie de publicaciones especiales, la SP 800 a la seguridad de la informacin. Origen El estndar fue presentado por Standards Australia International y Normas de Nueva Zelanda en 1995, y revisado en 1994, desde entonces ha sido Publicado por la Organizacin Internacional de Normalizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).
Desarrollado por el Consejo Superior de Espaol de Gobierno Electrnico (CSAE) Fue primero publicado en 1997, Riesgo Establecido actual Metodologas de evaluacin y herramientas Elaborado por National Institute of Standards and Technology Meta La norma proporciona una gua genrica para el proceso de Gestin de Riesgos en un alto nivel muy. Esto permite que sea aplicable a un amplio rango de sistemas, organizaciones y actividades. Es especialmente til utilizado no slo para la gestin de riesgos de seguridad de informacin, sino como un enfoque uniforme en toda la empresa para la gestin de riesgos Proporcionar directrices para la gestin del riesgo en la seguridad de la informacin en una organizacin, dando soporte particular a los requisitos de un sistema de gestin de seguridad de la informacin (SGSI) El objetivo declarado de MAGERIT es triple: (1) poner que las partes interesadas sean conscientes de la existencia de riesgos y la necesidad de tratamiento, (2) ofrecen un mtodo sistemtico para analizar estos riesgos y (3) ayuda en la descripcin y la planificacin de las medidas apropiadas para mantener los riesgos bajo control. Adems, se pretende preparar a la organizacin para el proceso de evaluacin, auditora, certificacin y acreditacin, as como promover la uniformidad en los informes que contiene Es una metodologa para el anlisis y gestin de riesgos de seguridad de la informacin, alineada y complementaria con el resto de documentos de la serie. los hallazgos y conclusiones del anlisis y gestin de riesgos actividades. Pasos Para el proceso de gestin de riesgos que divide los elementos del proceso de evaluacin de riesgos en varias sub-procesos: "Establecer el contexto", "Identificar los Riesgos", "analizar los riesgos", "evaluar los riesgos" y "Trata a los riesgos". El norma tambin describe dos procesos que deben ejecutarse en paralelo con la sesiones de evaluacin de riesgos como parte de la Gestin de Riesgos: "Seguimiento y revisin" y "Comunicar y Consultar". El proceso de Evaluacin de Riesgos ISO 27005 se subdivide de la siguiente manera: Anlisis de Riesgos 1. (a) Riesgo de identificacin - de posibles fuentes de prdida de potencial (primario y de apoyo activo, amenazas, los controles de seguridad existentes y previstos, las vulnerabilidades, las consecuencias y los negocios procesos) se identifican. (b) Estimacin del riesgo - el conocimiento previamente adquirido se usa para cualitativamente o cuantitativamente medir el riesgo: i. evaluar las consecuencias (es decir, impacto) al valorar los activos MAGERIT describe el siguiente proceso "Anlisis de Riesgos": 1. Determinar los activos relevantes para la organizacin, sus interrelaciones y su valor (es decir, lo perjuicio / costo se debe a su degradacin). Los activos son los recursos del sistema de informacin o relacionados con l que son necesarios para que la organizacin funcione correctamente y alcanzar los objetivos propuestos por su gestin. 2. Determinar las amenazas a las que estn expuestos los activos. Las amenazas son "cosas que pasan." De todas las cosas que podran suceder, los que son de inters son las que le pueden pasar a nuestros activos y causar daos. 3. Determinar cules estn disponibles salvaguardias y cmo son de eficaces contra el riesgo. Salvaguardias o contramedidas son procedimientos o mecanismos tecnolgicos que reducen el riesgo. 4. Estimar el impacto, definido como el dao al activo que surge de la aparicin El procesos de anlisis de riesgos definido en la metodologa NIST SP 800- 30 puede resumirse en:
a. Caracterizacin del sistema. b. Identificacin de amenazas c. Identificacin de Vulnerabilidad d. Anlisis de Control e. Determinacin de la probabilidad f. Anlisis de Impacto g. Determinacin de Riesgos h. Recomendaciones de control i. Resultados de documentacin.
ii. evaluar la probabilidad de cada incidente por las amenazas y vulnerabilidades que evalan iii. evaluar el riesgo de consecuencias que evalan y probabilidades 2. Evaluacin de Riesgos - cada nivel de riesgo se compara con el riesgo de los criterios de aceptacin y criterios de evaluacin de riesgos; se crea la lista de prioridades de los riesgos y las opciones de tratamiento recomendadas. 3. Mitigacin de Riesgos - se seleccionan medidas para reducir, retener, evitar o transferir el riesgo y utilizado para producir un plan de tratamiento de riesgos de la amenaza. Impacto es la medicin del dao a un activo que surge de la aparicin de una amenaza. Al conocer el valor de los activos (en varias dimensiones) y la degradacin causada por la amenazas, su impacto en el sistema se puede derivar directamente 5. Cul es el riesgo, definido como el impacto ponderado de la tasa de ocurrencia (o la expectativa de apariencia) de la amenaza. El riesgo es la medida del dao probable para el sistema. saber Discusin La norma tambin pone gran nfasis en el establecimiento de un contexto - tanto externos como internos. En el 2009 se integra en la ISO AS / NZS Aunque ISO 27005 da un esbozo general de un proceso de evaluacin de riesgos estructurada, sistemtica y rigurosa que tenga en cuenta Una visin general conceptual de cmo se calcula cada riesgo segn la metodologa MAGERIT es el enfoque coherente tanto con el modelo ISO 13335 conceptual y los modelos conceptuales Esta metodologa prioriza los niveles de impacto asociados con la importancia de los activos de informacin de una organizacin basndose en una evaluacin cualitativa o cuantitativa de la 3100: 2009 estndar internacional, que introduce una nueva conceptualizacin de riesgo: de "la casualidad o probabilidad de prdida" para "el efecto de la incertidumbre en los objetivos". Sin embargo, en este caso, es la fuerza tambin pueden abeja visto como una debilidad. Debido a su amplia aplicabilidad, ofrece casi no hay directrices prcticas para su implementacin y las hojas que hasta el asesor real. Para los no expertos esto puede dar lugar a ambigedades en relacin con ciertas sub-procesos y su aplicacin correcta. todos los aspectos organizativos (personas, procesos y tecnologa), no lo hace proporcionar o recomendar un mtodo especfico de nivel bajo con detalles tcnicos para la realizacin de esta actividad. Es ni siquiera inclinarse hacia cualitativos frente a los enfoques cuantitativos, simplemente dando sugerencias sobre la aplicabilidad y el alcance de cada enfoque. Est dirigido a alto nivel, las prcticas de gestin. Una visin general de todo el proceso de gestin de riesgos 27005, incluyendo la evaluacin de riesgos.
