AS/NZS ISO 27005 MAGERIT NIST SP 800-30

Nombre La Nueva Zelanda Norma

Australiana para Risk
Management AS / NZS
- Tcnicas de seguridad -
Gestin de riesgos de
seguridad de informacin
Anlisis de Riesgo y Metodologa de
Gestin de Sistemas de Informacin.
El NIST (National Institute of Standards
and Technology) ha dedicado una serie
de publicaciones especiales, la SP 800 a
la seguridad de la informacin.
Origen El estndar fue presentado por
Standards Australia
International y Normas de
Nueva Zelanda en 1995, y
revisado en 1994, desde
entonces ha sido
Publicado por la Organizacin
Internacional de Normalizacin
(ISO) y la Comisin
Electrotcnica Internacional
(IEC).

Desarrollado por el Consejo Superior de
Espaol de Gobierno Electrnico (CSAE)
Fue primero publicado en 1997, Riesgo
Establecido actual Metodologas de
evaluacin y herramientas
Elaborado por National Institute of
Standards and Technology
Meta La norma proporciona una gua
genrica para el proceso de
Gestin de Riesgos en un alto
nivel muy. Esto permite que sea
aplicable a un amplio rango de
sistemas, organizaciones y
actividades. Es especialmente
til utilizado no slo para la
gestin de riesgos de seguridad
de informacin, sino como un
enfoque uniforme en toda la
empresa para la gestin de
riesgos
Proporcionar directrices para la
gestin del riesgo en la
seguridad de la informacin en
una organizacin, dando
soporte particular a los
requisitos de un sistema de
gestin de seguridad de la
informacin (SGSI)
El objetivo declarado de MAGERIT es
triple: (1) poner que las partes
interesadas sean conscientes de la
existencia de riesgos y la necesidad de
tratamiento, (2) ofrecen un mtodo
sistemtico para analizar estos riesgos y
(3) ayuda en la descripcin y la
planificacin de las medidas apropiadas
para mantener los riesgos bajo control.
Adems, se pretende preparar a la
organizacin para el proceso de
evaluacin, auditora, certificacin y
acreditacin, as como promover la
uniformidad en los informes que contiene
Es una metodologa para el anlisis y
gestin de riesgos de seguridad de la
informacin, alineada y complementaria
con el resto de documentos de la serie.
los hallazgos y conclusiones del anlisis
y gestin de riesgos actividades.
Pasos Para el proceso de gestin de
riesgos que divide los
elementos del proceso de
evaluacin de riesgos en varias
sub-procesos: "Establecer el
contexto", "Identificar los
Riesgos", "analizar los riesgos",
"evaluar los riesgos" y "Trata a
los riesgos". El norma tambin
describe dos procesos que
deben ejecutarse en paralelo
con la sesiones de evaluacin
de riesgos como parte de la
Gestin de Riesgos:
"Seguimiento y revisin" y
"Comunicar y Consultar".
El proceso de Evaluacin de
Riesgos ISO 27005 se
subdivide de la siguiente
manera:
Anlisis de Riesgos 1.
(a) Riesgo de identificacin - de
posibles fuentes de prdida de
potencial (primario y de apoyo
activo, amenazas, los controles
de seguridad existentes y
previstos, las vulnerabilidades,
las consecuencias y los
negocios procesos) se
identifican.
(b) Estimacin del riesgo - el
conocimiento previamente
adquirido se usa para
cualitativamente o
cuantitativamente
medir el riesgo:
i. evaluar las consecuencias (es
decir, impacto) al valorar los
activos
MAGERIT describe el siguiente proceso
"Anlisis de Riesgos":
1. Determinar los activos relevantes para
la organizacin, sus interrelaciones y su
valor (es decir, lo perjuicio / costo se
debe a su degradacin). Los activos son
los recursos del sistema de informacin o
relacionados con l que son necesarios
para que la organizacin funcione
correctamente y alcanzar los objetivos
propuestos por su gestin.
2. Determinar las amenazas a las que
estn expuestos los activos. Las
amenazas son "cosas que pasan." De
todas las cosas que podran suceder, los
que son de inters son las que le pueden
pasar a nuestros activos y causar daos.
3. Determinar cules estn disponibles
salvaguardias y cmo son de eficaces
contra el riesgo. Salvaguardias o
contramedidas son procedimientos o
mecanismos tecnolgicos que reducen el
riesgo.
4. Estimar el impacto, definido como el
dao al activo que surge de la aparicin
El procesos de anlisis de riesgos
definido en la metodologa NIST SP 800-
30 puede resumirse en:

a. Caracterizacin del sistema.
b. Identificacin de amenazas
c. Identificacin de Vulnerabilidad
d. Anlisis de Control
e. Determinacin de la
probabilidad
f. Anlisis de Impacto
g. Determinacin de Riesgos
h. Recomendaciones de control
i. Resultados de documentacin.

