Professional Documents
Culture Documents
http://translate.googleusercontent.com/translate_f 1/45
Pgina 1
Gua de gestin de riesgos para
Sistemas de Tecnologa de la Informacin
Recomendaciones del Instituto Nacional de
Normas y Tecnologa
Gary Stoneburner, Alice Goguen, y Alexis Feringa
Special Publication 800-30
Pgina 2
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 2/45
SP 800-30 Pgina ii
COMPUTERSECURITY
Divisin de Seguridad Informtica
Laboratorio de Tecnologas de la Informacin
Instituto Nacional de Estndares y Tecnologa
Gaithersburg, MD 20899-8930
1
Booz Allen Hamilton Inc.
3190 Fairview Park Drive
Falls Church, VA 22042
07 2002
EE.UU. Departamento de Comercio
Donald L. Evans, Secretario
ADMINISTRACIN DE TECNOLOGA
Phillip J. Bond, Subsecretario de Tecnologa
INSTITUTO NACIONAL DE NORMAS Y TECNOLOGA
Arden L. Bement, Jr., Director
NIST Special Publication 800-30
Gua de gestin de riesgos para
Sistemas de Tecnologa de la Informacin
Recomendaciones de la
Instituto Nacional de Estndares y Tecnologa
Gary Stoneburner, Alice Goguen 1, Y
Alexis Feringa 1
Pgina 3
Informes sobre Sistemas Computer Technology
El Laboratorio de Tecnologa de la Informacin (DIT) en el Instituto Nacional de Estndares y Tecnologa
promueve la economa de EE.UU. y el bienestar pblico al proporcionar liderazgo tcnico para la nacin de
la medicin y la infraestructura de las normas. ITL desarrolla pruebas, mtodos de prueba, datos de referencia, prueba de
implementaciones de concepto y anlisis tcnicos para avanzar en el desarrollo y el uso productivo de
tecnologa de la informacin. Responsabilidades de ITL incluyen el desarrollo de tcnicas, fsicas,
normas y directrices para la seguridad econmica y la privacidad de los administrativos y de gestin
informacin no clasificada sensible en los sistemas informticos federales. La Publicacin Especial 800-series
informes sobre la investigacin, la gua de liras italianas, y los esfuerzos de difusin de la seguridad informtica, y su colaboracin
actividades con la industria, el gobierno y organizaciones acadmicas.
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 3/45
SP 800-30 Pgina iii
Instituto Nacional de Estndares y Tecnologa de la publicacin especial 800-30
Natl. Inst. Prese. Technol. Spec. Publ. 800-30, 54 pginas (julio de 2002)
CODEN: NSPUE2
Ciertas entidades comerciales, equipos o materiales pueden ser identificadas en este documento con el fin de describir un
procedimiento experimental o concepto adecuadamente. Esta identificacin no pretenden dar a entender recomendacin u
aprobacin por parte del Instituto Nacional de Estndares y Tecnologa, ni pretende dar a entender que las entidades,
materiales o equipos son necesariamente los mejores disponibles para ese fin.
Pgina 4
Agradecimientos
Los autores, Gary Stoneburner, del NIST y Alice Goguen y Alexis Feringa de Booz
Allen Hamilton desean expresar su agradecimiento a sus colegas de las dos organizaciones que
borradores revisados de este documento. En particular, Timothy Grance, Marianne Swanson, y Joan
Hash de NIST y Debra L. Banning, Jeffrey Confer, Randall K. Ewell, y Waseem
Mamlouk de Booz Allen proporcion informacin valiosa que contribuyeron sustancialmente a la
contenido tcnico de este documento. Por otra parte, agradecemos y apreciamos el
muchos comentarios de los sectores pblico y privado cuyas reflexiva y constructiva
comentarios mejoraron la calidad y la utilidad de esta publicacin.
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 4/45
SP 800-30 Pgina iv
Pgina 5
TABLA DE CONTENIDO
1.
INTRODUCTION..............................................................................................................................................1
1.1 La
UTORIDAD
.................................................................................................................................................1
1.2 P
ROPSITO
......................................................................................................................................................1
1.3 O
BJETIVO
..................................................................................................................................................2
1.4 T
ARGET
La
UDIENCE
.....................................................................................................................................2
1.5 R
EXALTADA
R
EFERENCIAS
................................................................................................................................3
1.6 T
GUA DEL USUARIO
S
STRUCTURA
......................................................................................................................................3
2.
PANORAMA GENERAL DE GESTIN DEL RIESGO .............................................................................................................4
2.1 Yo
IMPORTANCIA DE
R
ISK
M
GESTIN
.........................................................................................................4
2.2 Yo
INTEGRACIN DE
R
ISK
M
GESTIN EN
SDLC ................................................. .................................... 4
2.3 K
EY
R
OLES
.................................................................................................................................................6
3.
EVALUACIN DE RIESGOS ........................................................................................................................................8
3.1 S
TEP
1: S
ISTEMA
C
HARACTERIZATION
......................................................................................................10
3.1.1 Relacionadas con el sistema Information................................................................................................................10
3.1.2 Tcnicas de recogida de informacin .....................................................................................................11
3.2 S
TEP
2: T
Hreat
Yo
DENTIFICACIN
.............................................................................................................12
3.2.1 Amenaza-fuente Identification................................................................................................................12
3.2.2 La motivacin y la amenaza acciones ............................................................................................................13
3.3 S
TEP
3: V
Ulnerabilidad
Yo
DENTIFICACIN
.................................................. .............................................. 15
3.3.1 Vulnerabilidad Sources...........................................................................................................................16
3.3.2 Pruebas de seguridad del sistema .......................................................................................................................17
3.3.3 Desarrollo de Requisitos de Seguridad Lista de control ............................................. ................................... 18
3.4 S
TEP
4: C
ONTROL
La
NLISIS
....................................................................................................................19
3.4.1 Control Methods..................................................................................................................................20
3.4.2 Control de Categoras ..............................................................................................................................20
3.4.3 Anlisis de control Technique.................................................................................................................20
3.5 S
TEP
5: L
IKELIHOOD
D
ETERMINACIN
.....................................................................................................21
3.6 S
TEP
6:
MPACT
La
NLISIS
.......................................................................................................................21
3.7 S
TEP
7: R
ISK
D
ETERMINACIN
.................................................................................................................24
3.7.1 Riesgo Nivel Matrix.................................................................................................................................24
3.7.2 Descripcin de Riesgo Level.....................................................................................................................25
3.8 S
TEP
8: C
ONTROL
R
RECOMENDACIONES
...................................................................................................26
3.9 S
TEP
9: R
ESULTADOS
D
OCUMENTACIN
.........................................................................................................26
4.
