Controles de seguridad

Ir a: navegación, búsqueda de

Controles de seguridad son medidas de seguridad o contramedidas para evitar, contrarrestar o minimizar seguridad riesgos relativos a la propiedad personal, o cualquier propiedad de la empresa. Para business-to-business frente a las empresas cuyo servicio puede afectar los Estados financieros de la compañía, la perspectiva puede requerir los informes de auditoría exitosa de controles de políticas tales como un SSAE 16 Informe antes de concederles autorización como vendedor.

Para ayudar a revisión o diseño de controles de seguridad, se pueden clasificar según varios criterios, por ejemplo según el momento en que actúan, en relación con un incidente de seguridad:

  • Antes del evento, controles preventivos se pretende evitar que un incidente que ocurre por ejemplo por bloquear intrusos no autorizados;
  • Durante el evento, el detective controles se pretende identificar y caracterizar un incidente en progreso por ejemplo por sonar la alarma de intruso y alertar a los guardias de seguridad o policía;
  • Después del evento, controles correctivos están destinados a limitar la extensión de los daños causados por el incidente por ejemplo mediante la recuperación de la organización a su estado normal trabajar tan eficientemente como sea posible.

(Algunos profesionales de la seguridad añadir otras categorías tales como controles de disuasión y compensación. Otros argumentan que estas son categorías subsidiarios. Esto es simplemente una cuestión de semántica).

Controles de seguridad también pueden ser categorizados según su naturaleza, por ejemplo:

  • Controles físicos por ejemplo vallas, puertas, cerraduras y extinguidores de incendio;
  • Controles de procedimiento por ejemplo los procesos de respuesta a incidentes, supervisión de la gestión, sensibilización de seguridad y formación;
  • Controles técnicos por ejemplo autenticación de usuario (login) y controles de acceso lógico, software antivirus, cortafuegos;
  • Legales y reglamentarias o controles de cumplimiento por ejemplo las cláusulas de las leyes de privacidad y políticas.

Una clasificación similar distingue que involucran personas, tecnología y operaciones y procesos de control.

Protegen los controles de seguridad de información el confidencialidad, integridad o disponibilidad de de la información (el supuesto Tríada CIA). Otra vez, algunos agregaría otras categorías como el no repudio y rendición de cuentas, dependiendo de cómo estrecho o ampliamente la Tríada CIA se define.

Consciente de los riesgos organizaciones pueden elegir proactivamente a especificar, diseñar, implementar, operar y mantener sus controles de seguridad, generalmente mediante la evaluación de la riesgos e implementar un marco de gestión integral de seguridad tales como ISO/IEC 27002, el foro de seguridad de información es estándar de buenas prácticas para la seguridad de la información y NIST SP 800-53 (ver más abajo). Las organizaciones pueden optar para demostrar la idoneidad de sus controles de seguridad de la información por ser evaluaron de forma independiente contra las normas de certificación como ISO/IEC 27001.

En telecomunicaciones, controles de seguridad se definen como Servicios de seguridad como parte de Modelo de referencia OSI por la Recomendación UIT-T X.800. X.800 y ISO ISO 7498-2 (sistemas de procesamiento de la información-interconexión de sistemas abiertos – modelo básico de referencia – parte 2: arquitectura de seguridad técnicamente están alineados.

Contenido

  • 1 Normas de seguridad de la información y los marcos de control
    • 1.1 Estándares de seguridad internacional de información
    • 1.2 Normas de seguridad de información de Gobierno Federal de Estados Unidos
    • 1.3 Normas de seguridad de información del Departamento de defensa de Estados Unidos
  • 2 Véase también
  • 3 Referencias

Normas de seguridad de la información y los marcos de control

Numerosas normas de seguridad de información promoción prácticas de seguridad y definen los marcos o sistemas para estructurar el análisis y diseño para la administración de controles de seguridad de la información. Algunos de los más conocidos se describen abajo.

Estándares de seguridad internacional de información

ISO/IEC 27001:2013 especifica 114 controles en 14 grupos:

  • A.5: Políticas de seguridad de la información
  • A.6: Cómo se organiza la seguridad de información
  • A.7: recursos humanos seguridad - los controles que se aplican antes, durante o después del empleo.
  • A.8: Asset management
  • A.9: Acceder a los controles y administración del acceso de usuario
  • A.10: Tecnología criptográfica
  • A.11: Seguridad física de los sitios de la organización y el equipo
  • A.12: Seguridad operacional
  • A.13: Transferencia de datos y comunicaciones seguras
  • A.14: Asegurar la adquisición, desarrollo y soporte de sistemas de información
  • A.15: Seguridad para proveedores y terceros
  • A.16: Incident management
  • A.17: Negocios continuidad/recuperación ante desastres (en la medida en que afecta a seguridad de la información)
  • A.18: Cumplimiento - requisitos internos, tales como las políticas y requerimientos externos, tales como las leyes.

Normas de seguridad de información de Gobierno Federal de Estados Unidos

De NIST Publicación especial SP 800-53 Revisión 3.

  1. Control de acceso AC.
  2. EN la sensibilización y capacitación.
  3. AU auditoría y rendición de cuentas.
  4. CA la certificación, acreditación y evaluaciones de seguridad.
  5. Gestión de la configuración del CM.
  6. Planificación de contingencia CP.
  7. IA identificación y autenticación.
  8. Respuesta a incidentes de IR.
  9. Mantenimiento de MA.
  10. Protección de los medios de comunicación MP.
  11. PE física y protección ambiental.
  12. PL planificación.
  13. PS La seguridad personal.
  14. Evaluación del riesgo de RA.
  15. Sistema de SA y adquisición de servicios.
  16. Sistema SC y la protección de las comunicaciones.
  17. SI el sistema y la integridad de la información.
  18. PM Programa de gestión.

Normas de seguridad de información del Departamento de defensa de Estados Unidos

De DoD instrucción 8500.2 [1] Hay 8 Aseguramiento de la información Las áreas (IA) y los controles se denominan controles de IA.

  1. Configuración y diseño de seguridad DC
  2. IA identificación y autenticación
  3. CE Enclave y entorno informático
  4. EB Enclave límite defensa
  5. PE física y ambiental
  6. Personal de PR
  7. Continuidad del CO
  8. VI vulnerabilidad y gestión de incidencias

DoD asigna el control de IA por Tríada CIA pierna.

Véase también

Portal icon Portal de seguridad informática
  • Control de acceso
  • contramedida
  • Diseño ambiental
  • Seguridad de la información
  • Modelo de referencia OSI
  • Seguridad física
  • Riesgo
  • Seguridad
  • Ingeniería de seguridad
  • Gestión de la seguridad
  • Servicios de seguridad

Referencias

  • Estándar de buenas prácticas para la seguridad de la información del Foro de seguridad de la información
  • NIST SP 800-53 revisión 3
  • DoD instrucción 8500.2
  • Términos de FISMApedia

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Security_controls&oldid=628333957"