Seguridad

Seguridad
Interfaz de Seguridad
NDICE
DESCRIPCIN Y OBJETIVOS ............................................................................................... 4 PLANIFICACIN DE SISTEMAS DE INFORMACIN.............................................................. 5 ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA SEGURIDAD REQUERIDA EN EL PROCESO PLANIFICACIN DE SISTEMAS DE INFORMACIN.......................................... 6 Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin.................................................................................................. 6 Tarea PSI-SEG 1.2: Organizacin y Planificacin .............................................................. 7 ACTIVIDAD PSI-SEG 2: EVALUACIN DEL RIESGO PARA LA ARQUITECTURA TECNOLGICA .................................................................................................................. 8 Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de las Alternativas de Arquitectura Tecnolgica..................................................................................................................... 8 Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo de las Alternativas de Arquitectura Tecnolgica..................................................................................................................... 9 ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA SEGURIDAD EN EL PLAN DE ACCIN. 10 Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el Plan de Accin ......................... 10 ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE PLANIFICACIN DE SISTEMAS DE INFORMACIN ............................. 11 Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Planificacin de Sistemas de Informacin ...................................................... 11 ESTUDIO DE VIABILIDAD DEL SISTEMA............................................................................ 12 ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO ESTUDIO DE VIABILIDAD DEL SISTEMA.......................................................................... 13 Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema ................................................................................................................... 13 ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO DE SEGURIDAD ............................... 14 Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad ................................................. 14 ACTIVIDAD EVS-SEG 3: RECOMENDACIONES ADICIONALES DE SEGURIDAD PARA EL SISTEMA DE INFORMACIN............................................................................................ 15 Tarea EVS-SEG 3.1: Elaboracin de Recomendaciones de Seguridad ............................. 15 ACTIVIDAD EVS-SEG 4: EVALUACIN DE LA SEGURIDAD DE LAS ALTERNATIVAS DE SOLUCIN....................................................................................................................... 16 Tarea EVS-SEG 4.1: Valoracin y Evaluacin de la Seguridad de las Alternativas de Solucin ........................................................................................................................ 16 ACTIVIDAD EVS-SEG 5: EVALUACIN DETALLADA DE LA SEGURIDAD DE LA SOLUCIN PROPUESTA .................................................................................................................... 17 Tarea EVS-SEG 5.1: Descripcin Detallada de la Seguridad de la Solucin Propuesta...... 17 ACTIVIDAD EVS-SEG 6: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE ESTUDIO DE VIABILIDAD DEL SISTEMA.............................................. 18 Tarea EVS-SEG 6.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Estudio de Viabilidad del Sistema.................................................................. 18 ANLISIS DEL SISTEMA DE INFORMACIN ...................................................................... 20
Ministerio de Administraciones Pblicas
Metodologa MTRICA Versin 3
Seguridad
ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN.................................................................... 21 Tarea ASI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Anlisis del Sistema de Informacin.................................................................................................. 21 ACTIVIDAD ASI-SEG 2: DESCRIPCIN DE LAS FUNCIONES Y MECANISMOS DE SEGURIDAD..................................................................................................................... 22 Tarea ASI-SEG 2.1: Estudio de las Funciones y Mecanismos de Seguridad a Implantar .... 22 ACTIVIDAD ASI-SEG 3: DEFINICIN DE LOS CRITERIOS DE ACEPTACIN DE LA SEGURIDAD..................................................................................................................... 23 Tarea ASI-SEG 3.1: Actualizacin del Plan de Pruebas.................................................... 23 ACTIVIDAD ASI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN ........................................ 24 Tarea ASI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados Durante el Proceso de Anlisis del Sistema de Informacin.............................................................. 24 DISEO DEL SISTEMA DE INFORMACIN......................................................................... 26 ACTIVIDAD DSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN ...................................................................... 27 Tarea DSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Diseo del Sistema de Informacin.................................................................................................. 27 ACTIVIDAD DSI-SEG 2: ESPECIFICACIN DE REQUISITOS DE SEGURIDAD DEL ENTORNO TECNOLGICO .............................................................................................. 28 Tarea DSI-SEG 2.1: Anlisis de los Riesgos del Entorno Tecnolgico............................... 28 ACTIVIDAD DSI-SEG 3: REQUISITOS DE SEGURIDAD DEL ENTORNO DE CONSTRUCCIN............................................................................................................. 29 Tarea DSI-SEG 3.1: Identificacin de los Requisitos de Seguridad del Entorno de Construccin ................................................................................................................. 29 ACTIVIDAD DSI-SEG 4: DISEO DE PRUEBAS DE SEGURIDAD...................................... 30 Tarea DSI-SEG 4.1: Diseo de las Pruebas de Seguridad................................................ 30 ACTIVIDAD DSI-SEG 5: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN.......................................... 31 Tarea DSI-SEG 5.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Diseo del Sistema de Informacin ............................................................... 31 CONSTRUCCIN DEL SISTEMA DE INFORMACIN........................................................... 33 ACTIVIDAD CSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN........................................................ 34 Tarea CSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Construccin del Sistema de Informacin.................................................................................................. 34 ACTIVIDAD CSI-SEG 2: EVALUACIN DE LOS RESULTADOS DE PRUEBAS DE SEGURIDAD..................................................................................................................... 35 Tarea CSI-SEG 2.1: Estudio de los Resultados de Pruebas de Seguridad......................... 35 ACTIVIDAD CSI-SEG 3: ELABORACIN DEL PLAN DE FORMACIN DE SEGURIDAD..... 35 Tarea CSI-SEG 3.1: Elaboracin del Plan de Formacin de Seguridad ............................. 36 ACTIVIDAD CSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN............................ 37 Tarea CSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Construccin del Sistema de Informacin ...................................................... 37 IMPLANTACIN Y ACEPTACIN DEL SISTEMA................................................................. 39 ACTIVIDAD IAS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA............................................................... 40 Tarea IAS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Implantacin y Aceptacin del Sistema.................................................................................................. 40 ACTIVIDAD IAS-SEG 2: REVISIN DE MEDIDAS DE SEGURIDAD DEL ENTORNO DE OPERACIN .................................................................................................................... 41 Tarea IAS-SEG 2.1: Revisin de Medidas de Seguridad del Entorno de Operacin............ 41
Seguridad
ACTIVIDAD IAS-SEG 3: EVALUACIN DE RESULTADOS DE PRUEBAS DE SEGURIDAD DE IMPLANTACIN DEL SISTEMA................................................................................... 42 Tarea IAS-SEG 3.1: Estudio de los Resultados de Pruebas de Seguridad de Implantacin del Sistema ................................................................................................................... 42 ACTIVIDAD IAS-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA .................................. 43 Tarea IAS-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso Implantacin y Aceptacin del Sistema .............................................................. 43 ACTIVIDAD IAS-SEG 5: REVISIN DE MEDIDAS DE SEGURIDAD EN EL ENTORNO DE PRODUCCIN.................................................................................................................. 44 Tarea IAS-SEG 5.1: Revisin de Medidas de Seguridad en el Entorno de Produccin........ 44 MANTENIMIENTO DE SISTEMAS DE INFORMACIN.......................................................... 45 ACTIVIDAD MSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO MANTENIMIENTO DE SISTEMAS DE INFORMACIN....................................................... 46 Tarea MSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin................................................................................................ 46 ACTIVIDAD MSI-SEG 2: ESPECIFICACIN E IDENTIFICACIN DE LAS FUNCIONES Y MECANISMOS DE SEGURIDAD ....................................................................................... 47 Tarea MSI-SEG 2.1: Estudio de la Peticin...................................................................... 47 Tarea MSI-SEG 2.2: Anlisis de las Funciones y Mecanismos de Seguridad Afectados o Nuevos ......................................................................................................................... 48 ACTIVIDAD MSI-SEG 3: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE MANTENIMIENTO DE SISTEMAS DE INFORMACIN........................... 49 Tarea MSI-SEG 3.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Mantenimiento de Sistemas de Informacin................................................... 49
Seguridad
DESCRIPCIN Y OBJETIVOS
El objetivo de la interfaz de seguridad de MTRICA Versin 3 es incorporar en los sistemas de informacin mecanismos de seguridad adicionales a los que se proponen en la propia metodologa, asegurando el desarrollo de cualquier tipo de sistema a lo largo de los procesos que se realicen para su obtencin. La seguridad del sistema de informacin ya se considera en MTRICA Versin 3 como requisito funcional (ASI 2.1), es decir previamente al desarrollo del mismo. La interfaz de Seguridad hace posible incorporar durante la fase de desarrollo las funciones y mecanismos que refuerzan la seguridad del nuevo sistema y del propio proceso de desarrollo, asegurando su consistencia y seguridad. El anlisis de los riesgos constituye una pieza fundamental en el diseo y desarrollo de sistemas de informacin seguros. Si bien los riesgos que afectan a un sistema de informacin son de distinta ndole: naturales (inundaciones, incendios, etc.) o lgicos (fallos propios, ataques externos, virus, etc.) son estos ltimos los contemplados en la interfaz de Seguridad de MTRICA Versin 3. De lo anterior se desprende que existen dentro de la interfaz dos tipos de actividades diferenciadas: Actividades relacionadas con la seguridad intrnseca del sistema de informacin (representadas en la parte inferior del grfico). Actividades que velan por la seguridad del propio proceso de desarrollo del sistema de informacin (representadas en la parte superior del grfico).
Si en la organizacin ya existe un plan de seguridad o una metodologa de anlisis y gestin de riesgos como por ejemplo MAGERIT, para cada sistema de informacin debern analizarse las necesidades de seguridad del sistema respecto al mtodo vigente, y determinar las diferencias si las hubiera, as como aquellas necesidades concretas que no se encuentren recogidas, estableciendo as el plan de seguridad del sistema de informacin. Si no existe un plan de seguridad en la organizacin habr que desarrollarlo desde el principio. El plan recoger adems las medidas de seguridad activas o preventivas y reactivas, en respuesta a situaciones en que se produce un fallo reduciendo su efecto, relacionadas con la seguridad del sistema de informacin y del proceso de desarrollo. Las valoraciones sobre la seguridad deben ser realizadas en funcin de las caractersticas del sistema: complejidad, tamao, incertidumbre, participantes, etc. por los responsables de la seguridad del sistema de informacin, quienes se apoyarn para sus decisiones en su conocimiento y experiencia en la materia sin perder de vista adems que, al ser finitos los recursos, no pueden asegurarse todos los aspectos del desarrollo de los sistemas de informacin, por lo que habr que aceptar un determinado nivel de riesgo concentrndose en los aspectos ms comprometidos o amenazados, que sern diferentes segn las circunstancias.
Seguridad
PLANIFICACIN DE SISTEMAS DE INFORMACIN