RIESGO MITIGATION.......................................................................................................................................27
4.1 R
ISK
M
ITIGATION
O
PCIONES
.......................................................................................................................27
4.2 R
ISK
M
ITIGATION
S
ESTRATEGIA
....................................................................................................................28
4.3 La
NFOQUE PARA
C
ONTROL
Yo
EJECUCIN
.................................................. .......................................... 29
4.4 C
ONTROL
C
ATEGORIES
.............................................................................................................................32
4.4.1 Seguridad Tcnica Controls.................................................................................................................32
4.4.2 Security Management Controls............................................................................................................35
4.4.3 Seguridad Operacional Controls.............................................................................................................36
4.5 C
OST
-B
ENEFICIO
La
NLISIS
.........................................................................................................................37
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 5/45
SP 800-30 Pgina iv
4.6 RESIDUAL RISK.........................................................................................................................................39
5.
EVALUACIN Y ASSESSMENT............................................................................................................41
5.1 T
OOD
S
EGURIDAD
P
Ractique
.......................................................................................................................41
5.2 K
EYS PARA
S
L xito
...................................................................................................................................41
Apndice A-Ejemplo de preguntas de la entrevista ............................................................................................................. A-1
Apndice B-Ejemplo de informe de evaluacin de riesgos Outline...........................................................................................B-1
Pgina 6
SP 800-30 Pgina v
Apndice C-Sample Plan de Salvaguarda Implementacin Cuadro Resumen ......................................... ......................... C-1
Apndice DAcronyms.......................................................................................................................................... D-1
Apndice EGlossary..............................................................................................................................................E-1
Apndice FReferences...........................................................................................................................................F-1
LISTA DE FIGURAS
Figura 3-1 Evaluacin de Riesgos Metodologa Flowchart...................................................................................................9
Figura 4-1 Mitigacin de Riesgos Accin Points....................................................................................................................28
Figura 4-2 Mitigacin de Riesgos Metodologa Flowchart...................................................................................................31
Figura 4-3 Tcnica de Seguridad Controls.......................................................................................................................33
Implementacin Figura 4-4 Control y Riesgo Residual ......................................... .................................................. .... 40
LISTA DE TABLAS
Tabla 2-1 Integracin de la Gestin de Riesgos a la ....................................... SDLC .................................................. ..... 5
Tabla 3-1 Amenazas humanas: Amenaza-Source, la motivacin y acciones de amenaza .................................. ............................. 14
Tabla 3-2 Vulnerabilidad / Amenaza Pairs...........................................................................................................................15
Tabla 3-3 Criterios de seguridad ..........................................................................................................................................18
Tabla 3-4 Definiciones de probabilidad ................................................................................................................................21
Tabla 3-5 Magnitud del Impacto Definiciones ................................................................................................................23
Tabla 3-6 Riesgo Nivel Matrix.......................................................................................................................................25
Tabla 3-7 Escala de Riesgo y acciones necesarias ..............................................................................................................25
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 6/45
Pgina 7
SP 800-30 Pgina 1
1.
INTRODUCCIN
Cada organizacin tiene una misin. En esta era digital, como las organizaciones utilizan la informacin automatizada
tecnologa (TI) 1 para procesar su informacin para un mejor apoyo de su misin, el riesgo
gestin juega un papel fundamental en la proteccin de los activos de informacin de una organizacin, y por lo tanto
su misin, de los riesgos relacionados con las TI.
Un proceso eficaz de gestin de riesgos es un componente importante de una seguridad de TI con xito
programa. El objetivo principal del proceso de gestin de riesgos de una organizacin debe ser la proteccin de
la organizacin y su capacidad para llevar a cabo su misin, no slo sus activos de TI. Por lo tanto, el riesgo
proceso de gestin no debe ser tratado principalmente como una funcin tcnica llevada a cabo por la TI
expertos que operan y administran el sistema informtico, sino como una funcin esencial de la administracin de la
organizacin.
1.1 AUTORIDAD
Este documento ha sido desarrollado por el NIST en cumplimiento de sus responsabilidades legales en virtud de
la Ley de Seguridad Informtica de 1987 y la Ley de Reforma de la Gestin de la Tecnologa de la Informacin
1996 (en concreto 15 del Cdigo de los Estados Unidos (USC) 278 g-3 (a) (5)). Esto no es una pauta dentro de
el significado de 15 USC 278 g-3 (a) (3).
Estas directrices son para uso de las organizaciones federales que procesan informacin sensible.
Son consistentes con los requisitos de la OMB Circular A-130, Apndice III.
Las presentes directrices no son obligatorias y las normas vinculantes. Este documento puede ser utilizado por
las organizaciones no gubernamentales sobre una base voluntaria. No est sujeto a derechos de autor.
Nada en este documento que pretenda contradecir las normas y directrices hizo
obligatorio y vinculante para las agencias federales por el Secretario de Comercio bajo su legal
autoridad. Tampoco deberan estas directrices pueden interpretar como la alteracin o reemplazando el existente
autoridades de la Secretara de Comercio, el Director de la Oficina de Gerencia y Presupuesto,
o cualquier otro funcionario federal
.
1.2 PROPSITO
El riesgo es el impacto negativo neto del ejercicio de una vulnerabilidad, teniendo en cuenta tanto la probabilidad
y el impacto de la ocurrencia. La gestin del riesgo es el proceso de identificacin de riesgos, evaluacin de riesgos,
y tomar medidas para reducir el riesgo a un nivel aceptable. Esta gua proporciona una base para la
desarrollo de un programa de gestin de riesgos efectiva, que contiene tanto las definiciones y la
orientacin prctica necesaria para evaluar y mitigar los riesgos identificados en los sistemas de TI. La
objetivo final es ayudar a las organizaciones a gestionar mejor los riesgos relacionados con las TI de misin.
