La seguridad en los sistemas y estructuras IT es un tema de relevante importancia que concierne no solo a las organizaciones gubernamentales y privadas, también a nosotros mismos.
Estamos en la era de la información, donde los datos se han convertido en un activo de valor apreciable. muchos procesos empresariales de vital importancia son controlados digitálmente. Además, la cantidad de información confidencial que es almacenada, manipulada y transmitida a través de redes o diferentes canales de comunicación es cada día mayor.
Sistemas de Gestión de Seguridad de la Información dirigida a el are directiva, es Compatible con la norma ISO 27001 y cumple con las estrategias y recomendaciones de ISO 13335 y 17799 (27002)
Análisis de la estructura IT:
- ¿Qué dispositivos hay en mi sistema de Informacion?
- ¿Cuáles son las dependencias entre estod dispositivos?
- ¿Como se relaciona Informacion?
Se define el ámbito de aplicación para la creación del concepto de seguridad, y su relacion en la totalidad la infraestructura, personas y componentes técnicos que hacen parte de la organización.
Se analiza el desempeño y las funciones en una aplicación particular. Por ejemplo, el procesamiento de la información o la utilización de recursos informáticos.
El analisis de la forma en que se relaciona la información incluye:
* La estructura IT de toda la organización
* La estructura IT de cada una de las áreas individuales (por ejemplo, el departamento de redes) o las aplicaciones informáticas (por ejemplo, el sistema de información del personal)
* Los procesos de negocio
Subtareas del Análisis Estructural:
* El registro de los procesos de negocio, aplicaciones y la información relacionada
* Creación o actualización la topología de red
* Evaluación de los sistemas IT
* Encuesta de sistemas de TI
* Creación y adaptacion de espacios seguros
* Reducción de la complejidad formando pequeños grupos de evaluación
Requisitos de protección:
Evaluación de los requisitos de confidencialidad, integridad y disponibilidad (Normal - alto - muy alto)
la necesidad de protección no suele ser fácilmente cuantificable, por lo tanto está limitada a tres categorías:
- "Normal": Los efectos de los daños son limitados y manejables.
- "Alto": Los efectos de daño pueden ser ser sustanciales.
- "Muy alto": Los efectos y alcance de daño puede ser amenazante y catastróficos para la existencia de la organización
Pasos de los Requisitos de protección
- Definición de las categorías Requisitos de protección
- Solicitudes, incluyendo sus datos Sistemas de TI
- Enlaces de comunicación
- Aulas de informática
- el uso de escenarios típicos de los daños
- Documentación de los resultados
Requisitos de protección de los sistemas IT
* Principio Máximo: En un sistema de TI pueden ejecutar múltiples aplicaciones. En esencia se determina el daño con la más grave y el Impacto de las necesidades de protección del sistema de TI.
Efecto acumulativo: Causada por la acumulación de varios (por ejemplo, más pequeño) un daño
mayor daño total general. Los requisitos de protección del sistema de TI
aumenta en consecuencia.
Distribución de efecto: Una aplicación transfiere su exigencia de una alta protección no se basa en un sistema de TI, ya que ejecuta en este sistema de TI sólo pequeñas partes de la aplicación de TI.
Con un diseño de sistema redundante es las necesidades de protección de los componentes individuales inferiores a los requisitos de protección de la aplicación en general.
Comprobación de seguridad básica:
- Objetivo de comparación
- Posible implementación de todas las medidas
Comparación real de las medidas Realizadas con las medidas Recomendadas para proceder a su implementación:
Estado de la aplicación de medidas
- <Sí> La medida se aplica plena y eficazmente.
- <Indispensable> hay otras medidas o La amenaza no existe.
- <parcialmente> La medida está parcialmente implementado.
- <No> La medida no se aplica.
Medidas
A: medidas esenciales
A + B: medidas más importantes
A + B + C: las medidas pertinentes
Z: medidas adicionales
W: Conocimiento
Comprobación de seguridad básica:
- Deben compararse
- Posible implementación de todas las medidas
análisis complementario de seguridad:
- Del mismo modo detallado análisis de riesgo
- A diferencia de otros métodos: "Peligros" como una combinación de Amenazas y vulnerabilidades
Norma: BSI 100-3 Análisis de riesgos basados en los catalogos de IT Grundschutz
1. Preparación de Amenaza de resumen
2. Identificación de los adicionales Peligros
3. Evaluación de riesgos
4. Medidas para la selección y tratamiento de los riesgos
5. Consolidación del Concepto de seguridad
El tratamiento de los riesgos
Transferir
Monitoreo... pag 30
Herramienta de línea de base de TI de Protección
Apoyo para
• Aplicación de un análisis de GS
• Generación de informes
• Certificación
Costo:
• alrededor de € 900 para la versión de usuario único,
• Versión de prueba gratuita por 30 días
La certificación ISO 27001 con las bases IT GS
sobre la base de la protección basal TI
ISO 27001 + Protección de lineabase
Fases de certificación de la norma ISO 27001 -
Inicialización
• Certificación de la aplicación
• Autoridad para llevar a cabo una auditoría
• Si es necesario. Coordinación de la Red de Información
Realización de la auditoría
• Revisión de la documentación
• Preparación de las actividades de auditoría en el sitio
• Llevar a cabo auditorías de los locales
Re-certificación de la Auditoría
• la ejecución de las actividades de auditoría en el sitio
Revisión de las auditorías
• Elaboración de informes de auditoría
• Revisión
IT de referencia la certificación de protección desde el año 2006
Una certificación de las partidas del balance ...