ii. evaluar la probabilidad de
cada incidente por las
amenazas y vulnerabilidades
que evalan
iii. evaluar el riesgo de
consecuencias que evalan y
probabilidades
2. Evaluacin de Riesgos -
cada nivel de riesgo se
compara con el riesgo de los
criterios de aceptacin y
criterios de evaluacin de
riesgos; se crea la lista de
prioridades de los riesgos y las
opciones de tratamiento
recomendadas.
3. Mitigacin de Riesgos - se
seleccionan medidas para
reducir, retener, evitar o
transferir el riesgo y
utilizado para producir un plan
de tratamiento de riesgos
de la amenaza. Impacto es la medicin
del dao a un activo que surge de la
aparicin de una amenaza. Al conocer el
valor de los activos (en varias
dimensiones) y la degradacin causada
por la amenazas, su impacto en el
sistema se puede derivar directamente
5. Cul es el riesgo, definido como el
impacto ponderado de la tasa de
ocurrencia (o la expectativa de
apariencia) de la amenaza. El riesgo es
la medida del dao probable para el
sistema. saber
Discusin La norma tambin pone gran
nfasis en el establecimiento de
un contexto - tanto externos
como internos. En el 2009 se
integra en la ISO AS / NZS
Aunque ISO 27005 da un
esbozo general de un proceso
de evaluacin de riesgos
estructurada, sistemtica y
rigurosa que tenga en cuenta
Una visin general conceptual de cmo
se calcula cada riesgo segn la
metodologa MAGERIT es el enfoque
coherente tanto con el modelo ISO 13335
conceptual y los modelos conceptuales
Esta metodologa prioriza los niveles de
impacto asociados con la importancia de
los activos de informacin de una
organizacin basndose en una
evaluacin cualitativa o cuantitativa de la
3100: 2009 estndar
internacional, que introduce una
nueva conceptualizacin de
riesgo: de "la casualidad o
probabilidad de prdida" para
"el efecto de la incertidumbre
en los objetivos". Sin embargo,
en este caso, es la fuerza
tambin pueden abeja visto
como una debilidad. Debido a
su amplia aplicabilidad, ofrece
casi no hay directrices prcticas
para su implementacin y las
hojas que hasta el asesor real.
Para los no expertos esto
puede dar lugar a
ambigedades en relacin con
ciertas sub-procesos y su
aplicacin correcta.
todos los aspectos
organizativos (personas,
procesos y tecnologa), no lo
hace proporcionar o
recomendar un mtodo
especfico de nivel bajo con
detalles tcnicos para la
realizacin de esta actividad.
Es ni siquiera inclinarse hacia
cualitativos frente a los
enfoques cuantitativos,
simplemente dando
sugerencias sobre la
aplicabilidad y el alcance de
cada enfoque. Est dirigido a
alto nivel, las prcticas de
gestin. Una visin general de
todo el proceso de gestin de
riesgos 27005, incluyendo la
evaluacin de riesgos.