1 El trmino "sistema informtico" se refiere a un sistema de apoyo general (por ejemplo, la computadora central, ordenador de gama media, locales
red de rea, columna vertebral agencywide) o una de las principales aplicaciones que se pueden ejecutar en un sistema de apoyo general y cuya
uso de los recursos de informacin satisface un conjunto especfico de necesidades de los usuarios.
Pgina 8
Adems, esta gua proporciona informacin sobre la seleccin de los controles de seguridad rentables. 2
Estos controles se pueden utilizar para mitigar los riesgos para la mejor proteccin de misin crtica
la informacin y los sistemas informticos que procesan, almacenan y transportan esta informacin.
Las organizaciones pueden optar por ampliar o abreviar los procesos y medidas integrales
se sugiere en esta gua y adaptarlos a su entorno en la gestin de misin relacionados con TI
riesgos.
1.3 OBJETIVO
El objetivo de la realizacin de la gestin de riesgos es permitir a la organizacin para llevar a cabo su
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 7/45
SP 800-30 Pgina 2
misin (s) (1) por mejor asegurar los sistemas que almacenan, procesan o transmiten organizacional
informacin; (2) haciendo posible la gestin para tomar decisiones de gestin de riesgos con conocimiento de causa a
justificar los gastos que forman parte de un presupuesto de TI; y (3) por ayudar a la administracin en
autorizar (o acreditacin de) los sistemas de TI 3 sobre la base de la documentacin de apoyo
derivados de la realizacin de la gestin de riesgos.
1.4 DESTINATARIOS
Esta gua proporciona una base comn para la experiencia y sin experiencia, tcnica y
personal no tcnico que apoyan o usan el proceso de gestin de riesgos para sus sistemas de TI.
Este personal incluye
La alta direccin, los propietarios de la misin, los que toman las decisiones acerca de la seguridad de TI
presupuesto.
Jefes de los Servicios de Informacin Federal, que garanticen la puesta en prctica de riesgo
la gestin de los sistemas de TI de la agencia y la seguridad proporcionados para estos sistemas de TI
La Autoridad Designada Aprobatoria (DAA), que es responsable de la final
decisin sobre si se debe permitir el funcionamiento de un sistema informtico
El administrador del programa de seguridad de TI, que implementa el programa de seguridad
Los oficiales de seguridad del sistema de informacin (ISSO), que son responsables de la seguridad de TI
Los propietarios de sistemas de TI de software y / o hardware del sistema utilizados para apoyar las funciones de TI.
Los dueos de la informacin de los datos almacenados, procesados y transmitidos por los sistemas de TI
Los gerentes de negocios o funcionales, que son responsables del proceso de adquisicin de TI
El personal de apoyo tcnico (por ejemplo, redes, sistemas, aplicaciones y bases de datos
administradores; especialistas en informtica; Los analistas de seguridad de datos), que gestionan y
administrar la seguridad de los sistemas informticos
Sistema de TI y programadores de aplicaciones, que desarrollan y mantienen el cdigo que podra
sistema y la integridad de datos afectar
2
Los trminos "garantas" y "controles" se refieren a las medidas de reduccin de riesgos; estos trminos se utilizan indistintamente en
este documento de orientacin.
3
Oficina de Administracin y Presupuesto de noviembre de 2000 la Circular A-130 de la Ley de Seguridad Informtica de 1987, y el
Informacin del Gobierno de Ley de Reforma de Seguridad en octubre de 2000 exige que un sistema informtico ser autorizado antes de la
a partir de entonces volvi a autorizar la operacin y al menos cada 3 aos.
Pgina 9
El personal de garanta de calidad de TI, que ponen a prueba y garantizar la integridad de los sistemas informticos
y los datos
Los auditores de sistemas de informacin, quienes auditan sistemas de TI
Los consultores de TI, que apoyan a los clientes en la gestin de riesgos.
1.5 REFERENCIAS RELACIONADAS
Esta gua se basa en los conceptos generales presentados en el Instituto Nacional de Estndares y
Tecnologa (NIST) Publicacin Especial (SP) 800-27, Principios de Ingeniera de Seguridad Informtica,
junto con los principios y prcticas de NIST SP 800-14, Principios Generalmente Aceptados y
Prcticas recomendadas para proteger Sistemas Informticos. Adems, es coherente con la
polticas que se presentan en la Oficina de Administracin y Presupuesto (OMB) Circular A-130, Apndice III,
"La seguridad de Federal Automatizado de Informacin de Recursos"; la Ley de Seguridad Informtica (CSA) de
1987; y la Ley de Reforma de la Seguridad de Informacin del Gobierno de octubre de 2000.
1.6 GUA DE ESTRUCTURA
Las secciones restantes de esta gua discutir lo siguiente:
La Seccin 2 proporciona una visin general de la gestin del riesgo, cmo se integra en el sistema
el desarrollo del ciclo de vida (SDLC), y las funciones de las personas que apoyan y utilizan esta
proceso.
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 8/45
SP 800-30 Pgina 3
La seccin 3 describe la metodologa de evaluacin de riesgos y los nueve pasos principales en
realizar una evaluacin de riesgo de un sistema informtico.
La seccin 4 describe el proceso de mitigacin de riesgos, incluidas las opciones de mitigacin de riesgos y
estrategia, el enfoque de la aplicacin de control, las categoras de control, el costo-beneficio
anlisis, y el riesgo residual.
Seccin 5 analiza las buenas prcticas y la necesidad de una evaluacin de riesgos en curso y
evaluacin y los factores que conduzcan a un programa de gestin de riesgos exitosa.
Esta gua tambin contiene seis anexos. El Apndice A proporciona preguntas de la entrevista de la muestra.
Apndice B proporciona un esquema de ejemplo para su uso en la documentacin de los resultados de la evaluacin de riesgos. Apndice
C contiene una tabla de ejemplo para el plan de implementacin de salvaguardia. Apndice D proporciona una lista de
las siglas utilizadas en este documento. Apndice E contiene un glosario de trminos de uso frecuente en
esta gua. Apndice F incluye las referencias.
Pgina 10
2.
PANORAMA GENERAL DE GESTIN DEL RIESGO
En esta gua se describe la metodologa de gestin de riesgos, cmo se integra en cada fase de la SDLC,
y cmo el proceso de gestin de riesgos est ligado al proceso de autorizacin del sistema (o
acreditacin).