incluye tanto una revisión del SGSI y el hormigón
Las medidas de seguridad sobre la base de la protección de referencia de TI,
siempre incluye una certificación oficial de la ISO a la norma ISO 27001,
Sin embargo, debido a los aspectos técnicos, además, examinados
mucho más significativa que una pura certificación ISO.
Autorizado por los auditores BSI ...
cumplir todos los requisitos que la ISO es para los auditores de un SGSI (ISO 27006)
Certificado de Protección de línea de base
Nivel de Entrada: Auditor Certificado, medidas indispensables (A)
Nivel Avanzado: Auditor Certificado, Medidas importantes (A + B)
Certificado: Medidas relevantes (A + B + C), pruebas delSGSI despues de ISO 27001
¿Por qué certificarce?
Optimización de los procesos internos
- funcionamiento ordenado de TI efectivo
- a medio plazo ahorro de costes
Nivel de seguridad de TI se puede medir
Aumentar el atractivo para los clientes y socios de negocios con requisitos de alta seguridad
Los empleados y la gestión se identifican con Los objetivos de TI de seguridad y se sienten orgullosos de nuestros logros
Página 44
Las experiencias con la certificación
La certificación es adecuado para las pequeñas empresas, tales como
adecuado para grandes centros de datos!
La aplicación de la protección básica de TI: 6 - 12 meses
Los gastos del auditor: 15 - 30 días
Factores de éxito:
- Apoyo a la gestión
- La comprensión, la cooperación y la activa El apoyo de la TI y los gerentes de telecomunicaciones
- agrupación coherente
- Herramienta de Apoyo
Página 45
Licencia de Auditor ISO 27001
La licencia es el punto de partida del Auditor y es válida por 5 años.
De formación anual sobre la reunión libre de los auditores
Una extensión de la validez
es una nueva aplicación
posible
descargarse del sitio web: www.bsi.bund.de/gshb/zert/auditoren/lizensierungsschema.htm
Guia de Segurida IT
• Información básica para PYMEs
• Las medidas de fracaso (50)
• Listas de comprobación
La protección básica GSTOOL
• Formación de la metodología
• Auto-estudio
• cada 4 horas
El proceso de seguridad de TI que ella propone-Grundschutz consta de los siguientes pasos:
R.A. Fases método apropiado para
La identificación de riesgos: Cada módulo de TI-Grundschutz contiene una lista de las amenazas típicas. Las amenazas también se clasifican en 5 catálogos de amenazas. Identificación de las amenazas adicionales se lleva a cabo durante el análisis de riesgo suplementario.
La caracterización del riesgo es el resultado de la evaluación de las necesidades de protección. Para este propósito, las categorías de protección requisito se definen y escenarios posibles daños son asignados a estas categorías de protección requisito. Una caracterización del riesgo que se den más en el análisis de riesgo complementaria, cuando los riesgos se caracteriza con la ayuda de la decisión de asignar de la forma de manejar
El análisis de riesgos: Para cada amenaza, contenida en un módulo, una descripción detallada de la rosca se proporciona.
La evaluación del riesgo: Una evaluación de la exposición se realiza dentro de la evaluación de los requisitos de protección con la ayuda de escenarios de daños. Por las amenazas identificadas en el marco de un análisis de riesgo adicional, la evaluación de la exposición se lleva a cabo durante la fase de la evaluación de las amenazas.
R.M. Fases método apropiado para la evaluación de riesgos:
El tratamiento de riesgos: Los catálogos de dispositivos de seguridad recomendados. Descripción detallada de las garantías asignadas a cada módulo de TI Grundschutz. Asignación de las salvaguardias a las amenazas consideradas (cruzar las tablas de referencia).
Aceptación del riesgo: El análisis de riesgos basado en TI-Grundschutz ", amenazas de manipulación" en la Parte C.