guia seguridad informatica
TRANSCRIPT
ACTIVIDAD DE APRENDIZAJE 1.1
1. Elabore un mapa conceptual sobre el estándar NIST SP 800-60 vol.1 rev.1
Evaluación de Impacto
NIST SP 800-60 vol.1 rev.1
Objetivos de seguridad
Confidencialidad
Integridad
Disponibilidad
Bajo
Moderado
Alto
Asignación de los niveles de impacto
Procesos de entrada
Identificar los tipos de información
Seleccione los
niveles provisionales
de impacto
Revise los niveles
provisionales de
impacto
Asignar categoría sistema de seguridad
Ajustar/Finalizar niveles de información de impacto
Procesos de salida
Categorización de seguridad
Selección de control seguridad
Actividad de aprendizaje 1.2
1. Elabore un mapa conceptual sobre el estándar NIST SP 800-30
NIST SP 800-30
ENTRADAS ACTIVIDADES
- Hardware
- Software
- Interfaces entre sistemas
- Datos e información
- Personal
- Misión de los sistemas
- Histórico de ataques
- Datos de agencias de inteligencia: NIPC, OIG, FedCIRC
- Datos de medios de comunicación.
- Informes de
evaluaciones de
riesgos anteriores
- Resultados de
auditorías
- Requerimientos de
seguridad
- Resultados de pruebas
de seguridad
- Controles actuales
- Controles planificados
- Motivación para los
ataques
- Capacidad de las
amenazas
- Naturaleza de las
vulnerabilidades
- Controles actuales
- Análisis de impacto
sobre la misión
- Valoración de la
criticidad de los
activos
- Criticidad de datos
- Sensibilidad de datos
- Naturaleza de las
- Probabilidad de
explotación de las
amenazas
- Magnitud de los
impactos
- Adecuación de los
controles actuales y
planificados
SALIDAS
Paso 1: Caracterización de sistemas
Paso 2: Identificación de amenazas
Paso 3: Identificación de vulnerabilidades
Paso 4: Análisis de controles
Paso 5: Determinación de probabilidades
Paso 6: Análisis de impacto
- Pérdida de integridad
- Pérdida de disponibilidad
- Pérdida de confidencialidad
Paso 7: Determinación de riesgo
Paso 8: Recomendación de controles
Paso 9: Documentación de resultados
- Fronteras del sistema
- Funciones del sistema
- Criticidad de datos y sistemas
- Sensibilidad de datos y sistemas
Definición de amenazas
Lista de vulnerabilidades
potenciales
Lista de controles actuales
y planificados
Rating de probabilidades
Rating de impactos
Riesgos y niveles de riesgo
Controles recomendados
Informe de valoración de
riesgos