2.1 IMPORTANCIA DE LA GESTIN DE RIESGOS
La gestin de riesgos se compone de tres procesos: evaluacin de riesgos, mitigacin del riesgo y evaluacin
y la evaluacin. Seccin 3 de este manual se describe el proceso de evaluacin de riesgos, que incluye
identificacin y evaluacin de los riesgos e impactos de riesgo, y la recomendacin de reducir el riesgo-
medidas. La seccin 4 describe la mitigacin de riesgos, que se refiere a la priorizacin, ejecucin y
mantenimiento de las medidas de reduccin del riesgo adecuadas recomendadas por la evaluacin de riesgos
proceso. Seccin 5 discute el proceso de evaluacin continua y las claves para la implementacin de un
programa de gestin de riesgos exitosa. La DAA o autorizar sistema oficial es responsable de
determinar si el riesgo restante es a un nivel aceptable o si la seguridad adicional
controles deben implementarse para reducir an ms o eliminar el riesgo residual antes
autorizar (o acreditacin de) el sistema informtico para la operacin.
La gestin del riesgo es el proceso que permite a los administradores de TI para equilibrar el funcionamiento y
los costos econmicos de las medidas de proteccin y lograr ganancias en la capacidad de la misin de proteger la
Sistemas de informacin y de datos que apoyan las misiones de sus organizaciones. Este proceso no es nica para la
Entorno de TI; de hecho, impregna la toma de decisiones en todos los mbitos de nuestra vida cotidiana. Tomemos el caso
de seguridad para el hogar, por ejemplo. Muchas personas deciden tener sistemas de seguridad instalados y
pagar una cuota mensual a un proveedor de servicios para que estos sistemas monitorizados para la mejor proteccin
de su propiedad. Es de suponer que los propietarios han sopesado el costo de la instalacin del sistema y
monitoreo contra el valor de sus artculos para el hogar y la seguridad de su familia, un derecho fundamental
Necesidad "misin".
El jefe de una unidad de organizacin debe asegurarse de que la organizacin tiene la capacidad necesaria
para cumplir su misin. Estos dueos de misin deben determinar las capacidades de seguridad que
sus sistemas de TI deben tener para proporcionar el nivel deseado de apoyo a la misin ante la vida real
amenazas mundiales. La mayora de las organizaciones cuentan con presupuestos limitados para la seguridad de la informacin; Por lo tanto, la seguridad de TI
el gasto debe ser revisado tan a fondo como otras decisiones de gestin. Un riesgo bien estructurado
metodologa de gestin, cuando se utiliza con eficacia, puede ayudar a identificar la gestin adecuada
controla para proporcionar las funciones de seguridad esenciales para la misin.
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 9/45
SP 800-30 Pgina 4
2.2 INTEGRACIN DE LA GESTIN DE RIESGOS EN SDLC
Minimizar el impacto negativo en la organizacin y la necesidad de base slida en la toma de decisiones son
las organizaciones razones fundamentales implementar un proceso de gestin de riesgo para proyectos de TI
sistemas. La gestin eficaz del riesgo debe estar totalmente integrado en el SDLC. De un sistema de TI
SDLC tiene cinco fases: inicio, desarrollo o adquisicin, implementacin, operacin o
mantenimiento y eliminacin. En algunos casos, un sistema de TI puede ocupar varias de estas fases en
al mismo tiempo. Sin embargo, la metodologa de gestin del riesgo es el mismo independientemente de la SDLC
fase para la que se est llevando a cabo la evaluacin. La gestin de riesgos es un proceso iterativo que
se puede realizar durante cada fase importante del SDLC. La Tabla 2-1 describe las caractersticas
Pgina 11
de cada fase SDLC e indica cmo la gestin del riesgo se puede realizar en apoyo de cada
fase.
Tabla 2-1 Integracin de la Gestin de Riesgos en el SDLC
Fases SDLC Caractersticas de fase El apoyo de Riesgo
Actividades de gestin
Fase 1-Iniciacin La necesidad de un sistema de TI es
expresado y el propsito y
alcance del sistema de TI es
documentado
La prdida de integridad
Prdida de disponibilidad
Prdida de confidencialidad
Impacto en el
La prdida de integridad
Prdida de disponibilidad
Prdida de confidencialidad
Impacto en el
Hackear
Ingeniera social
Informacin de soborno
Spoofing
Intrusin Sistema
Terrorista
Chantaje
Destruccin
Explotacin
Venganza
Bomba / Terrorismo
La guerra de informacin
Explotacin econmica
El robo de informacin
Ingeniera social
Asalto a un empleado
Chantaje
Abuso de computadora
Fraude y robo
Informacin de soborno
Interceptacin
Intrusin Sistema
Sabotaje Sistema
Una declaracin de amenaza que contiene una lista de las amenazas recursos que podran explotar
vulnerabilidades del sistema
3.3 PASO 3: IDENTIFICACIN DE VULNERABILIDAD
El anlisis de la amenaza a un sistema informtico
deben incluir un anlisis de la
vulnerabilidades asociadas con el sistema
medio ambiente. El objetivo de este paso es
elaborar una lista de las vulnerabilidades del sistema
(defectos o debilidades) que podran ser
explotado por la amenaza potencial recursos.
La Tabla 3-2 presenta ejemplos de pares de vulnerabilidad / amenaza.
Tabla 3-2. Pares de Vulnerabilidad / Amenaza
Vulnerabilidad Amenaza-fuente Accin Amenaza
Sistema de empleados despedidos '
identificadores (ID) no se eliminan
del sistema
Los empleados despedidos Marcar en la compaa de
la red y el acceso
de datos propiedad de la empresa
Firewall de la empresa permite entrante
telnet, y los huspedes ID est activado en
Servidor XYZ
Los usuarios no autorizados (por ejemplo,
hackers, terminado
empleados, equipo
criminales, los terroristas)
Uso de telnet con el servidor XYZ
y archivos del sistema de navegacin
con el invitado ID
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 18/45
SP 800-30 Pgina 15
El vendedor ha identificado fallas en
el diseo de la seguridad del sistema;
Sin embargo, los nuevos parches no tienen
ha aplicado al sistema de
Los usuarios no autorizados (por ejemplo,
hackers, descontentos
empleados, equipo
criminales, los terroristas)
La obtencin no autorizada
acceso al sistema sensible
archivos en funcin conocida
vulnerabilidades del sistema
Pgina 22
SP 800-30 Pgina 16
Vulnerabilidad Amenaza-fuente Accin Amenaza
Centro de datos utiliza rociadores de agua
para suprimir el fuego; lonas a
proteger el hardware y equipo
de daos por agua no estn en
lugar
Fuego, personas negligentes Rociadores de agua son
encendida en el centro de datos
Mtodos recomendados para la identificacin de las vulnerabilidades del sistema son el uso de la vulnerabilidad
fuentes, el rendimiento de las pruebas de seguridad del sistema y el desarrollo de una seguridad
requisitos de lista de verificacin.