En la actualidad, la mayora de las organizaciones suelen disponer, en mayor o menor grado, de una poltica de seguridad. Esta poltica constituir el punto de partida de la interfaz de seguridad, completndola o adaptndola en aquellos aspectos que as lo requieran. Si la organizacin no dispone de ella ser necesario realizar un esfuerzo suplementario dirigido a la identificacin de los objetivos de seguridad ya que su determinacin no es una tarea trivial. La seguridad influir en las decisiones adoptadas en el proceso de Planificacin de Sistemas de Informacin al igual que otros aspectos tales como la calidad, ya que debe ser un parmetro ms a contemplar en el anlisis y evaluacin de soluciones. En la siguiente figura aparecen las actividades de la interfaz de seguridad a lo largo del proceso Planificacin de Sistemas de Informacin (PSI).
PSI-SEG 1
PSI-SEG 4
PSI 1 Inicio del Plan del Sistemas de Informacin
PSI 2 Definicin y Organizacin del PSI
PSI 3 Estudio de Informacin Relevante
PSI 7 Definicin de la Arquitectura Tecnolgica
PSI 8 Definicin del Plan de Accin
PSI 9 Revisin y Aprobacin
PSI 4 Identificacin de Requisitos
PSI 6 Diseo del Modelo de Sistema de Informacin
PSI 5 Estudio de los Sistemas de Informacin Actuales
PSI-SEG 2
PSI-SEG 3
Seguridad
ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA SEGURIDAD REQUERIDA EN EL PROCESO PLANIFICACIN DE SISTEMAS DE INFORMACIN

Durante esta actividad, y para el proceso de Planificacin de Sistemas de Informacin, se especifica: La poltica de seguridad de la organizacin, si existe. La determinacin global de objetivos de seguridad. La organizacin necesaria para la seguridad.
Tarea
PSIEstudio de la SEG 1.1 Seguridad
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad
Requerida en el Proceso Planificacin de Sistemas de Informacin
PSI-SEG Organizacin y 1.2 Planificacin
Seguridad Requerida Sesiones de Trabajo en el Proceso Planificacin de Sistemas de Sistemas de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios Plan de Seguridad de Revisin Sistemas de Sesiones de Trabajo Informacin o Poltica de Seguridad de la Organizacin o Organizacin y Planificacin Necesaria para la Seguridad o Anlisis y Conclusiones
Responsable de Seguridad Comit de Direccin
Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin
El Responsable de Seguridad debe estudiar si es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos generados en las actividades del proceso Planificacin de Sistemas de Informacin. Como fruto de dicho estudio se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Descripcin General del PSI (PSI 1.3) Poltica de Seguridad de la Organizacin (externo) Riesgo Aceptable (Comit de Seguimiento)
Seguridad
De salida Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Tarea PSI-SEG 1.2: Organizacin y Planificacin

