Metodología NIST SP 800-30

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Rocket clouds
Metodología NIST SP 800-30 por Mind Map: Metodología NIST SP 800-30

1. Caracterización del Sistema

1.1. Se utiliza para caracterizar un Sistema de TI y su entorno operativo.

1.2.  Hardware.

1.3.  Software.

1.4.  Sistema de interfaces conectividad interna y externa.

1.5.  Datos e información.

1.6.  Personas que apoyan y utilizan el sistema.

1.7.  Criticidad de los datos.

2. Identificación de Vulnerabilidades

2.1.  Elaborar lista de vulnerabilidades que podrían ser explotados por una amenaza.

2.2.  Hardware.

2.3.  Software.

2.4.  Personal.

2.5.  Instalaciones

3. Orientado por 9 pasos:

3.1.  Caracterización del sistema.  Identificación de amenaza.  Identificación de vulnerabilidades.  Control de análisis.  Determinación del riesgo.  Análisis de impacto.  Determinación del riesgo.  Recomendaciones de control

4. Identificación de amenazas:

4.1.  Identificar y listar amenazas potenciales.

4.2.  Detección de métodos dirigidos a explotar una vulnerabilidad.

4.3.  Situación que accidental o intencionalmente puedan llevar a la materialización de una amenaza.

5.  Análisis de Control

5.1.  Analiza los controles implementados por la empresa para la reducción de la (probabilidad), que una amenaza se materialice sobre el sistema.

5.2.  Detección de intrusos.

5.3.  Control de la ejecución, acceso, cifrado y autenticación.

6. Recomendaciones de control

6.1. Dar a conocer los controles para la reducción de los riesgos en los sistemas de las T.I. teniendo en cuenta los siguientes factores:

6.2.  Eficacia de las soluciones implantadas.

6.3.  Legislación y regulación.

6.4.  Impacto operativo.

6.5.  Seguridad y fiabilidad [35].

7. Determinación del Riesgo

7.1.  Evalúa el nivel de riesgo para el sistema.

7.2.  Determinando la amenaza y la fuente de la misma.

7.3.  Magnitud del impacto al materializarse una amenaza.

8. Determinación de probabilidad

8.1. Obtiene una clasificación global del riesgo que indica la probabilidad de que una vulnerabilidad materialice una amenaza.

9. Factores

9.1. Amenaza.

9.2.  Naturaleza de la vulnerabilidad.

9.3.  Existencia y eficacia de los controles actuales.

9.4.  Análisis de impacto.

9.5. Medición del nivel de riesgo para determinar efectos adversos derivados de la materialización de una amenaza.

9.6.  Función del sistema (procesos realizados por el sistema).

9.7.  Criticidad y sensibilidad de los datos.

9.8.  Servicios críticos