19 sep. 2018

Fundamentos de un SGSI según el CCN es España

En el Centro Criptográfico Nacional de España (CCN) podemos encontrar una serie de guías de la "familia 800 Guías Esquema Nacional de Seguridad (ENS)" del CCN-STIC (Seguridad de Tecnologías de la Información y las Telecomunicaciones), las cuáles son de libre descarga. No se debe confundir esta serie 800 con la Serie 800 de NIST, igual de útil.

Según ENS, el objeto último de la seguridad de la información es asegurar que una organización podrá cumplir sus objetivos utilizando sistemas de información. En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:
  • Seguridad integral.
  • Gestión de riesgos.
  • Prevención, reacción y recuperación.
  • Líneas de defensa.
  • Reevaluación periódica.
  • Función diferenciada.
El Anexo I del ENS define tres categorías de seguridad: Básica, Media o Alta.
  • En su punto 1 "Fundamentos para la determinación de la categoría de un sistema", esa categorización se basa en la valoración del impacto que tendría un incidente de seguridad sobre la organización.
  • En el punto 2, continúa definiendo las "Dimensiones de la seguridad" y a fin de poder determinar este impacto, se tendrán en cuenta las siguientes dimensiones: Autenticidad, Confidencialidad, Integridad, Disponibilidad, Accounting/Trazabilidad.
  • El punto 3, "Determinación del nivel requerido en una dimensión de seguridad" establece que si las consecuencias de un incidente de seguridad, afectan a alguna de las dimensiones de seguridad y suponen un determinado perjuicio sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados se clasificarán como:
Determinación del nivel requerido en  una dimensión de seguridad imagen
Determinación de la categoria de un sistgema de información imagen

Si bien CCN orienta estos documentos a España, los mismos pueden ser utilizados en cualquier tipo organización pública o privada para comenzar la organización de su Sistema de Gestión de Seguridad de la Información (SGSI).

Fuente: ElevenPaths

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!