El responsable de seguridad determina la organizacin y planificacin necesaria para la seguridad del proceso con objetivos, fases y posibles condicionantes. Deben adaptarse los objetivos globales de seguridad de la organizacin relacionndolos con los recursos necesarios, y determinando as el equipo de seguridad necesario para el proceso de Planificacin de Sistemas de Informacin.
Productos
De entrada Poltica de Seguridad de la Organizacin (externo) Seguridad Requerida en el Proceso PSI (PSI-SEG 1.1) De salida Plan de Seguridad de los Sistemas de Informacin: o Poltica de Seguridad de la Organizacin o Organizacin y Planificacin Necesaria para la Seguridad o Anlisis y Conclusiones
Prcticas
Revisin Sesiones de Trabajo
Participantes
Responsable de Seguridad Comit de Direccin
Seguridad
ACTIVIDAD PSI-SEG 2: EVALUACIN DEL RIESGO PARA LA ARQUITECTURA TECNOLGICA

Se evalan las caractersticas (vulnerabilidades, riesgos y costes de los mecanismos de seguridad a implantar) para la arquitectura tecnolgica establecida en cada una de las alternativas de solucin. Dicha evaluacin se entrega al Comit de Seguimiento para su aprobacin.
Tarea
PSIEstudio y SEG 2.1 Evaluacin del
Productos
Seguridad de las Alternativas de Arquitectura Tecnolgica: o Caractersticas detalladas de seguridad para cada Alternativa o Anlisis y Gestin del Riesgo de cada Alternativa Seguridad de las Alternativas de Arquitectura Tecnolgica: o Anlisis y Gestin del Riesgo de la Arquitectura Tecnolgica o Nivel de Riesgo Aceptable
Tcnicas y Prcticas
Participantes
Equipo de Seguridad Responsable de Seguridad
Riesgo de las Alternativas de Arquitectura Tecnolgica
PSIRevisin de la SEG 2.2 Evaluacin del
Riesgo de las Alternativas de Arquitectura Tecnolgica
Comit de Seguimiento Responsable de Seguridad
Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de las Alternativas de Arquitectura Tecnolgica
El equipo de seguridad estudia las alternativas de arquitectura tecnolgica, analizando para cada una el nivel de seguridad, las vulnerabilidades, los riesgos y la posible gestin de los mismos. Para ello, dicho equipo realizar los siguientes pasos: Determinacin de los principales recursos (entornos, redes, comunicaciones, etc) de cada una de las alternativas de arquitectura tecnolgica. Identificacin de las amenazas relevantes para cada uno de los recursos anteriores. Determinacin del riesgo efectivo e intrnseco de cada alternativa. Seleccin de los mecanismos de salvaguarda oportunos que minimicen los riesgos.
Para la realizacin de esta tarea se puede tomar como referencia MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
Productos
De entrada Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2) Alternativas de Arquitectura Tecnolgica (PSI 7.1)
Seguridad
De salida Seguridad de las Alternativas de Arquitectura Tecnolgica: o Caractersticas detalladas de seguridad para cada Alternativa o Anlisis y Gestin del Riesgo de cada Alternativa
Prcticas
Participantes
Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo de las Alternativas de Arquitectura Tecnolgica
Una vez se dispone de la alternativa de la arquitectura tecnolgica seleccionada (PSI 7.2) y del estudio de seguridad de las alternativas obtenido en la tarea anterior, el Comit de Seguimiento y el Responsable de Seguridad realizan un examen del mismo para aceptarlo o rechazarlo.
Productos
De entrada Arquitectura Tecnolgica (PSI 7.2) Seguridad de las Alternativas de Arquitectura Tecnolgica (PSI-SEG 2.1) De salida Seguridad de las Alternativas de Arquitectura Tecnolgica: o Anlisis y Gestin del Riesgo de la Arquitectura Tecnolgica o Nivel de Riesgo Aceptable
Prcticas
Participantes
10
Seguridad
ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA SEGURIDAD EN EL PLAN DE ACCIN

Una vez definida la arquitectura tecnolgica en el Plan de Sistemas de Informacin se determina la poltica de seguridad a llevar a cabo en el Plan de Accin en funcin de los riesgos aceptados. El objetivo de esta actividad es detallar la forma en que se efectuar la puesta en marcha de los servicios y mecanismos de salvaguarda durante el Plan de Accin, as como la infraestructura y los recursos necesarios para llevarlo a cabo.
Tarea
PSIDeterminacin de la SEG 3.1 Seguridad en el
Productos
Tcnicas y Prcticas
Participantes
Plan de Accin
Seguridad para el Plan Revisin de Accin Sesiones de Trabajo
Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el Plan de Accin

Se estudia el Plan de Accin establecido en el Plan de Sistemas de Informacin (PSI 8.1) con el objetivo de programar los recursos lgicos y fsicos necesarios para la activacin de los servicios y mecanismos de salvaguarda que se determinaron para la arquitectura tecnolgica escogida.
Productos
De entrada Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2) Plan de Accin (PSI 8.1) De salida Seguridad para el Plan de Accin
Prcticas
Participantes
Seguridad
11
ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE PLANIFICACIN DE SISTEMAS DE INFORMACIN
Tarea
PSIClasificacin y SEG 4.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Productos Generados durante el Proceso de Planificacin de Sistemas de Informacin
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso PSI: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Planificacin de Sistemas de Informacin
El responsable de seguridad estudia los productos generados durante el proceso de Planificacin de Sistemas de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin (Vase la Interfaz de Gestin de Configuracin).
Productos
De entrada Productos generados durante el proceso Planificacin de Sistemas de Informacin De salida Catalogacin de los Productos Generados en el Proceso Planificacin de Sistemas de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
Participantes
12
Seguridad
ESTUDIO DE VIABILIDAD DEL SISTEMA