Cabe sealar que esa existirn los tipos de vulnerabilidades, y la metodologa necesaria para
determinar si las vulnerabilidades estn presentes, por lo general variar dependiendo de la naturaleza de
el sistema informtico y la fase que se encuentra, en el SDLC:
Si el sistema an no se ha diseado, la bsqueda de vulnerabilidades debe centrarse
sobre las polticas de seguridad de la organizacin, los procedimientos de seguridad previstas, y el sistema
definiciones de requerimientos y anlisis de productos de seguridad de los proveedores o desarrolladores
(por ejemplo, libros blancos).
Si se est implementando el sistema informtico, la identificacin de vulnerabilidades debe ser
ampliado para incluir informacin ms especfica, por ejemplo, las caractersticas de seguridad previstas
se describe en la documentacin de diseo de seguridad y los resultados de la certificacin del sistema
prueba y evaluacin.
Si el sistema est operativo, el proceso de identificacin de las vulnerabilidades deben
incluir un anlisis de las caractersticas de seguridad del sistema de TI y los controles de seguridad,
tcnico y de procedimiento, que se utiliza para proteger el sistema.
3.3.1 Fuentes de Vulnerabilidad
Las vulnerabilidades tcnicas y no tcnicas asociados con el procesamiento de un sistema de TI
medio ambiente puede ser identificado a travs de las tcnicas de recoleccin de informacin que se describen en la Seccin
3.1.2. Una revisin de otras fuentes de la industria (por ejemplo, las pginas Web de los proveedores que identifican los errores del sistema y
defectos) sern tiles en la preparacin de las entrevistas y en el desarrollo de cuestionarios eficaces para
identificar las vulnerabilidades que pueden ser aplicables a los sistemas informticos especficos (por ejemplo, una versin especfica de un
sistema operativo especfico). El Internet es otra fuente de informacin sobre el sistema conocido
vulnerabilidades publicadas por los proveedores, junto con revisiones, service packs, parches y otros
las medidas correctivas que se pueden aplicar para eliminar o mitigar las vulnerabilidades. Documentado
fuentes de vulnerabilidad que deben ser considerados en un anlisis de la vulnerabilidad a fondo incluyen, pero
no se limitan a, lo siguiente:
Anterior documentacin de la evaluacin de riesgos del sistema de TI evaluado
Los informes del sistema de TI de auditora, informes de anomalas del sistema, informes de revisin de la seguridad, y
informes de las pruebas del sistema y evaluacin
Las listas de vulnerabilidad, tales como la base de datos de vulnerabilidad I-CAT NIST
(Http://icat.nist.gov)
Pgina 23
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 19/45
SP 800-30 Pgina 17
Recomendaciones de seguridad, tales como FedCIRC y el Departamento de Informtica de la Energa
Boletines de capacidad de asesoramiento de Incidentes
avisos de proveedores
Los equipos de respuesta a incidentes informticos Comercial / emergencia y listas de correos (por ejemplo,
Mailings foro SecurityFocus.com)
Las alertas y boletines para los sistemas militares Informacin sobre la vulnerabilidad de Aseguramiento
la seguridad del software de sistema analiza.
3.3.2 Sistema de Pruebas de Seguridad
Mtodos proactivos, empleando las pruebas del sistema, se puede utilizar para identificar las vulnerabilidades del sistema
de manera eficiente, dependiendo de la criticidad del sistema y los recursos de TI disponibles (por ejemplo, asignado
fondos, la tecnologa disponible, las personas con la experiencia necesaria para realizar la prueba). Mtodos de ensayo
incluir
Herramienta automatizada de anlisis de vulnerabilidades
Prueba de seguridad y la evaluacin (ST & E)
Las pruebas de penetracin.
6
La herramienta automatizada de anlisis de vulnerabilidades se utiliza para explorar un grupo de hosts o de una red de
servicios vulnerables conocidos (por ejemplo, el sistema permite que el Protocolo de transferencia de archivos annimo [FTP],
sendmail retransmisin). Sin embargo, debe tenerse en cuenta que algunas de las potenciales vulnerabilidades
identificado por la herramienta automatizada de exploracin pueden no representar las vulnerabilidades reales en el contexto de
el entorno del sistema. Por ejemplo, algunas de estas herramientas de escaneo de vulnerabilidades potenciales califica
sin tener en cuenta el medio ambiente y las necesidades del sitio. Algunas de las "vulnerabilidades"
marcado por el software automatizado de exploracin en realidad no puede ser vulnerable a un sitio en particular
pero puede ser configurado de esa manera porque su entorno lo requiere. Por lo tanto, este mtodo de ensayo
puede producir falsos positivos.
ST & E es otra tcnica que se puede utilizar en la identificacin de las vulnerabilidades del sistema de TI durante el
proceso de evaluacin de riesgos. Incluye el desarrollo y ejecucin de un plan de pruebas (por ejemplo, la prueba de
scripts, procedimientos de prueba y los resultados de las pruebas que se espera). El propsito de las pruebas de la seguridad del sistema es
comprobar la eficacia de los controles de seguridad de un sistema informtico, ya que se han aplicado en un
entorno operativo. El objetivo es asegurar que los controles aplicados cumplen con el aprobado
especificacin de seguridad para el software y el hardware e implementar la seguridad de la organizacin
normas de poltica o de la industria se encuentran.
