Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Nist SP 800 30

    Cargado por

    Alvaro Guarnizo
    442 vistas12 páginas

    Título original

    NIST-SP-800-30.pptx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    442 vistas12 páginas

    Nist SP 800 30

    Cargado por

    Alvaro Guarnizo

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 12

    NIST-SP-800-30

    Risk Management Guide for Information


    Technology Systems.
    (Guía de gestión de riesgos para sistemas de
    tecnología de la información)

    PRESENTADO POR: NELSON BARRERA


    DIANA PAEZ
    NIST Y SERIE SP-800
    • Instituto Nacional de Normas y Tecnología (NIST- National Institute of Standards and
    Technology), agencia federal de los estados unidos la cual promueve la innovación y la
    competitividad industrial mediante:

    El avance de
    Trazabilidad la ciencia de
    rigurosa. la medición.

    Desarrollo y
    uso de
    Estándares

    Mejorar la seguridad
    económica y calidad de vida.

    • SP-800.
    Es un conjunto de documentos que describe las políticas de seguridad informática,
    procedimientos y directrices.
    Marco de evaluación de riesgos

    PASOS:

    1.
    2. Selección. 3. Implementación.
    Caracterización. 

    5. 4.
    6. Monitoreo..
    Autorización. Evaluación.
    NIST–SP–800-30
    • Risk Management Guide for Information Technology
    Systems:
    Orientación para realizar evaluaciones de riesgos de los
    sistemas y organizaciones federales de información,
    amplificando la guía NIST-SP-800-39.
    Determinar si los riesgos
    han aumentado

    Identificación de
    factores de riesgo
    específicos para
    Proporcionar a los monitorear de forma
    líderes / ejecutivos de continua
    alto nivel la información
    necesario para
    determinar los cursos de
    acción apropiados en
    respuesta a los riesgos
    identificados.
    OBJETIVOS DEL MÉTODO

    • Aseguramiento de los sistemas de


    información que almacenan, procesan y
    trasmiten información
    • Gestión de riesgos
    • Optimizar la administración de riesgos a
    partir del resultado en el análisis de
    riesgos
    • Proteger las habilidades de la organización
    para alcanzar su misión
    PROPÓSITO DE LA NIST 800-30

    • Proveer una base para el desarrollo de la


    gestión del riesgo

    • Proveer información acerca de los controles


    de seguridad en función de la rentabilidad del
    negocio
    Conceptos:
    Evaluación de Riesgos.
    El proceso de identificar los riesgos para la seguridad del sistema
    y determinar la probabilidad de ocurrencia, el impacto resultante
    y las salvaguardas adicionales que mitigarían este impacto.

    Vulnerabilidad
    Una vulnerabilidad es una debilidad en un sistema de
    información, procedimientos de seguridad del sistema, internos
    controles, o implementación que podría ser explotada por una
    fuente de amenaza.

    Probabilidad
    La probabilidad de ocurrencia es un factor de riesgo ponderado
    basado en un análisis de la probabilidad de que ocurra una
    amenaza dada es capaz de explotar una vulnerabilidad dada (o
    conjunto de vulnerabilidades).
    Conceptos:
    Impacto
    El nivel de impacto de un evento de amenaza es la magnitud del daño que se
    puede esperar que resulte de las consecuencias de la divulgación no autorizada
    de información, la modificación no autorizada de información, destrucción no
    autorizada de información o pérdida de información o información
    disponibilidad del sistema

    Amenazas
    Una amenaza es cualquier circunstancia o evento con el potencial de
    afectar negativamente la organización operaciones y activos, individuos,
    otras organizaciones, o la Nación a través de una información sistema a
    través de acceso no autorizado, destrucción, divulgación.

    Riesgo
    Es una función de la probabilidad de ocurrencia y potencial de un evento
    de amenaza impacto adverso si ocurriera el evento.
    Proceso Gestión de Riesgos - NIST Special Publication 800-39
     

    2. Evaluar el riesgo:
    Amenazas,
    Vulnerabilidades,
    Daño, Probabilidad de
    ocurrencia. 1. Establecer el
    contexto de la
    organización.

    3. Como la organización
    responde al riesgo, y
    proporcionar respuestas en:
    4. Como se monitorea Desarrollo de acciones para
    el riesgo a lo largo del responder al riesgo, evaluar
    cursos de acción
    tiempo: Determinar la alternativos, determinar
    efectividad, identificar cursos de acción y respuesta
    cambios, verificar la a materialización de riesgos.
    implementación.
    Aplicación de Evaluaciones de
    Riesgos.
    Estrategia de Riesgos.

    Trazabilidad y transparencia -Información de toda la


    de las decisiones basadas en Nivel organización.
    el riesgo.
    1. -Tipos de respuestas de riesgo
    Conciencia de riesgo en toda
    apropiadas.
    la organización Orga Comunicación entre niveles.

    nizaci Retroalimentación para


    mejora continua.
    ón. -Decisiones de diseño de
    Nivel 2. arquitecturas empresariales /
    arquitecturas de seguridad.
    - Selección de controles comunes
    Procesos
    misionales/negocio.
    Nivel 3. -decisiones de diseño
    - decisiones de implementación
    -Decisiones operativas.
    Sistemas de Información.
    PROCESO.

    Paso 1: Prepárese para la evaluación


    Derivado del Marco de Riesgo Organizacional

    Paso 2. Evaluación de la
    conducta.
    Paso 3: Comunicación de resultados.

    Paso 4: Mantener la evaluación.


    Vista de tareas ampliadas
    Identificar fuentes y eventos de
    amenazas

    Identificar vulnerabilidades y
    condiciones predisponentes.

    Determinar la probabilidad de
    ocurrencia.

    Determinar la magnitud del impacto

    Determinar el riesgo
    GRACIAS

    También podría gustarte