La primera actividad de la interfaz de Seguridad que debe abordarse en el proceso de Estudio de Viabilidad del Sistema es el estudio de la seguridad requerida en este proceso, seleccionando a continuacin a los miembros del Equipo de Seguridad para los procesos de Estudio de Viabilidad, Anlisis, Diseo, Construccin e Implantacin del Sistema de Informacin. Se trata de una tarea de vital importancia para las siguientes actividades de seguridad, tanto las relativas a la Seguridad del Sistema de Informacin, como para las concernientes a la Seguridad del Proceso de Desarrollo. Es importante que tanto el Responsable de Seguridad como el Equipo de Seguridad se basen en la poltica de seguridad de la organizacin y en la Seguridad para el Plan de Accin (PSI-SEG 3.1). Si no se ha realizado el proceso Planificacin de Sistemas de Informacin y las actividades de la interfaz de seguridad correspondientes al mismo, se partir de la poltica de seguridad de la organizacin y del nivel de riesgo aceptable. En el siguiente grfico se muestra la relacin entre las actividades del Estudio de Viabilidad del Sistema (EVS) y las de la interfaz de Seguridad.
EVS-SEG 1
EVS-SEG 6
EVS-SEG 2
EVS 1 Establecimiento del Alcance del Sistema
EVS 2 Estudio de la Situacin Actual
EVS 4 Estudio de Alternativas de Solucin
EVS 5 Valoracin de las Alternativas
EVS 6 Seleccin de la Solucin
EVS 3 Definicin de Requisitos del Sistema
EVS-SEG 3
EVS-SEG 4
EVS-SEG 5
Seguridad
13
ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO ESTUDIO DE VIABILIDAD DEL SISTEMA
Tarea
EVSEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema: o Seguridad para Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad Jefe de Proyecto
Requerida en el Proceso Estudio de Viabilidad del Sistema
Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema
El Responsable de Seguridad analiza la necesidad de supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos intermedios de alguna de las actividades del proceso Estudio de Viabilidad del Sistema. Para ello se basa en las particularidades del sistema de informacin y en la manera en que el proceso es llevado a cabo. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Catlogo de objetivos del EVS (EVS 1.1) Plan de trabajo (EVS 1.3) Seguridad para el Plan de Accin (PSI-SEG 3.1) De salida Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
14
Seguridad
ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO DE SEGURIDAD

Tarea
EVSSeleccin del SEG 2.1 Equipo de
Productos
Equipo de Seguridad o Perfil de Seleccin o Funciones y Responsabilidades
Tcnicas y Prcticas
Participantes
Seguridad
Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad

La naturaleza de las funciones a desempear y la criticidad y confidencialidad de la informacin y productos a los que tendr acceso el personal de seguridad hacen necesario que tanto el Comit de Seguimiento como el Responsable de Seguridad seleccionen cuidadosamente a los miembros del equipo de seguridad para el proceso de desarrollo completo. Deben realizarse las sesiones de trabajo necesarias para especificar las labores que deben desempear y con qu grado de responsabilidad.
Productos
De entrada Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2) De salida Equipo de Seguridad: o Perfil de Seleccin o Funciones y Responsabilidades
Prcticas
Participantes
Seguridad
15
ACTIVIDAD EVS-SEG 3: RECOMENDACIONES ADICIONALES DE SEGURIDAD PARA EL SISTEMA DE INFORMACIN

El Equipo de Seguridad establece las recomendaciones de seguridad del sistema en funcin del umbral del riesgo aceptado o asumible. Para ello, se estudian las amenazas y vulnerabilidades que en funcin del Catlogo de Requisitos del Sistema (EVS 3.3) se prevean, as como el impacto previsible de su materializacin.
Tarea
EVSElaboracin de SEG 3.1 Recomendaciones
Productos
Recomendaciones de Seguridad: o Normativas y Legislacin o Catlogo de Recomendaciones de Seguridad
Tcnicas y Prcticas
Sesiones de Trabajo Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad
de Seguridad
Tarea EVS-SEG 3.1: Elaboracin de Recomendaciones de Seguridad

El Equipo de Seguridad estudia la legislacin, normas y procedimientos referentes a la seguridad que son aplicables al sistema de informacin y que completan la poltica de seguridad de la organizacin, elaborando las recomendaciones de seguridad para dicho sistema.
Productos
De entrada Legislacin, Normas y Procedimientos de Seguridad (Externo) Catlogo de Normas (EVS 3.1) Catlogo de Requisitos (EVS 3.3) De salida Recomendaciones de Seguridad: o Normativas y Legislacin o Catlogo de Recomendaciones de Seguridad
Prcticas
Sesiones de Trabajo Catalogacin
Participantes
16
Seguridad
ACTIVIDAD EVS-SEG 4: EVALUACIN DE LA SEGURIDAD DE LAS ALTERNATIVAS DE SOLUCIN

Se revisan las caractersticas de seguridad (amenazas, vulnerabilidades, riesgos y costes de los mecanismos de seguridad a implantar) de cada una de las alternativas de solucin, identificando la alternativa ms adecuada de acuerdo con los requisitos de seguridad del sistema identificados en MTRICA Versin 3 y las recomendaciones adicionales de seguridad establecidas en EVS-SEG 3.1.
Tarea
EVSValoracin y SEG 4.1 Evaluacin de la
Productos
Tcnicas y Prcticas
Participantes
Seguridad de las Alternativas de Solucin
Seguridad de las Revisin Alternativas de Sesiones de Trabajo Solucin: o Caractersticas Detalladas para cada Alternativa o Resultado del Anlisis y Gestin del Riesgo
Tarea EVS-SEG 4.1: Valoracin y Evaluacin de la Seguridad de las Alternativas de Solucin

El Equipo de Seguridad estudia la informacin sobre las alternativas de solucin. Debe analizar el nivel de seguridad, las vulnerabilidades, los riesgos y la gestin de los mismos para cada una de las alternativas de solucin. Para ello dicho equipo sigue los pasos enumerados a continuacin: Determinacin de los principales recursos del sistema de informacin (entorno, aplicaciones, informacin, funcionalidades de la organizacin, personal, etc.) que intervienen en cada una de las alternativas de solucin. Identificacin de las amenazas relevantes para cada uno de los recursos anteriores. Determinacin del riesgo efectivo e intrnseco de cada una de las alternativas de solucin. Seleccin de los mecanismos de salvaguarda oportunos que minimicen los riesgos.
Productos
De entrada Recomendaciones de Seguridad (EVS-SEG 3.1) Alternativas de Solucin a Estudiar (EVS 4.2) Valoracin de Alternativas (EVS 5.2) Plan de Trabajo de cada Alternativa (EVS 5.3) De salida Seguridad de las Alternativas de Solucin: o Caractersticas Detalladas para cada Alternativa o Resultado del Anlisis y Gestin del Riesgo
Seguridad
17
Prcticas
Participantes
ACTIVIDAD EVS-SEG 5: EVALUACIN DETALLADA DE LA SEGURIDAD DE LA SOLUCIN PROPUESTA

