Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Nist en Colombia

    Enviado por

    th3.pil0t
    137 visualizações4 páginas

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    137 visualizações4 páginas

    Nist en Colombia

    Enviado por

    th3.pil0t

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 4

    Borrador para discusin - 08/11/2004 1 de 4

    Cor|s|r lrle(seclo(|a| de Po|il|cas


    v 0esl|r de |a lrlo(rac|r pa(a |a
    Adr|r|sl(ac|r Puo||ca

    Gobierno en Lnea Polticas de Seguridad Informtica

    Para optimizar la seguridad de un sistema de informacin se deben realizar los siguientes
    procesos:

    1. Anlisis de riesgos

    El anlisis de riesgos, como su nombre lo indica, consiste en analizar el sistema de informacin y
    su entorno para detectar todos los riesgos que amenazan su estabilidad y su seguridad.

    2. Anlisis de requerimientos y establecimiento de polticas de seguridad informtica

    El anlisis de requerimientos de seguridad informtica consiste en estudiar la organizacin, su
    sistema de informacin (y todos sus componentes) y los riesgos que lo amenazan, y definir el nivel
    de seguridad informtica necesario para el adecuado funcionamiento de la organizacin. A partir de
    dicho anlisis, se define una serie de requerimientos que se deben satisfacer para alcanzar el nivel
    de seguridad deseado. El proceso de anlisis tambin debe usarse para modelar el documento de
    polticas de seguridad informtica, que debe reflejar el estado ptimo de seguridad informtica que
    desea obtener la organizacin, y las polticas que se deben seguir para obtenerlo.

    3. Aseguramiento de Componentes de Datos

    La seguridad de datos busca garantizar que la informacin del sistema de informacin est siempre
    disponible (disponibilidad), que se mantenga ntegra (integridad), y que solamente pueda ser
    accesada por personas autorizadas (confidencialidad).

    4. Aseguramiento de Componentes de Software

    La seguridad de software busca optimizar los sistemas operativos y las aplicaciones que trabajan
    en el sistema de informacin, de manera que sean configurados de manera segura y solo permitan
    su utilizacin dentro de parmetros de funcionamiento predefinidos y aceptados (aseguramiento),
    que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel
    de calidad aceptable (calidad del servicio), que no permitan su utilizacin por personas no
    autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso
    (accountability).

    5. Aseguramiento de Componentes de Hardware

    La seguridad de software busca optimizar los componentes de hardware del sistema de
    informacin (equipos de cmputo, perifricos, medios de almacenamiento removibles, etc.), de
    manera que sean configurados de manera segura y solo permitan su utilizacin dentro de
    parmetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de
    manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad
    aceptable (calidad del servicio), que no permitan su utilizacin por personas no autorizadas (control
    de acceso), y que permitan establecer las responsabilidad de uso (accountability).

    6. Aseguramiento de Componente Humano

    La seguridad humana busca optimizar el componente humano del sistema de informacin
    (usuarios, administradores, auditores, etc.) para que su interaccin entre ellos y con terceros sea


    Borrador para discusin - 08/11/2004 2 de 4
    Cor|s|r lrle(seclo(|a| de Po|il|cas
    v 0esl|r de |a lrlo(rac|r pa(a |a
    Adr|r|sl(ac|r Puo||ca
    segura, no filtre informacin que pueda permitir la vulneracin del sistema de informacin, y
    permita detectar ataques de ingeniera social en su contra.

    7. Aseguramiento de Componentes de Interconectividad

    La seguridad del componente de interconectividad busca optimizar el componente de
    comunicaciones del sistema de informacin (cableado, dispositivos de interconexin hubs,
    switches, routers, etc.-, antenas, etc.), de manera que los canales funcionen de manera continua y
    estable (disponibilidad) se pueda establecer la identidad de los participantes (autenticacin), los
    datos transmitidos puedan ser accesados nicamente por personas autorizadas (confidencialidad),
    los datos no puedan ser modificados durante su transmisin (integridad) y se pueda establecer el
    origen de toda comunicacin (no repudio).

    8. Aseguramiento de Infraestructura Fsica

    La seguridad de la infraestructura fsica busca optimizar el entorno fsico (las instalaciones) en las
    cuales opera el sistema de informacin, de manera que estas provean niveles de seguridad
    industrial adecuados para proteger los componentes del sistema de informacin que contiene.