FAIR / Open Group. El mtodo MAGERIT
se divide en tres. El primero uno describe
el anlisis de riesgos mtodos en detalle.
El segundo, da derecho "Catlogo de
Elementos" sirve como una especie de
repositorio de tipos de activos comunes,
dimensiones y criterios para la evaluacin
de las mismas, las amenazas tpicas y
las mejores garantas de la prctica, as
como plantillas. Por ltimo, el tercer libro,
"Tcnicas" [46] proporciona informacin
adicional y guas sobre algunos (formal)
las tcnicas empleadas con frecuencia en
la realizacin de anlisis y gestin de
riesgos proyectos.
La documentacin tambin se describe
cmo llevar a cabo una fase de
planificacin en la preparacin de la
evaluacin, as como consejos sobre
cmo utilizar e integrar los resultados en
una Gestin de Riesgos contina
estrategia. Los documentos MAGERIT
describen la metodologa de evaluacin
de riesgos desde tres perspectivas, cada
uno lo que implica un cierto nivel de
granularidad y la abstraccin. El mtodo
se describe en un nivel alto, adecuado
para la gestin y para la comprensin de
cmo la evaluacin de riesgos debe
integrarse de una manera consistente
con una estrategia de gestin de riesgos.
criticidad de esos activos. En este paso,
es necesario vincular cada riesgo con los
componentes arquitectnicos y
determinar el impacto potencial de la
amenaza sobre los activos y,
posteriormente, establecer la magnitud
del impacto (alto, medio o bajo) que
pudiera resultar de una amenaza exitosa
Evaluacin Pros:
Est respaldado por una
extensa, la taxonoma de
riesgos normalizado y el
modelo conceptual (AS / NZS
ISO 31000)
Fuerte nfasis en el "contexto"
flexible
Contras:
Disminucin de la atencin en
el tratamiento del riesgo
Carece de la profundidad
tcnica y directrices ms
prcticas / herramientas

Pros:
Con el apoyo de una amplia y
estandarizada sobre
Taxonoma, Modelo Conceptual
y Gestin de Riesgos Marco
(ISO 13335, 2700x y 31000)
Flexibilidad en la eleccin de
bajo nivel complementario
Mtodo de evaluacin (tcnica)
Riesgo
Contras:
Proceso RA se describe en un
nivel muy abstracto
Mtodo de RA de terceros
necesaria para llevar a cabo
una con RA integral
No describe especficamente
el mtodo de anlisis de
riesgos fsicos, sino que ofrece
asesoramiento general sobre la
eleccin y el uso tales mtodos
Pros:
Presenta el proceso de evaluacin de
riesgos en los diferentes niveles de
granularidad y se puede aplicar tanto
cuantitativa y cualitativamente.
Con el apoyo de documentos tcnicos
que describen los activos, las amenazas,
las salvaguardias, criterios, tcnicas y
plantillas formales comunes.
Puede ser aplicado como un mtodo
RA independiente, pero tambin puede
ser utilizado como implementar
Informacin del Sistema de Gestin de
Seguridad.
Contras:
La versin 2 ha sido revisado por v3
MAGERIT, que slo estaba disponible en
espaol en el momento de escritura.

Activos La estimacin de acuerdo a la
criticidad para la Organizacin.
ISO 27005 cubre Personas,
Procesos y Tecnologa.
MAGERIT considera como activos a
recursos que tienen un valor para la
entidad en funcin al servicio que le
NIST no se ocupa de los recursos
humanos como un posible activo de la
organizacin.
presta.
Caractersticas
Ayuda a la toma de
decisiones importantes
en la organizacin.
Ayuda a mitigar
prdidas cuantitativas
de la organizacin.
Involucra el contexto ,
anlisis, evaluacin,
comunicacin y el
monitoreo en curso de
los riesgos
Identificacin oportuna
de amenazas.
Reduce prdidas.
Garantiza conformidad
con las normas
estatales.
Gestin pro activa y no
reactiva.
Sirve como medio de
control interno y
externo.

Evala el riesgo de
cada aspecto y de
esta manera tomar
decisiones adecuadas.
Asegurar mejor los
sistemas de
informticos que
almacenan, procesan
y trasmiten
informacin.
Utiliza mismas
tcnicas de
recopilacin que NIST
SP 800-30 con la
adicin a la
observacin de los
procesos
mencionados en
polticas de la
organizacin

Se basa en el anlisis del
impacto que puede tener para la
empresa la violacin de la
seguridad, identificando
amenazas.
Ayuda a identificar y planificar
las medidas para tener los
riesgos bajo control.
Preparar a la Organizacin para
procesos de evaluacin,
auditora, certificacin o
acreditacin

Optimiza la administracin de
riesgos a partir del resultado en
el anlisis de riesgos.
NIST menciona papeles en la
metodologa, pero no crea un
equipo de evaluacin.
NIST utiliza tcnicas tpicas para
la recopilacin de informacin,
como cuestionarios, entrevistas
y revisin de documento.
incorpora las fases: Inicial
(requerimientos y objetivos),
desarrollo (conceptos y diseo),
implementacin (pruebas
iniciales) y mantenimiento
(usado por las dependencias)