Las pruebas de penetracin se puede utilizar para complementar la revisin de los controles de seguridad y asegurarse de que
diferentes facetas del sistema de TI estn asegurados. Las pruebas de penetracin, cuando se emplean en el riesgo
proceso de evaluacin, se puede utilizar para evaluar la capacidad de un sistema de TI para resistir los intentos intencionales
para burlar la seguridad del sistema. Su objetivo es poner a prueba el sistema de TI desde el punto de vista de un
amenaza de cdigo e identificar posibles fallos en los sistemas de proteccin de sistema de TI.
6
El proyecto de SP NIST 800-42, Pruebas de seguridad de la red general , se describe la metodologa para el sistema de red
prueba y el uso de herramientas automatizadas.
Pgina 24
Los resultados de este tipo de pruebas de seguridad opcional ayudarn a identificar las vulnerabilidades de un sistema.
3.3.3 Desarrollo de los Requisitos de Seguridad Checklist
Durante este paso, el personal de evaluacin de riesgos a determinar si los requisitos de seguridad
estipulado para el sistema de TI y recogidos durante la caracterizacin del sistema se estn cumpliendo por
existente o controles de seguridad previstos. Por lo general, los requisitos de seguridad del sistema pueden ser
se presenta en forma de tabla, con cada requisito acompaada de una explicacin de cmo la
diseo o implementacin del sistema tiene o no cumplen ese requisito de control de seguridad.
Una lista de verificacin de los requisitos de seguridad contiene las normas bsicas de seguridad que se pueden utilizar para
evaluar sistemticamente e identificar las vulnerabilidades de los activos (personal, hardware,
software, informacin), los procedimientos no automatizados, procesos e informacin transferencias
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 20/45
SP 800-30 Pgina 18
asociado a un sistema de TI que figura en las siguientes zonas de seguridad:
Gestin
Operacional
Tcnico.
La Tabla 3-3 enumera los criterios de seguridad sugeridas para su uso en la identificacin de las vulnerabilidades de un sistema informtico en
cada rea de la seguridad.
Tabla 3-3. Criterios de seguridad
rea de Seguridad Criterios de seguridad
Security Management
Asignacin de responsabilidades
La continuidad de la ayuda
La evaluacin de riesgos
Separacin de funciones
El control de los contaminantes transportados por el aire (humo, polvo, productos qumicos)
Control de humedad
Control de la temperatura
Criptografa
Identificacin y autenticacin
La deteccin de intrusiones
Reutilizacin de objetos
Sistema de auditora
El resultado de este proceso es la lista de comprobacin de requisitos de seguridad. Las fuentes que se pueden utilizar en
compilar una lista de control de este tipo incluyen, pero no se limitan a, el siguiente gobierno regulador
y las directivas de seguridad y fuentes aplicables al entorno de procesamiento del sistema de TI:
CSA de 1987
Normas de Procesamiento de Informacin Federal de Publicaciones
OMB 11 2000 Circular A-130
Ley de Privacidad de 1974
El plan de seguridad del sistema del sistema de TI evaluado
Las polticas de la organizacin de seguridad, directrices y normas
Las prcticas de la industria.
El NIST SP 800-26, Gua de Autoevaluacin de Seguridad para Sistemas Informticos ,
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 21/45
SP 800-30 Pgina 19
ofrece un extenso cuestionario que contiene los objetivos de control especficos contra el que un
sistema o grupo de sistemas interconectados pueden ser probados y medidos. Los objetivos de control
se abstrae directamente de los requisitos de larga data que se encuentran en la ley, la poltica, y orientacin sobre
la seguridad y la privacidad.
Los resultados de la lista de verificacin (o cuestionario) se puede utilizar como entrada para una evaluacin de
el cumplimiento y el incumplimiento. Este proceso identifica sistema, proceso, y de procedimiento
debilidades que representan vulnerabilidades potenciales.
De salida de la Etapa 3
Una lista de las vulnerabilidades del sistema (observaciones) 7 que podran ser ejercidas
por la amenaza potencial que los recursos
3.4 PASO 4: ANLISIS DE CONTROL
El objetivo de este paso es analizar los controles que se han implementado o estn previstas para
aplicacin, por la organizacin para minimizar o eliminar la probabilidad (o la probabilidad) de un
La amenaza de ejercer una vulnerabilidad del sistema.
7
Debido a que el informe de evaluacin de riesgos no es un informe de auditora, algunos sitios pueden preferir hacer frente a la identificada
vulnerabilidades como las observaciones en lugar de los hallazgos en el informe de evaluacin de riesgos.
Pgina 26
Para obtener una calificacin general probabilidad de que indica la probabilidad de que una vulnerabilidad potencial
puede ser ejercida dentro de la construccin del medio ambiente amenaza asociada (paso 5 ms abajo), la
implementacin de los controles actuales o previstas deben ser considerados. Por ejemplo, una vulnerabilidad
(Por ejemplo, el sistema o la debilidad de procedimiento) no es probable que se ejerza o la probabilidad es baja si hay
es un bajo nivel de inters amenaza de cdigo o la capacidad o si hay controles de seguridad eficaces que
puede eliminar, o reducir la magnitud de causar un dao.
Secciones 3.4.1 a travs de 3.4.3, respectivamente, discutir mtodos de control, las categoras de control, y el
controlar tcnica de anlisis.
3.4.1 Mtodos de control
Los controles de seguridad abarcan el uso de mtodos tcnicos y no tcnicos. Los controles tcnicos
salvaguardias que se incorporan en el hardware, software, o de firmware (por ejemplo, acceso
mecanismos de control, los mecanismos de identificacin y autenticacin, mtodos de encriptacin,
software de deteccin de intrusin). Controles no tcnicos son la gestin y los controles operacionales,
tales como las polticas de seguridad; procedimientos operacionales; y personal, fsica y medioambiental
seguridad.
3.4.2 Control de Categoras
Las categoras de control de los mtodos de control tanto tcnicos como no tcnicos pueden estar ms
clasificado como preventivo o detective. Estos dos subcategoras se explican de la siguiente manera:
Los controles preventivos inhiben los intentos de violar la poltica de seguridad e incluyen tales
controla como la aplicacin de control de acceso, cifrado y autenticacin.
Los controles Detectives advierten de violacines o intentos de violacines de la poltica de seguridad y
incluir controles tales como pistas de auditora, los mtodos de deteccin de intrusos, y sumas de comprobacin.