    9. Administracin de la seguridad informtica

    La administracin de la seguridad informtica consiste en una serie de procesos que tienen como
    propsito mantener un nivel adecuado de seguridad informtica en el sistema de informacin a lo
    largo del tiempo. Los procesos no se limitan al mantenimiento y la optimizacin de la seguridad
    informtica en el presente, sino que incluyen tambin procesos de planeacin estratgica de
    seguridad informtica, que garanticen que el nivel de seguridad se mantendr en el futuro, y que le
    permitan al sistema de seguridad informtica anticiparse a los requerimientos de seguridad
    impuestos por el entorno, o por la organizacin a la cual el sistema de informacin sirve.

    10. Estndares

    La siguiente tabla muestra los estndares a ser adoptados:

    Componente Estndar (*)
    Anlisis de riesgos ISO/IEC 17799, NIST SP 800-30, NIST SP 800-6
    Anlisis de requerimientos y
    establecimiento de polticas de
    seguridad informtica
    ISO/IEC 17799, CSC-STD-001-83, ISO 15408, NIST SP 800-55, NIST SP 800-42,
    NIST SP 800-26, NIST SP 800-18, NIST SP 800-16
    Aseguramiento de Componentes
    de Datos
    ISO/IEC 17799, IEEE P1363, NIST SP 800-36, NIST SP 800-21, NIST SP 800-14,
    NIST SP 800-12
    Aseguramiento de Componentes
    de Software
    ISO/IEC 17799, NIST FIPS 73, NIST SP 800-44, NIST SP 800-41, NIST SP 800-36,
    NIST SP 800-14, NIST SP 800-5
    Aseguramiento de Componentes
    de Hardware
    ISO/IEC 17799, NSA/CSS Manual 130-2, NACSIM 5000, NIST SP 800-36, NIST SP
    800-14
    Aseguramiento de Componente
    Humano
    ISO/IEC 17799, NSA Security Guidelines Handbook, NIST SP 800-50, NIST SP 800-
    36, NIST SP 800-16, NIST SP 800-14, NSTISSI 4011, NSTISSD 500, NSTISSI 4013,
    NSTISSI 4014, NSTISSI 4015, CSC-STD-002-85
    Aseguramiento de Componentes
    de Interconectividad
    ISO/IEC 17799, IEEE P1363, NIST SP 800-45, NIST SP 800-47, NIST SP 800-41,
    NIST SP 800-36, NIST SP 800-25, NIST SP 800-21, NIST SP 800-14, NIST SP 800-
    13
    Aseguramiento de Infraestructura
    Fsica
    ISO/IEC 17799, DoD 5220.22-M, NSA Security Guidelines Handbook, NSTISSI 7000,
    NIST SP 800-36, NIST SP 800-14, NIST SP 800-12
    Administracin de la seguridad
    informtica
    ISO/IEC 17799, ISO/IEC DTR 13335, ISO/IEC DIS 14980, NIST SP 800-64,
    NIST SP 800-61, NIST SP 800-50, NIST SP 800-55, NIST SP 800-42, NIST SP 800-
    40, NIST SP 800-36, NIST SP 800-35, NIST SP 800-34, NIST SP 800-18, NIST SP
    800-16, NIST SP 800-6, NIST SP 800-5


    Borrador para discusin - 08/11/2004 3 de 4
    Cor|s|r lrle(seclo(|a| de Po|il|cas
    v 0esl|r de |a lrlo(rac|r pa(a |a
    Adr|r|sl(ac|r Puo||ca

    (*) Los estndares mencionados se especifican brevemente a continuacin:

    CSC-STD-001-83 DoD Trusted Computer System Evaluation Criteria, 1983
    CSC-STD-002-85 DoD Password Management Guidelines, 1985
    DoD 5220.22-M National Industrial Security Program Operating Manual, 1995
    ISO/IEC 17799 Information Technology, Code of Practice for Information Security Management, February
    2001
    ISO/IEC DTR 13335-1 Information technology -- Guidelines for the management of IT security
    ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation, August 1999
    ISO/IEC DIS 14980 Information technology -- Code of practice for information security management
    NSA Security Guidelines Handbook
    NSA/CSS Manual 130-2 Media Declassification and Destruction Manual
    NACSIM 5000 TEMPEST Fundamentals
    NSTISSI 7000 Tempest Countermeasures for Facilities, September 1993.
    NSTISSI 4011 National Training Standard for Information Systems Professionals, June 1994.
    NSTISSD 500 Information Systems Security Education, Training and Awareness, February 1993
    NSTISSI 4013 National Training Standard for System Administration in Information Systems Security, August
    1997
    NSTISSI 4014 National Training Standard for Information Systems Security Officers (ISSO), August 1997
    NSTISSI 4015 National Training Standard for Systems Certifiers, December 2000
    IEEE P1363 Standard Specifications For Public-Key Cryptography, 2003
    NIST FIPS 73 Guidelines for Security of Computer Applications, 1980
    NIST SP 800-64 Security Considerations in the Information System Development Life Cycle, October 2003
    NIST SP 800-61 Computer Security Incident Handling Guide
    NIST SP 800-50 Building an Information Technology Security Awareness and Training Program, October 2003
    NIST SP 800-55 Security Metrics Guide for Information Technology Systems, July 2003
    NIST SP 800-47 Security Guide for Interconnecting Information Technology Systems, September 2002
    NIST SP 800-45 Guidelines on Electronic Mail Security, September 2002
    NIST SP 800-44 Guidelines on Securing Public Web Servers, September 2002
    NIST SP 800-42 Guideline on Network Security Testing, October 2003
    NIST SP 800-41 Guidelines on Firewalls and Firewall Policy, January 2002
    NIST SP 800-40 Procedures for Handling Security Patches, September 2002
    NIST SP 800-36 Guide to Selecting Information Security Products, October 2003
    NIST SP 800-35 Guide to Information Technology Security Services, October 2003
    NIST SP 800-34 Contingency Planning Guide for Information Technology Systems, June 2002
    NIST SP 800-30 Risk Management Guide for Information Technology Systems, January 2002
    NIST SP 800-26 Security Self-Assessment Guide for Information Technology Systems, November 2001
    NIST SP 800-25 Federal Agency Use of Public Key Technology for Digital Signatures and Authentication,
    October 2000
    NIST SP 800-21 Guideline for Implementing Cryptography in the Federal Government, November 1999
    NIST SP 800-18 Guide for Developing Security Plans for Information Technology Systems, December 1998
    NIST SP 800-16 Information Technology Security Training Requirements: A Role- and Performance-Based
    Model, April 1998
    NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems,
    September 1996
    NIST SP 800-13 Telecommunications Security Guidelines for Telecommunications Management Network,
    October 1995
    NIST SP 800-12 An Introduction to Computer Security: The NIST Handbook, October 1995
    NIST SP 800-6 Automated Tools for Testing Computer System Vulnerability, December 1992
    NIST SP 800-5 A Guide to the Selection of Anti-Virus Tools and Techniques, December 1992

    11. Dnde obtener los estndares

    Todos los estndares se pueden obtener de manera gratuita de sitios Web en la Internet, excepto
    los estndares de la ISO/IEC que slo pueden ser bajados al comprarlos en el sitio Web de la ISO.
    Si alguna de las direcciones no lo lleva al estndar buscado, realice una bsqueda en algn motor
    de bsqueda como Google (www.google.com) con la referencia del estndar.

    Estndares del DoD/CSC:

    http://www.radium.ncsc.mil/tpep/library/rainbow/
    http://www.dss.mil/isec/nispom_0195.htm


    Borrador para discusin - 08/11/2004 4 de 4
    Cor|s|r lrle(seclo(|a| de Po|il|cas
    v 0esl|r de |a lrlo(rac|r pa(a |a
    Adr|r|sl(ac|r Puo||ca

    Estndares de la ISO/IEC

    http://www.iso.org

    Estndares de la NSTISSC

    http://www.nstissc.gov/html/library.html

    Estndares de la NSA

    http://www.politrix.org/foia/nsa/

    Estndares del NIST

    http://csrc.nist.gov/publications/

    Estndares de la IEEE

    http://grouper.ieee.org/groups/1363/

    Você também pode gostar