El objetivo de esta actividad es describir en detalle la seguridad de la solucin escogida, identificando las posibles debilidades y mejoras.
Tarea
EVSDescripcin SEG 5.1 Detallada de la
Productos
Seguridad de la Solucin Propuesta: o Caractersticas Detalladas de Seguridad de la Solucin o Recomendacin Final de Mejoras de Seguridad
Tcnicas y Prcticas
Catalogacin
Participantes
Seguridad de la Solucin Propuesta
Tarea EVS-SEG 5.1: Descripcin Detallada de la Seguridad de la Solucin Propuesta

El estudio de la seguridad de la solucin propuesta debe llevarse a cabo partiendo del estudio de seguridad de las alternativas de solucin realizado en EVS-SEG 4, amplindolo y profundizando en el mismo para la alternativa seleccionada. Para ello se siguen las etapas citadas a continuacin: Determinacin de los principales recursos del sistema de informacin (entorno, aplicaciones, informacin, funcionalidades de la organizacin, personal, etc.) que intervienen en la solucin propuesta. Identificacin y estudio de las amenazas relevantes para cada uno de los recursos anteriores. Se analiza la posibilidad de que dichas amenazas se materialicen sobre cada recurso (vulnerabilidad del recurso) y su impacto en el sistema. Determinacin del riesgo efectivo e intrnseco de la solucin propuesta. Seleccin de los mecanismos de salvaguarda oportunos que minimicen los riesgos. Incorporacin, si es necesario, de nuevos mecanismos a este respecto.
Partiendo de una especificacin de las principales caractersticas de la solucin y mediante modelos de inferencia, se detectan las vulnerabilidades, riesgos y las
18
Seguridad
posibilidades de gestin que pueda hacerse de dichos riesgos. Tras esa labor el Equipo de Seguridad realiza una evaluacin de la seguridad de la solucin propuesta.
Productos
De entrada Solucin Propuesta (EVS 6.2) Seguridad de las Alternativas de Solucin (EVS-SEG 4.1) De salida Seguridad de la Solucin Propuesta: o Caractersticas Detalladas de Seguridad de la Solucin o Recomendacin Final de Mejoras de Seguridad
Prcticas
Catalogacin
Participantes
ACTIVIDAD EVS-SEG 6: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE ESTUDIO DE VIABILIDAD DEL SISTEMA
Tarea
EVSClasificacin y SEG 6.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Productos Generados durante el Proceso de Estudio de Viabilidad del Sistema
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso Estudio de Viabilidad del Sistema: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea EVS-SEG 6.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Estudio de Viabilidad del Sistema
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Estudio de Viabilidad del
Seguridad
19
Sistema y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Estudio de Viabilidad del Sistema. De salida Catalogacin de los Productos Generados en el Proceso Estudio de Viabilidad del Sistema: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
Participantes
20
Seguridad
ANLISIS DEL SISTEMA DE INFORMACIN

En las actividades de la interfaz de seguridad que se realizan durante el proceso de Anlisis del Sistema de Informacin se hace referencia a lo que se denomina funciones de seguridad y mecanismos de seguridad. El entendimiento de ambos conceptos es fundamental para comprender su papel dentro del trabajo de desarrollo de un sistema de informacin: Una funcin de seguridad se define como un servicio que garantiza la seguridad del sistema de informacin. Un mecanismo de seguridad se define como la lgica o el algoritmo que implementa una funcin de seguridad, ya sea en Hardware o en Software.
Las funciones y mecanismos adicionales de seguridad definidos en las actividades de interfaz se implementarn en el sistema a travs de MTRICA Versin 3, al igual que los dems requisitos de seguridad. En el siguiente grfico se muestra la relacin entre las actividades del proceso de Anlisis del Sistema de Informacin (ASI) y las de la interfaz de Seguridad.
ASI-SEG 1
ASI-SEG 4
ASI 1 Definicin del Sistema
ASI 2 Establecimiento de Requisitos
ASI 3 Identificacin de Subsistemas de Anlisis
Slo en Orientacin a Objetos
ASI 4 Anlisis de Casos de Uso
Slo en Estructurado
ASI 5 Anlisis de Clases
Actividades comunes
ASI 6 Elaboracin del Modelo de Datos ASI 9 Anlisis de Consistencia ASI 7 Elaboracin del Modelo de Datos ASI 10 Especificacin del Plan de Pruebas
ASI 11 Presentacin y Aprobacin Anlisis Sistema de Informacin
ASI 8 Definicin de Interfaces de Usuario
ASI-SEG 2
ASI-SEG 3
Seguridad
21
ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN
Tarea
ASIEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Anlisis del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad Jefe de Proyecto
Requerida en el Proceso de Anlisis del Sistema de Informacin
Tarea ASI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Anlisis del Sistema de Informacin
El Equipo de Seguridad estudia la necesidad de supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos generados en alguna de las actividades del proceso de Anlisis del Sistema de Informacin. Para ello se parte de la planificacin del proceso obtenida mediante la interfaz de Gestin de Proyectos (GPI 2) y de las particularidades del sistema de informacin. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Catlogo de Requisitos (ASI 1.1) Planificacin detallada (GPI 2) De salida Seguridad Requerida en el Proceso Anlisis del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
22
Seguridad
ACTIVIDAD ASI-SEG 2: DESCRIPCIN DE LAS FUNCIONES Y MECANISMOS DE SEGURIDAD

El objetivo de esta actividad es describir las funciones adicionales de seguridad prestando especial atencin a las de tipo organizativo que deben ser incorporadas al catlogo de requisitos del sistema. Igualmente deben determinarse los mecanismos de seguridad que permiten la consecucin de tales funciones.
Tarea
ASIEstudio de las SEG 2.1 Funciones y
Productos
Funciones y Mecanismos de Seguridad: o Estudio de Riesgos o Especificacin de Funciones de Seguridad o Mecanismos de Seguridad
Tcnicas y Prcticas
Catalogacin
Participantes
Mecanismos de Seguridad a Implantar
Tarea ASI-SEG 2.1: Estudio de las Funciones y Mecanismos de Seguridad a Implantar