Seccin 4.4 explica, adems, estos controles desde el punto de vista de la implementacin. La
aplicacin de los controles durante el proceso de mitigacin de riesgo es el resultado directo de la
identificacin de las deficiencias en los controles actuales o previstas durante el proceso de evaluacin de riesgos
(Por ejemplo, los controles no estn en su lugar o los controles no se aplican correctamente).
3.4.3 Anlisis de Control Tcnica
Como se discuti en la Seccin 3.3.3, el desarrollo de una lista de verificacin los requisitos de seguridad o el uso de un
lista de comprobacin disponible ser til en el anlisis de los controles de una manera eficiente y sistemtico.
La lista de verificacin de los requisitos de seguridad se puede utilizar para validar el incumplimiento de seguridad, as como
cumplimiento. Por lo tanto, es esencial para actualizar esas listas de control para reflejar los cambios en un
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 22/45
SP 800-30 Pgina 20
ambiente de control de la organizacin (por ejemplo, los cambios en las polticas de seguridad, mtodos y
requisitos) para asegurar la validez de la lista de verificacin.
La salida de la Etapa 4
Lista de los controles actuales o previstas utilizados para el sistema de TI para mitigar el
probabilidad de ser ejercida de una vulnerabilidad y reducir el impacto de un evento adverso
Pgina 27
SP 800-30 Pgina 21
3.5 PASO 5: RIESGO DETERMINACIN
Para obtener una calificacin general probabilidad de que indica la probabilidad de que una vulnerabilidad potencial
puede ser ejercida dentro de la construccin del medio ambiente amenaza asociada, la siguiente
factores que gobiernan deben ser considerados:
Motivacin Amenaza de cdigo y la capacidad
La naturaleza de la vulnerabilidad
Existencia y eficacia de los controles actuales.
La probabilidad de que una vulnerabilidad potencial podra ser ejercida por una amenaza determinada fuente puede ser
descrito como alto, medio o bajo. Tabla 3-4 siguiente se describen estos tres niveles de probabilidad.
Tabla 3-4. Definiciones de probabilidad
Nivel de Riesgo Probabilidad Definicin
Alto La amenaza de cdigo est muy motivado y suficientemente capaz, y controles para
prevenir la vulnerabilidad de la que se ejerce son ineficaces.
Medio La amenaza de cdigo est motivado y capaz, pero los controles son en el lugar que puede
obstaculizar el ejercicio con xito de la vulnerabilidad.
Bajo La amenaza de cdigo carece de motivacin o capacidad, o los controles se han establecido para
prevenir o impedir al menos de manera significativa, la vulnerabilidad de ser ejercido.
De salida de la Etapa 5
Riesgo residual
La figura 4-2 muestra la metodologa recomendada para la mitigacin de riesgos.
9
NIST Interagencial Informe 4749, Declaraciones de muestra de trabajo en materia de Servicios Federales de Seguridad Informtica: Para uso In-
Casa o la subcontratacin. diciembre de 1991.
Pgina 37
Lista de posibles
controles
Paso 2.
Evaluar recomendados
Opciones de control
Paso 1.
Priorizar acciones
Los niveles de riesgo de la
la evaluacin de riesgos
informe
Entrada Mitigacin de Riesgos Actividades Salida
Acciones del rango de
De mayor a menor
Costo-beneficio
anlisis
Paso 3.
Realizar anlisis de costos y beneficios
Impacto de la implementacin de
Impacto de la no implementacin
Los costos asociados
Viabilidad
Eficacia
Evaluacin de riesgos
informe
Paso 5.
Asignar la responsabilidad
Lista de los
personas responsables
Paso 6. Desarrollar Safeguard
Plan de Implementacin
No permitir entrada
telnet
No permitir el "mundo"
el acceso a la sensible
archivos de la empresa
Desactive el invitado
Identificacin o asignacin
difcil de adivinar
contrasea para la
invitado ID
Alto
Rechazar
telnet entrante
Rechazar
Acceso "mundo"
para sensibles
archivos de la empresa
Realizar
peridico
sistema
revisin de seguridad
y pruebas para
asegurar
adecuado
la seguridad es
previsto
la XYZ
servidor
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 42/45
SP 800-30 Pgina C-1
(1)
Los riesgos (pares de vulnerabilidad / amenaza) son resultado del proceso de evaluacin de riesgos
(2) El nivel de riesgo asociado de cada riesgo identificado (par vulnerabilidad / riesgo) es el resultado del proceso de evaluacin de riesgos
(3) Los controles recomendados son resultado del proceso de evaluacin de riesgos
(4) se determina la prioridad de accin en base a los niveles de riesgo y los recursos disponibles (por ejemplo, los fondos, las personas, la tecnologa)
(5) Los controles previstos seleccionados de los controles recomendados para la implementacin
(6) Los recursos necesarios para la aplicacin de los controles previstos seleccionados
(7) Lista de equipo (s) y las personas que sern responsables de la aplicacin de los nuevos o mejorados controles
(8) la fecha y la fecha de finalizacin prevista para la aplicacin de los nuevos o mejorados controles de inicio
(9) requisito de mantenimiento para los nuevos o mejorados controles despus de la implementacin.
Pgina 52
APNDICE D: SIGLAS
AES Advanced Encryption Standard
CSA Ley de Seguridad Informtica
DAA Autoridad Aprobatoria Designado
DAC Control de acceso discrecional
DES Data Encryption Standard
FedCIRC Centro de Respuesta a Incidentes de Informtica Federal
FTP Protocolo de transferencia de archivos
Identificacin Identificador
IPSEC Seguridad del protocolo de Internet
ISSO Oficial de seguridad del sistema de informacin
Informtica Tecnologa de la Informacin
ITL Laboratorio de Tecnologas de la Informacin
MAC Control de Acceso Obligatorio
NIPC Infraestructura Centro Nacional de Proteccin
NIST Instituto Nacional de Estndares y Tecnologa
OIG Oficina del Inspector General
OMB Oficina de Administracin y Presupuesto
PC Ordenador personal
SDLC Ciclo de Vida de Desarrollo
SP Publicacin Especial
ST & E Prueba de Seguridad y Evaluacin
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 43/45
SP 800-30 Pgina D-1
Pgina 53
SP 800-30 Pgina E-1
E ANEXO: GLOSARIO
PLAZO DEFINICIN
Responsabilidad El objetivo de seguridad que genera la necesidad de acciones de una entidad a
ser rastreado de forma nica a esa entidad. Esto apoya el no repudio, la disuasin,
aislamiento de fallas, deteccin de intrusiones y prevencin, y recuperacin despus de la accin
y la accin legal.
