Objetivos
• Estandariza los procedimientos del Sistema de gestión de seguridad• Recopila las normas y medidas de seguridad as para los requisitos de protección medio
Punto de partida
• IT Manual de referencia de Protección del BSI (BSI IT Baseline Protection)• ISO / IEC TR 13335
• ISO / IEC 27001
Requisitos
• Compatible con los estándares enfoque unificado• Las leyes austríacas y las normas
• Hace parte del ciclo de vida de todo el sistema
Proceso de Gestión de seguridad SIHB
Nivel 1> Desarrollo de las Políticas de Seguridad de la Información
Contenido:
- Objetivos y estrategias para la seguridad de la información ¿Qué queremos lograr? ¿Cómo lograr los objetivos fijados?
- Responsabilidades y Organización en la seguridad de la información ¿Quién hace qué? Definición del personal técnico y roles específicos dentro de la organización, derechos obligaciones y generación de informes.
- Estrategia de Análisis de riesgos ¿Como se identifican los riesgos en general? ¿Cómo los manejamos?, Identificación y evaluación de riesgos, su aceptación y minimización.
- Clasificación de datos ( El manejo de información clasificada, confidencialidad, protección de datos)¿Cómo se clasifica la información? ¿Quién los clasifica?, Confidencialidad, Privacidad e Integridad.
- Clasificación de las aplicaciones y sistemas BCP ¿Cuáles son los requisitos de disponibilidad? Planeamientos que garanticen la continuidad del negocio.
- Actividades de seguimiento ¿Cómo se puede mantener la seguridad se a largo plazo?
Nivel 2> Análisis de Riesgos ISO/IEC 27005
Riesgo: Posibilidad de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos para causar daño a una organización. Es una medida que combina la probabilidad de que ocurra un suceso y las consecuencias que generaría.
Amenaza: Causa potencial de un incidente que pueda causar daño al sistema u organización
Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.
Gestión de Riesgos
El análisis de Riesgos integra la Identificación y Evaluación de Riesgos.
Identificación y Evaluación de Riesgos
El riesgo se mide en función del valor de los activos, Amenazas, Vulnerabilidades, probabilidad de que un incidente de seguridad cause daños en el sistema, y ademas de la evaluación del impacto y las consecuencias que se generan después de dicho incidente. [http://www.enisa.europa.eu/act/rm]
Nivel 3>Generación del Concepto de Seguridad
Catalogos con medidas de seguridad
Manual de Protección de Línea base (BSI): Gran herramienta de Apoyo con mas de alrededor de 1200 medidas de seguridad genéricas y para productos específicos.
Asignación de medidas como "bloques de construcción"
Asignación de medidas como "bloques de construcción"
Manual Austriaco de Seguridad de la información: Österreichisches Informationssicherheitshandbuch.Los capítulos 5 al 15 poseen aproximadamente 300 medidas, Específico para Austria y no posee medidas específicas para productos.
ISO/IEC 27002 (antes ISO/IEC 17799): Posee 133 medidas genéricas de seguridad, Es básicamente una lista de verificación que se centra en los puntos débiles de una organización.
Para
hablar de aceptación de riesgos es necesario aclarar que ningún sistema
es completamente infalible, así se posean sistemas de gestión de
seguridad que minimicen los daños de un incidente de seguridad.
El riesgos residual es esa porción inminente de riesgo, que permanece desconocida hasta que algún trastorno en el sistema la hace visible. A
pesar de que los sistemas sean redundantes existen factores de riesgo
fortuitos que se pueden predecir para minimiza los efectos que se
presenten. Estos riesgos deben cuantificarse y evaluarse, así tomar la decisión del nivel de aceptación de los riesgos residuales.
Normas de seguridad
- Requisitos básicos y las directrices para la seguridad en un sistema de IT
- Detalles de las medidas de seguridad seleccionadas
Razones para la selección
Plan de Seguridad
- Como se aplican las medidas de seguridad elegidas
- Prioridades y planificación de los recursos
- Cronogramas
- Responsabilidades
- Medidas de formación y sensibilización
- Pruebas e inspección (proceso, citas)
- Evaluación del riesgo residual
Nivel 4> Implementación del plan de seguridad
La documentación estar Actualizada, completa, con alto nivel de detalle, ademas debe ser confiable y contar con control de versiones e integridad
Concientización y capacitación
- Información sobre todos las políticas y medidas de seguridad , ademas de las acciones necesarias a seguir en caso de eventos relacionados con la seguridad.
- Acontecimientos regulares y publicaciones
- Capacitación, cambios significativos y mejoras
- Herramienta de apoyo y multimedia son útiles para entrenar a los empleados sobre las funciones específicas que deben seguir para proteger la información.
Acreditación: Liberación del sistema TI para operar en un ambiente especial
Objetivo: garantizar la seguridad del sistema de información
Objetivo: garantizar la seguridad del sistema de información
- En un entorno operativo específico
- Bajo ciertas condiciones
- Para el periodo de tiempo determinado
- Comprobación del Cumplimiento de las medidas de seguridad
- Pruebas
- Evaluación y Certificación
Nivel 5> Operación del proceso de seguridad de la Información
Gestión de Cambios
- Identificación de nuevas necesidades de seguridad como resultado de los cambios que se han generado en el sistema
- Respuestas adecuada a todos los cambios relevantes relacionados con la seguridad
- Documentación escrita de todos los cambios y las razones por las que se tomaron las decisiones
- Posiblemente se requiere un nuevo análisis de riesgo renovado
- Necesidad de un sistema de gestión de calidad
Si tienes información adicional sobre este tema, tus comentarios o enlaces de referencia serán bienvenidos.
No comments:
Post a Comment