Se estudian los aspectos complementarios a los contemplados en MTRICA Versin 3 en cuanto a funciones y mecanismos de seguridad a implantar. La seleccin de las funciones de seguridad a implementar se hace en funcin de la gestin de los riesgos escogida, de forma que los riesgos se minimicen, eliminen o controlen. El Equipo de Seguridad ha de determinar el tipo de funciones de seguridad a implantar (de prevencin, de deteccin o de correccin) y la naturaleza de las mismas (tcnica, fsica, organizativa, etc.). Se presta especial atencin a los aspectos de seguridad organizativa, ya que son tanto o ms importantes que los relativos a la seguridad fsica y tcnica. Para la determinacin de tales funciones pueden utilizarse las tcnicas que posea al efecto la metodologa de anlisis y gestin de riesgos seleccionada, por ejemplo MAGERIT. As mismo se establecen los mecanismos de seguridad que implementan esas funciones. Las funciones y mecanismos adicionales de seguridad definidos en esta actividad se implementarn en el sistema a travs de MTRICA Versin 3, al igual que los dems requisitos de seguridad.
Productos
De entrada Seguridad de la Solucin Propuesta (EVS-SEG 5.1) Catlogo de Requisitos (ASI 2.1) De salida Funciones y Mecanismos de Seguridad: o Estudio de Riesgos o Especificacin de Funciones de Seguridad
Seguridad
23
Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
ACTIVIDAD ASI-SEG 3: DEFINICIN DE LOS CRITERIOS DE ACEPTACIN DE LA SEGURIDAD

El Equipo de Seguridad debe determinar los criterios de aceptacin de la seguridad para el sistema de informacin.
Tarea
ASIActualizacin del SEG 3.1 Plan de Pruebas
Productos
Plan de Pruebas o Criterios de Seguridad
Tcnicas y Prcticas
Participantes
Responsable de Seguridad Equipo de Seguridad Jefe de Proyecto
Tarea ASI-SEG 3.1: Actualizacin del Plan de Pruebas

Partiendo del plan de pruebas del Sistema de Informacin, se incluirn en las pruebas los funciones y mecanismos adicionales de seguridad. El Equipo de Seguridad debe comprobar la eficiencia del sistema de informacin para la eliminacin, control o reduccin de las amenazas mediante los mecanismos de seguridad.
Productos
De entrada Plan de Pruebas (ASI 10.3) Funciones y Mecanismos de Seguridad (ASI-SEG 2.1) De salida Plan de Pruebas: o Criterios de Seguridad
Prcticas
Participantes
Responsable de Seguridad Equipo de Seguridad del Proyecto Jefe de Proyecto
24
Seguridad
ACTIVIDAD ASI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN
Tarea
ASIClasificacin y SEG 4.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Catalogacin de los Revisin Productos Generados Catalogacin Productos en el Proceso Anlisis Generados durante del Sistema de el Proceso de Informacin: Anlisis del Sistema o Determinacin de de Informacin Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea ASI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados Durante el Proceso de Anlisis del Sistema de Informacin
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Anlisis del Sistema de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Anlisis del Sistema de Informacin De salida Catalogacin de los Productos generados en el proceso Anlisis del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
Seguridad
25
Participantes
26
Seguridad
DISEO DEL SISTEMA DE INFORMACIN

Durante este proceso cobran especial relevancia las actividades que tienden a velar por la seguridad del sistema de informacin, disendose las funciones de seguridad que controlarn, minimizarn o eliminarn los riesgos intrnsecos al sistema de informacin. Es tambin importante para la seguridad la determinacin del entorno tecnolgico, ya que sobre l se debern incorporar las funciones y mecanismos de seguridad. En el siguiente grfico se aprecia la relacin entre las actividades del proceso Diseo del Sistema de Informacin (DSI) y las de la interfaz de Seguridad.
DSI-SEG 1
DSI-SEG 5
DSI 1 Definicin de la Arquitectura del Sistema
DSI 2 Diseo de la Arquitectura de Soporte
DSI 3 Diseo de Casos de Uso Reales
DSI 8 Generacin de Especificaciones de Construccin
DSI 4 Diseo de Clases
DSI 7 Verificacin y Aceptacin de la Arquitectura del Sistema
DSI 9 Diseo de Migracin y Carga Inicial de Datos DSI 10 Especificacin Tcnica del Plan de Pruebas
DSI 12 Aprobacin del Diseo Sistema de Informacin
DSI 5 Diseo de la Arquitectura de Mdulos del Sistema
Actividad comn
DSI 6 Diseo Fsico de Datos
DSI 11 Establecimiento De Requisitos de Implantacin
Actividad slo Orientado a Objetos
Actividad slo Estructurado
DSI-SEG 2
DSI-SEG 3
DSI-SEG 4
Seguridad
27
ACTIVIDAD DSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN
Tarea
DSIEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Diseo del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Requerida en el Proceso de Diseo del Sistema de Informacin
Tarea DSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Diseo del Sistema de Informacin
El Responsable de Seguridad y el Equipo de Seguridad estudian, partiendo de las particularidades del sistema de informacin, si es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad de los productos intermedios) de alguna de las actividades del proceso Diseo del Sistema de Informacin previstas en la planificacin del proceso obtenida mediante la interfaz de Gestin de Proyectos (GPI 2). Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Planificacin detallada (GPI 2) De salida Seguridad Requerida en el Proceso Diseo del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
28
Seguridad
ACTIVIDAD DSI-SEG 2: ESPECIFICACIN DE REQUISITOS DE SEGURIDAD DEL ENTORNO TECNOLGICO

Es una realidad que el entorno tecnolgico acta de manera significativa en la seguridad del sistema de informacin. En algunos casos aporta mayor seguridad al sistema; en otros, por el contrario, provoca un dficit de seguridad que habr de ser superado. Esta actividad estudia en qu modo y en qu medida el entorno tecnolgico previsto influye en la seguridad.
Tarea
DSIAnlisis de los SEG 2.1 Riesgos del Entorno
Productos
Requisitos de Seguridad del Entorno Tecnolgico
Tcnicas y Prcticas
Participantes
Tecnolgico
Tarea DSI-SEG 2.1: Anlisis de los Riesgos del Entorno Tecnolgico

El Equipo de Seguridad estudia los riesgos que plantea la conjuncin del entorno tecnolgico previsto y el sistema de informacin. Las tcnicas para la deteccin de riesgos sirven de apoyo para la identificacin de los mismos en el entorno tecnolgico del sistema.
Productos
De entrada Diseo de la Arquitectura del Sistema (DSI 1.5) Entorno Tecnolgico del Sistema (DSI 1.6) De salida Requisitos de Seguridad del Entorno Tecnolgico
Participantes
Seguridad
29
ACTIVIDAD DSI-SEG 3: REQUISITOS DE SEGURIDAD DEL ENTORNO DE CONSTRUCCIN

