Please enable JavaScript.
Coggle requires JavaScript to display documents.
NIST SP 800-37, REVISION 2 Chapter 3 PROCESS - Coggle Diagram
NIST SP 800-37, REVISION 2 Chapter 3 PROCESS
Prepare
Objetivos
- Facilitar la comunicación entre niveles de la org.
- Promover identificación en toda la org de controles comunes.
- Reducir complejidad en infraestructura TI.
- Identificar y priorizar recursos de activos de alto valor.
Si se logran, reducen significativamente la huella de tecnología de la información y la superficie de ataque de las organizaciones, promueven los objetivos de modernización de TI y priorizan las actividades de seguridad y privacidad para enfocar las estrategias de protección en los activos y sistemas más críticos.
-
Tareas System Level
- MISSION OR BUSINESS FOCUS
- SYSTEM STAKEHOLDERS
- ASSET IDENTIFICATION
- AUTHORIZATION BOUNDARY
- INFORMATION TYPES
- INFORMATION LIFE CYCLE
- RISK ASSESSMENT—SYSTEM
- REQUIREMENTS DEFINITION
- ENTERPRISE ARCHITECTURE
- REQUIREMENTS ALLOCATION
- SYSTEM REGISTRATION
Categorize
Purpose: Informar los procesos y tareas de gestión de riesgos organizacionales mediante la determinación del impacto adverso en las operaciones y activos organizacionales, individuos, otras organizaciones y la Nación con respecto a la pérdida de confidencialidad, integridad y disponibilidad de los sistemas organizacionales y la información procesada, almacenada y transmitida por esos sistemas.
Tareas
SYSTEM DESCRIPTION: Documentar las características del sistema.
SECURITY CATEGORIZATION: Categorice el sistema y documente los resultados de la categorización de seguridad.
SECURITY CATEGORIZATION REVIEW AND APPROVAL: Revise y apruebe los resultados y la decisión de la categorización de seguridad.
SELECT
Purpose: seleccionar, adaptar (tailor) y documentar los controles necesarios para proteger el sistema de información y la organización de acuerdo con el riesgo para las operaciones y los activos de la organización, los individuos, otras organizaciones.
Tareas
- CONTROL SELECTION: Seleccione los controles para el sistema y el entorno de operación.
- CONTROL TAILORING: Adapte los controles seleccionados para el sistema y el entorno de operación.
- CONTROL ALLOCATION: Asignar controles de seguridad y privacidad al sistema y al entorno de operación.
- DOCUMENTATION OF PLANNED CONTROL IMPLEMENTATIONS: Documentar los controles para el sistema y entorno de operación en planes de seguridad y privacidad.
- CONTINUOUS MONITORING STRATEGY—SYSTEM: Desarrollar e implementar una estrategia a nivel de sistema para monitorear la efectividad del control que sea consistente con la estrategia de monitoreo continuo de la organización y la complemente.
- PLAN REVIEW AND APPROVAL: Revisar y aprobar los planes de seguridad y privacidad del sistema y el entorno de operación.
IMPLEMENT
Purpose
Implementar los controles en los planes de seguridad y privacidad para el sistema y para la organización y documentar en una configuración de línea base, los detalles específicos de la implementación del control.
Tareas
- CONTROL IMPLEMENTATION: Implementar los controles en los planes de seguridad y privacidad.
- UPDATE CONTROL IMPLEMENTATION INFORMATION: Document changes to planned control implementations based on the “as-implemented” state of controls.
ASSESS
Purpose: Determinar si los controles seleccionados para la implementación se implementan correctamente, funcionan según lo previsto y producen el resultado deseado con respecto al cumplimiento de los requisitos de seguridad y privacidad para el sistema y la organización.
Tareas
- ASSESSOR SELECTION: Seleccione el evaluador o equipo de evaluación apropiado para el tipo de evaluación de control que se realizará.
- ASSESSMENT PLAN: Desarrollar, revisar y aprobar planes para evaluar los controles implementados.
- CONTROL ASSESSMENTS: Evaluar los controles de acuerdo con los procedimientos de evaluación descritos en los planes de evaluación.
- ASSESSMENT REPORTS: Prepare los informes de evaluación que documenten los hallazgos y recomendaciones de las evaluaciones de control.
- REMEDIATION ACTIONS: Llevar a cabo acciones de remediación iniciales en los controles y reevaluar los controles remediados.
- PLAN OF ACTION AND MILESTONES: Elaborar el plan de acción y los hitos basados en los hallazgos y recomendaciones de los informes de evaluación.
AUTHORIZE
Purpose: Proporcionar responsabilidad organizacional al requerir que un funcionario de alta gerencia determine si el riesgo de seguridad y privacidad para las operaciones y los activos de la organización, los individuos, otras organizaciones o la Nación según la operación un sistema o el uso de controles comunes, es aceptable
Tareas
- AUTHORIZATION PACKAGE: Reúna el paquete de autorización y envíe el paquete al funcionario autorizador para una decisión de autorización.
- RISK ANALYSIS AND DETERMINATION: Analizar y determinar el riesgo de la operación o uso del sistema o la provisión de controles comunes.
- RISK RESPONSE: Identificar e implementar un curso de acción preferido en respuesta al riesgo determinado.
- AUTHORIZATION DECISION: Determinar si el riesgo de la operación o uso del sistema de información o la provisión o uso de controles comunes es aceptable.
- AUTHORIZATION REPORTING : Informe la decisión de autorización y cualquier deficiencia en los controles que represente un riesgo significativo para la seguridad o la privacidad.
MONITOR
Purpose: Mantener una conciencia situacional continua sobre la postura de seguridad y privacidad del sistema de información y la organización en apoyo de las decisiones de gestión de riesgos.
Tareas
* SYSTEM AND ENVIRONMENT CHANGES: Monitorear el SI y su entorno de operación para detectar cambios que impacten la postura de seguridad y privacidad del sistema.
- ONGOING ASSESSMENTS: Evaluar los controles implementados dentro y heredados por el sistema de acuerdo con la estrategia de monitoreo continuo.
- ONGOING RISK RESPONSE: Responder al riesgo con base en los resultados de las actividades de monitoreo continuo, las evaluaciones de riesgo y los elementos pendientes en los planes de acción y los hitos.
- AUTHORIZATION PACKAGE UPDATES: Actualizar planes, informes de evaluación y planes de acción e hitos en función de los resultados del proceso de seguimiento continuo.
* SECURITY AND PRIVACY REPORTING: Informar la postura de seguridad y privacidad del sistema al funcionario autorizador y otros funcionarios de la organización de forma continua de acuerdo con la estrategia de supervisión continua de la organización.
- ONGOING AUTHORIZATION: Revise la postura de seguridad y privacidad del sistema de forma continua para determinar si el riesgo sigue siendo aceptable.
* SYSTEM DISPOSAL: Implemente una estrategia de eliminación del sistema y ejecute las acciones necesarias cuando un sistema se retire de la operación.