FAIR / Open Group. El mtodo MAGERIT se divide en tres. El primero uno describe el anlisis de riesgos mtodos en detalle. El segundo, da derecho "Catlogo de Elementos" sirve como una especie de repositorio de tipos de activos comunes, dimensiones y criterios para la evaluacin de las mismas, las amenazas tpicas y las mejores garantas de la prctica, as como plantillas. Por ltimo, el tercer libro, "Tcnicas" [46] proporciona informacin adicional y guas sobre algunos (formal) las tcnicas empleadas con frecuencia en la realizacin de anlisis y gestin de riesgos proyectos. La documentacin tambin se describe cmo llevar a cabo una fase de planificacin en la preparacin de la evaluacin, as como consejos sobre cmo utilizar e integrar los resultados en una Gestin de Riesgos contina estrategia. Los documentos MAGERIT describen la metodologa de evaluacin de riesgos desde tres perspectivas, cada uno lo que implica un cierto nivel de granularidad y la abstraccin. El mtodo se describe en un nivel alto, adecuado para la gestin y para la comprensin de cmo la evaluacin de riesgos debe integrarse de una manera consistente con una estrategia de gestin de riesgos. criticidad de esos activos. En este paso, es necesario vincular cada riesgo con los componentes arquitectnicos y determinar el impacto potencial de la amenaza sobre los activos y, posteriormente, establecer la magnitud del impacto (alto, medio o bajo) que pudiera resultar de una amenaza exitosa Evaluacin Pros: Est respaldado por una extensa, la taxonoma de riesgos normalizado y el modelo conceptual (AS / NZS ISO 31000) Fuerte nfasis en el "contexto" flexible Contras: Disminucin de la atencin en el tratamiento del riesgo Carece de la profundidad tcnica y directrices ms prcticas / herramientas
Pros: Con el apoyo de una amplia y estandarizada sobre Taxonoma, Modelo Conceptual y Gestin de Riesgos Marco (ISO 13335, 2700x y 31000) Flexibilidad en la eleccin de bajo nivel complementario Mtodo de evaluacin (tcnica) Riesgo Contras: Proceso RA se describe en un nivel muy abstracto Mtodo de RA de terceros necesaria para llevar a cabo una con RA integral No describe especficamente el mtodo de anlisis de riesgos fsicos, sino que ofrece asesoramiento general sobre la eleccin y el uso tales mtodos Pros: Presenta el proceso de evaluacin de riesgos en los diferentes niveles de granularidad y se puede aplicar tanto cuantitativa y cualitativamente. Con el apoyo de documentos tcnicos que describen los activos, las amenazas, las salvaguardias, criterios, tcnicas y plantillas formales comunes. Puede ser aplicado como un mtodo RA independiente, pero tambin puede ser utilizado como implementar Informacin del Sistema de Gestin de Seguridad. Contras: La versin 2 ha sido revisado por v3 MAGERIT, que slo estaba disponible en espaol en el momento de escritura.
Activos La estimacin de acuerdo a la criticidad para la Organizacin. ISO 27005 cubre Personas, Procesos y Tecnologa. MAGERIT considera como activos a recursos que tienen un valor para la entidad en funcin al servicio que le NIST no se ocupa de los recursos humanos como un posible activo de la organizacin. presta. Caractersticas Ayuda a la toma de decisiones importantes en la organizacin. Ayuda a mitigar prdidas cuantitativas de la organizacin. Involucra el contexto , anlisis, evaluacin, comunicacin y el monitoreo en curso de los riesgos Identificacin oportuna de amenazas. Reduce prdidas. Garantiza conformidad con las normas estatales. Gestin pro activa y no reactiva. Sirve como medio de control interno y externo.
Evala el riesgo de cada aspecto y de esta manera tomar decisiones adecuadas. Asegurar mejor los sistemas de informticos que almacenan, procesan y trasmiten informacin. Utiliza mismas tcnicas de recopilacin que NIST SP 800-30 con la adicin a la observacin de los procesos mencionados en polticas de la organizacin
Se basa en el anlisis del impacto que puede tener para la empresa la violacin de la seguridad, identificando amenazas. Ayuda a identificar y planificar las medidas para tener los riesgos bajo control. Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin
Optimiza la administracin de riesgos a partir del resultado en el anlisis de riesgos. NIST menciona papeles en la metodologa, pero no crea un equipo de evaluacin. NIST utiliza tcnicas tpicas para la recopilacin de informacin, como cuestionarios, entrevistas y revisin de documento. incorpora las fases: Inicial (requerimientos y objetivos), desarrollo (conceptos y diseo), implementacin (pruebas iniciales) y mantenimiento (usado por las dependencias)