El Equipo de Seguridad establece los requisitos de seguridad que debe cumplir el entorno de construccin del Sistema de Informacin (ubicacin, gestin de los datos, comunicaciones, control de acceso, etc.).
Tarea
DSIIdentificacin de los SEG 3.1 Requisitos de
Productos
Requisitos de Seguridad del Entorno de Construccin
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Seguridad del Entorno de Construccin
Tarea DSI-SEG 3.1: Identificacin de los Requisitos de Seguridad del Entorno de Construccin
El Equipo de Seguridad estudia las condiciones que debe cumplir el entorno de Construccin del Sistema de Informacin en materia de seguridad. Para ello se lleva a cabo un anlisis de la seguridad del entorno de construccin, determinando los riesgos intrnsecos y los mecanismos de salvaguarda.
Productos
De entrada Especificaciones de Construccin del Sistema de Informacin (DSI 8.4) Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1) De salida Requisitos de Seguridad del Entorno de Construccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
30
Seguridad
ACTIVIDAD DSI-SEG 4: DISEO DE PRUEBAS DE SEGURIDAD

A partir del plan de pruebas del sistema y teniendo en cuenta las funciones y mecanismos de seguridad as como los requisitos de seguridad del entorno, el Equipo de Seguridad ha de acometer el diseo de las pruebas de seguridad.
Tarea
Diseo de las DSISEG 4.1 Pruebas de Seguridad
Productos
Tcnicas y Prcticas
Participantes
Diseo de Pruebas de Pruebas del Sistema Seguridad del Sistema Pruebas de y Aceptacin Aceptacin
Tarea DSI-SEG 4.1: Diseo de las Pruebas de Seguridad

El Equipo de Seguridad debe realizar el diseo especfico de las pruebas de seguridad del sistema y establecer la manera en que se comprobar la seguridad del mismo.
Productos
De entrada Plan de Pruebas (ASI-SEG 4.1) Funciones y Mecanismos de Seguridad (ASI-SEG 2.1) Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1) Procedimientos de Seguridad y Control de acceso (DSI 1.7) Plan de Pruebas (DSI 10.1) De salida Diseo de Pruebas de Seguridad del Sistema y Aceptacin
Prcticas
Pruebas del Sistema Pruebas de Aceptacin
Participantes
Seguridad
31
ACTIVIDAD DSI-SEG 5: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN
Tarea
DSIClasificacin y SEG 5.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Productos Generados durante el Proceso de Diseo del Sistema de Informacin
Clasificacin y Revisin Catalogacin de los Catalogacin Productos Generados en el Proceso Diseo del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de productos generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea DSI-SEG 5.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Diseo del Sistema de Informacin
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Diseo del Sistema de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad (ACID). En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Diseo del Sistema de Informacin De salida Catalogacin de los Productos Generados en el Proceso Diseo del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
32
Seguridad
Participantes
Seguridad
33
CONSTRUCCIN DEL SISTEMA DE INFORMACIN

Dada la gran cantidad de productos generados en este proceso y segn las caractersticas del proyecto, el entorno de construccin debe ser sometido a controles de seguridad que eviten filtraciones indeseables de datos relativos al sistema de informacin. Adems se verifica el resultado de las pruebas de las funciones y mecanismos adicionales de seguridad. Se completa la Definicin de la Formacin a Usuarios Finales (CSI 7) con un plan de formacin especfico en seguridad dirigido a los distintos usuarios del sistema y en el que se contemplan diferentes niveles y perfiles. En el siguiente grfico se aprecia la relacin entre las actividades del proceso Construccin del Sistema de Informacin (CSI) y las de la interfaz de Seguridad.
CSI -SEG 1 CSI 2 Generacin del Cdigo de los componentes y Procedimientos CSI 1 Preparacin del Entorno de Generacin y Construccin CSI 3 Ejecucin de las Pruebas Unitarias CSI 5 Ejecucin de las Pruebas del Sistema
CSI -SEG 4
CSI 9 Aprobacin del Sistema de Informacin
CSI 4 Ejecucin de las Pruebas de Integracin
CSI 6 Elaboracin de los Manuales de Usuario
CSI 7 Definicin de la Formacin de Usuarios Finales
CSI 8 Construccin Componentes y Procedimientos de Migracin y Carga Inicial de Datos
CSI-SEG 2
CSI-SEG 3
34
Seguridad
ACTIVIDAD CSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN
Tarea
CSIEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Construccin del Sistema de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Requerida en el Proceso de Construccin del Sistema de Informacin
Tarea CSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Construccin del Sistema de Informacin
El Equipo de Seguridad analiza si es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad de los productos intermedios) de alguna de las actividades pertenecientes al proceso de Construccin del Sistema de Informacin previstas en la planificacin del proceso obtenida mediante la interfaz de Gestin de Proyectos (GPI 2). Para ello parte de las particularidades del sistema de informacin. Como producto de este estudio, el Equipo de Seguridad elabora un informe con las principales caractersticas del proceso y el control de la seguridad de sus actividades, tanto a nivel de ejecucin como de los productos intermedios.
Productos
De entrada Planificacin detallada (GPI 2) De salida Seguridad Requerida en el Proceso Construccin del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Seguridad
35
ACTIVIDAD CSI-SEG 2: EVALUACIN DE LOS RESULTADOS DE PRUEBAS DE SEGURIDAD

Tarea
CSIEstudio de los SEG 2.1 Resultados de
Productos
Resultados de las Pruebas de Seguridad de Integracin y de Sistema
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Pruebas de Seguridad
Tarea CSI-SEG 2.1: Estudio de los Resultados de Pruebas de Seguridad

El Equipo de Seguridad estudia los resultados obtenidos en las pruebas de seguridad unitarias, de integracin y del Sistema de Informacin, y comprueba que no ha habido problemas debidos a las funciones y mecanismos adicionales de seguridad incorporados al sistema.
Productos
De entrada Diseo de Pruebas de Seguridad de Sistema y Aceptacin (DSI-SEG 4.1) Resultado de las Pruebas Unitarias (CSI 3.2) Resultado de las Pruebas de Integracin (CSI 4.2) Resultado de las Pruebas del Sistema (CSI 5.2) De salida Resultados de las Pruebas de Seguridad de Integracin y de Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
ACTIVIDAD CSI-SEG 3: ELABORACIN DEL PLAN DE FORMACIN DE SEGURIDAD

Para garantizar que los usuarios son conscientes de las amenazas y riesgos en el mbito de la seguridad del Sistema de Informacin, se desarrolla un plan de formacin. Con ello se intenta reducir el riesgo que provoca respecto a la seguridad el factor
36
Seguridad
humano, por accin o negligencia, ya que por muchas medidas que existan, si las personas no las aplican todo es intil.
Tarea
CSIElaboracin del Plan SEG 3.1 de Formacin de
Productos
Plan de Formacin de Seguridad
Tcnicas y Prcticas
Sesiones de Trabajo Planificacin
Participantes
Seguridad
Tarea CSI-SEG 3.1: Elaboracin del Plan de Formacin de Seguridad