Garanta Motivos para confiar en que los otros cuatro objetivos de seguridad (integridad,
disponibilidad, confidencialidad y responsabilidad) se han cumplido adecuadamente
por una implementacin especfica. "Adecuadamente satisfecho" incluye (1) una funcionalidad
que realiza correctamente, (2) una proteccin suficiente contra los errores involuntarios
(Por los usuarios o de software), y (3) suficiente resistencia a la penetracin intencional
o bypass.
Disponibilidad El objetivo de seguridad que genera el requisito para la proteccin contra-
Intentos intencionales o accidentales (1) realizar la destruccin no autorizadas
de datos o (2) de lo contrario provocar una denegacin de servicio o datos
El uso no autorizado de los recursos del sistema.
Confidencialidad El objetivo de seguridad que genera el requisito de proteccin contra
intentos intencionales o accidentales para realizar lecturas de datos no autorizada.
La confidencialidad abarca datos en el almacenamiento, durante el proceso, y en trnsito.
Denegacin de servicio La prevencin del acceso no autorizado a los recursos o el retraso de tiempo
operaciones crticas.
Debido Cuidado Los gestores y sus organizaciones tienen la obligacin de proporcionar la informacin
de seguridad para asegurarse de que el tipo de control, el costo de control, y el
implementacin del control son apropiados para ser administrado el sistema.
Integridad El objetivo de seguridad que genera el requisito para la proteccin contra ya sea
intentos intencionales o accidentales de violar la integridad de datos (la propiedad que
de datos tiene cuando no ha sido alterado de manera no autorizada) o sistema de
integridad (la cualidad que tiene un sistema cuando se lleva a cabo su intencin
funcionan de manera irreprochable, libre de manipulacin no autorizada).
Pgina 54
Riesgos relacionados con TI El impacto neto de la misin teniendo en cuenta (1) la probabilidad de que un determinado
amenaza de cdigo ejercer (disparar accidentalmente o intencionalmente explotar) una
la vulnerabilidad del sistema de informacin en particular y (2) el impacto resultante si
esto debera ocurrir. Riesgos relacionados con las TI se derivan de la responsabilidad legal o prdida misin
debido a-
1. Unauthorized (intencionada o accidental) la divulgacin, modificacin o
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 44/45
SP 800-30 Pgina E-2
destruccin de la informacin
2. Errores y omisiones no intencionales
3. Interrupciones debido a los desastres naturales o de origen humano
4. El no ejercer el debido cuidado y diligencia en la ejecucin y
funcionamiento del sistema de TI.
TI Objetivos Objetivo Seguridad Sede de seguridad
Riesgo Dentro de este documento, sinnimo de riesgo relacionados con las TI.
EVALUACIN DEL RIESGO El proceso de identificacin de los riesgos a la seguridad del sistema y determinar la
probabilidad de ocurrencia, el impacto resultante y salvaguardias adicionales
eso sera mitigar este impacto. Parte de la Gestin de Riesgos y sinnimo
con el Anlisis de Riesgos.
Gestin de Riesgos El proceso total de la identificacin, el control y la mitigacin de la informacin
riesgos relacionados con el sistema. Incluye la evaluacin de riesgos; anlisis de costo-beneficio; y
la seleccin, implementacin, prueba y evaluacin de la seguridad de las salvaguardias.
Esta revisin global de seguridad del sistema tiene en cuenta tanto la eficacia y
eficiencia, incluido el impacto sobre la misin y las limitaciones debido a la poltica,
reglamentos y leyes.
Seguridad Seguridad de los sistemas de informacin es una caracterstica del sistema y un conjunto de
mecanismos que abarcan todo el sistema tanto lgica como fsicamente.
Objetivos de seguridad Los cinco objetivos de seguridad son la integridad, disponibilidad, confidencialidad,
rendicin de cuentas, y la garanta.
Amenaza El potencial de una amenaza-source para el ejercicio (por accidente o desencadenar
intencionalmente explotar) una vulnerabilidad especfica.
Amenaza de cdigo O bien (1) la intencin y el mtodo dirigido a la explotacin intencional de un
vulnerabilidad o (2) una situacin y un mtodo que puede activar accidentalmente un
vulnerabilidad.
Anlisis de Amenazas El examen de las amenazas recursos contra las vulnerabilidades del sistema a
determinar las amenazas para un sistema en particular en un operativo especial
medio ambiente.
Vulnerabilidad Un defecto o debilidad en los procedimientos de seguridad del sistema, el diseo, la implementacin,
o los controles internos que podran ser ejercidas (accidentalmente activan o
explotado intencionalmente) y resultar en un fallo de seguridad o una violacin de la
poltica de seguridad del sistema.
Pgina 55
APNDICE F: REFERENCIAS
Computer Systems Boletn Laboratorio. Amenazas a los sistemas informticos: una visin general .
Marzo de 1994.
NIST Interagencial Reports 4749. Declaraciones muestra del trabajo de Federal Computer Security
Servicios: Para uso interno o la subcontratacin. diciembre de 1991.
NIST Special Publication 800-12. Una introduccin a la seguridad informtica: El Manual NIST .
Octubre de 1995.
NIST Special Publication 800-14. Principios y Prcticas Generalmente Aceptados para la seguridad
Sistemas de Tecnologa de la Informacin . Septiembre de 1996. Co-autor con Barbara Guttman.
NIST Special Publication 800-18. Gua para el desarrollo de Planes de Seguridad de la Informacin
Sistemas de Tecnologa . Diciembre de 1998. Co-autor con los Directores de Seguridad Informtica Federales
Grupo de trabajo del Foro.
NIST Special Publication 800-26, Gua de Autoevaluacin de Seguridad de Tecnologa de la Informacin
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
http://translate.googleusercontent.com/translate_f 45/45
SP 800-30 Pgina F-1
Sistemas . Agosto de 2001.
NIST Special Publication 800-27. Principios de Ingeniera de Seguridad de TI . Junio de 2001.
OMB Circular A-130. Gestin de Recursos de Informacin Federales. Apndice III.
Noviembre de 2000.