Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Tabla Comparativa Magerit - Nist

    Загружено:

    Vanessa Gomez
    4K просмотров4 страницы

    Оригинальное название

    Tabla Comparativa Magerit -Nist

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    4K просмотров4 страницы

    Tabla Comparativa Magerit - Nist

    Загружено:

    Vanessa Gomez

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 4

    Tabla Comparativa Analisis de Riesgos Nist y Magerit 

    ¿ QUE ES  NIST ?
    La  nist    (   Instituto Nacional de Normas  y Tecnología  ) es  una organización de administración   de 
    tecnología   del   departamento   de   comercio   de   estados   unidos   que   tiene   como   función     mejorar   la 
    competitividad industrial  por medio de avances en campos como la metrología, normas y tecnología  a 
    fin de establecer seguridad y  buenas practicas en los procesos.
    Una de las normas que a desarrollado es la ( nist SP 800­30 ) que define los procedimientos para el 
    análisis de Riesgos de los sistemas de información.
    ¿ Que es Magerit ?
    Magerit ( Metodología de análisis y Gestión de Riesgos de los Sistemas de Información ),  desarrollada 
    por   CSAE  (   Consejo Superior de Administración  Electrónica ) debido  al creciente  uso de   medios 
    electrónicos para el manejo de la información en esta norma se definen las practicas adecuadas para 
    manipular la información en dichos medios de forma mas segura
    ¿ Por que Magerit ?
    Esta   norma   ayuda   a   implementar   un   sistema   de   gestión   y   análisis   de   Riesgos   de   los   sistemas   de 
    información de forma organizada ya que esta estructurada en procesos bien definidos .
    VENTAJAS:
    – Ofrece un método sistematizado para analizar los Riesgos
    – Ayuda a identificar y planificar medidas necesarias para reducir los Riesgos
    – Herramientas que ayudan a facilitar el análisis de Riesgos  ( PILAR)
    Tabla Comparativa Magerit – Nist 

    MAGERIT NIST SP 800­30
    Metodología de análisis  y Gestión de Riesgos  Instituto Nacional de Normas Y Tecnologías
    de los  Sistemas de Información
    OBJETIVOS OBJETIVOS

    ­   Generar   conciencia   a   los   administradores   de  ­ Asegurar mejor los sistemas de informáticos que


    sistemas   sobre   la   existencia     de   riesgos   y   la    almacenan, procesan y trasmiten información
    necesidad de prevenirlos.
    ­ Permitir y gestionar los Riesgos 
    ­ Ofrecer una metodología sistematizada para analizar 
    los Riesgos ­ Mejorar la administración a partir de los
       Resultados del análisis de Riesgos
    ­  Ayudar   a   identificar   y   planificar   las   medidas   para 
    tener los riegos bajo control

    METODOLOGIA METOLOLOGIA

    – análisis de Riesgos ­  Caracterización
    – Activos ­  Identificación de las Amenazas
    – Tipos ­  Identificación Vulnerabilidades
    ­  Analisis de Control 
    – Dependencias
    ­  Determinación de la probabilidad
    – Amenazas
    ­  Analisis del Impacto
    – Determinación del riesgo
    ­  Determinación del riesgo
    – Activos ­  Recomendaciones de Control
    – Salvaguardas ­  Resultados Documentación
    – Selección de salvaguardas

    ANALISIS DE RIESGOS CARACTERIZACION

    ­ Determinar lo que tiene la organización y lo que  Se utiliza para caracterizar un Sistema 
      Podría pasar De TI y Su entorno operativo

    ­ Identificar los activos relevantes para  la         ­  Hardware


      organización ­  Software 
    ­  Sistema de Interfaces conectividad interna y 
    ­ Determinar las amenazas a las que están     externa
      expuestos ­  Datos y Información
    ­  Personas que apoyan y utilizan el sistema
    - Determinar impacto,daño sobre el activo ­  Criticidad de los Datos
    debido a la materialización de una (amenaza)
    ACTIVOS IDENTIFICACION DE AMENAZAS
    Recursos que tienen un valor para la entidad  Identificar y Listar Amenazas potenciales
    en función al servicio que le presta 
      ­  detección de Métodos dirigidos a Explotar una
       vulnerabilidad
    ­  Situación que accidental o intencionalmente puedan
       llevar a la materialización de una amenaza
    TIPOS VULNERABILIDADES

    Servicios: comunicación, administración ( etc ) Elaborar lista de Vulnerabilidades (defectos y puntos 


    Aplicaciones informáticas: que permiten débiles), que podrían Ser explotados por 
    manipular los datos una Amenaza
    Equipos: para la operación de los sistemas
    Soportes de Información: dispositivos ­  Hardware 
    Para el almacenamiento de los datos ­  Software
    Equipamiento Auxiliar: impresoras, scaner etc  ­  Personal
    Redes de comunicación: para intercambio de ­  Instalaciones 
    datos
    Instalaciones: lugar que aloja los equipos
    informáticos y de comunicación
    Personal: Encargados de operar dichos equipos

    DEPENDENCIAS  ANALISIS DE CONTROL

    Que activos dependen de cuales y como: Analiza los controles implementados por  la 
    empresa para la reducción de la  reducción de la
    ­ Información – Medios de almacenamiento (probabilidad), que una amenaza se materialice
    sobre el sistema

    ­  Detección de intrusos 
    ­  Control de la ejecución,acceso,cifrado y 
       Autenticación
    AMENAZAS DETERMINACION DE PROBABILIDAD

    ­ Determinar la amenaza para cada activo  Obtiene una clasificación global del riesgo que
       Factores: indica la probabilidad de de que una vulnerabilidad 
     Degradación: Cuanto perjudicaría el  Activo materialice una amenaza
     Frecuencia: Cada cuanto se materializa  la Amenaza
    Factores:
    ­  Amenaza 
    ­  Naturaleza de la Vulnerabilidad
    ­  Existencia y Eficacia de los controles actuales

    DETERMINACION DEL RIESGO ANALISIS DE IMPACTO

    ­  Daño probable sobre el sistema o  activos  Medición del nivel de Riesgo para determinar
    ­  El riesgo aumenta con la frecuencia y el impacto efectos adversos derivados derivados de la 
    materialización de una amenaza

    Función   del   sistema   (procesos   realizados   por   el 


    sistema)
    ­  Criticidad y sensibilidad de los datos
    ­  Servicios críticos 
    SALVAGUARDAS DETERMINACION DEL RIESGO

    ­ Medidas o mecanismos para mitigar  los    Evalúa el nivel de riesgo para el sistema. 
      Riesgos
      Función: ­  Reducir  las amenazas ­  Determinando la amenaza y la fuente de la misma
                     ­  Limitar el daño Causado ­  Magnitud del impacto al materializarse una
       amenaza
     

    SELECCION  SALVAGUARDAS RECOMENDACIONES DE CONTROL

    ­ Tomar medidas que permitan reducir tanto  el  Dar a conocer los controles para la reducción de los 
       Riesgo como el Impacto Riesgos en los sistemas de las T.I, teniendo 
    en cuenta los siguientes factores:
    ­ Técnicas Efectivas para enfrentar las     
      Amenazas ­  Eficacia de las soluciones implantadas
    ­  Legislación y Regulación
    ­  Impacto operativo
    ­  Seguridad y Fiabilidad

    DOCUMENTACION
    Una vez terminada la evaluación de  Riesgos y 
    vulnerabilidades y amenazas Realizar un informe de 
    los Resultados Obtenidos para posteriores análisis 

    Вам также может понравиться