En esta tarea se definen las pautas que deben seguir los grupos de usuarios en materia de seguridad. Para ello el Equipo de Seguridad define planes de formacin especficos, contemplando distintos niveles y perfiles, para los grupos de usuarios finales y usuarios de operacin del sistema de informacin. El Responsable de Seguridad establece, tambin de forma particular, la manera en que debe acometerse la formacin de los grupos de usuarios.
Productos
De entrada Funciones y Mecanismos de Seguridad (DSI-SEG 3.1) Recomendaciones de Seguridad (EVS-SEG 3.1) Especificacin de la Formacin a Usuarios Finales (CSI 7.1) De salida Plan de Formacin de Seguridad
Tcnicas
Planificacin
Prcticas
Sesiones de Trabajo
Participantes
Seguridad
37
ACTIVIDAD CSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN
Tarea
CSIClasificacin y SEG 4.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Productos Generados durante el Proceso de Construccin del Sistema de Informacin
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso Construccin del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea CSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Construccin del Sistema de Informacin
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Construccin del Sistema de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Construccin del Sistema de Informacin De salida Catalogacin de los Productos Generados en el Proceso Construccin del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
38
Seguridad
Participantes
Seguridad
39
IMPLANTACIN Y ACEPTACIN DEL SISTEMA

En este proceso se define de forma detallada la seguridad para la implantacin del sistema una vez construido, especificando tanto las actividades relacionadas con la seguridad intrnseca del propio sistema, como las que velan por la seguridad del proceso. El equipo de seguridad tiene como objetivo reforzar los procedimientos de seguridad y control de accesos previstos en MTRICA Versin 3 en el proceso de Implantacin y Aceptacin del Sistema (IAS 3). Tiene especial importancia el asegurar que se cubren los requisitos de seguridad, a travs de las pruebas de implantacin, comprobando las funciones y mecanismos adicionales. Dichos requisitos se debern tener en cuenta al establecer el acuerdo de nivel de servicio para el sistema antes de su puesta en produccin. En el siguiente grfico se aprecia la relacin entre las actividades del proceso Implantacin y Aceptacin del Sistema (IAS) y las de la interfaz de seguridad.
IAS-SEG 1
IAS-SEG 4
IAS 1 Establecimiento del Plan de Implantacin
IAS 2 Formacin necesaria para la Implantacin
IAS 3 Incorporacin del Sistema a Entorno de Operacin
IAS 5 Pruebas de Implantacin del Sistema
IAS 6 Pruebas de Aceptacin del Sistema
IAS 9 Presentacin y Aprobacin del Sistema
IAS 10 Paso a Produccin
IAS 4 Carga de datos al Entorno de Operacin
IAS 7 Preparacin del Mantenimiento
IAS 8 Establecimiento del Acuerdo de Nivel de Servicio
IAS-SEG 2
IAS-SEG 3
IAS-SEG 5
40
Seguridad
ACTIVIDAD IAS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA
Tarea
IASEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Implantacin y Aceptacin del Sistema de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Requerida en el Proceso de Implantacin y Aceptacin del Sistema
Tarea IAS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Implantacin y Aceptacin del Sistema
El Equipo de Seguridad analiza la necesidad de supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad de los productos intermedios) de alguna de las actividades pertenecientes al proceso de Implantacin y Aceptacin del Sistema. Para ello parte de las particularidades del sistema. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Plan de Implantacin (IAS 1.1)
De salida
Seguridad Requerida en el Proceso Implantacin y Aceptacin del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Seguridad
41
ACTIVIDAD IAS-SEG 2: REVISIN DE MEDIDAS DE SEGURIDAD DEL ENTORNO DE OPERACIN

Tarea
IASRevisin de SEG 2.1 Medidas de
Productos
Medidas de Seguridad del Entorno de Operacin
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Seguridad del Entorno de Operacin
Tarea IAS-SEG 2.1: Revisin de Medidas de Seguridad del Entorno de Operacin

En la preparacin de la instalacin (IAS 3.1) se comprueba la disponibilidad de la infraestructura necesaria para configurar el entorno. El objetivo de esta tarea es que el Equipo de Seguridad refuerce las acciones que relativas a procedimientos de seguridad y control de accesos se realizan en IAS 3.1, verificando, basndose en las particularidades del sistema, que se cubren las medidas de seguridad necesarias que hacen referencia al entorno de operacin sobre el que se implantar el sistema y a la carga inicial de datos.
Productos
De entrada Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1) De salida Medidas de Seguridad del Entorno de Operacin
Prcticas
Sesiones de Trabajo
Participantes
42
Seguridad
ACTIVIDAD IAS-SEG 3: EVALUACIN DE RESULTADOS DE PRUEBAS DE SEGURIDAD DE IMPLANTACIN DEL SISTEMA

Tarea
IASEstudio de los SEG 3.1 Resultados de
Productos
Resultados de las Pruebas de Seguridad de Implantacin del Sistema
Tcnicas y Prcticas
Pruebas de Implantacin
Participantes
Equipo de Seguridad
Pruebas de Seguridad de Implantacin del Sistema
Tarea IAS-SEG 3.1: Estudio de los Resultados de Pruebas de Seguridad de Implantacin del Sistema
El Equipo de Seguridad estudia los resultados obtenidos en las pruebas de seguridad del sistema, una vez implantado en el entorno de operacin, y comprueba que las funciones y mecanismos adicionales incorporados no han originado problemas.
Productos
De entrada Resultado de las Pruebas de Implantacin (IAS 5.2) Diseo de Pruebas de Seguridad del Sistema y Aceptacin (DSI-SEG 4.1) De salida Resultados de las Pruebas de Seguridad de Implantacin del Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
Seguridad
43
ACTIVIDAD IAS-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA
Tarea
IASClasificacin y SEG 4.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Productos Generados durante el Proceso Implantacin y Aceptacin del Sistema
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso Implantacin y Aceptacin del Sistema: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea IAS-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso Implantacin y Aceptacin del Sistema
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Implantacin y Aceptacin del Sistema y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Implantacin y Aceptacin del Sistema De salida Catalogacin de los Productos Generados en el Proceso Implantacin y Aceptacin del Sistema: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
44
Seguridad
Participantes
ACTIVIDAD IAS-SEG 5: REVISIN DE MEDIDAS DE SEGURIDAD EN EL ENTORNO DE PRODUCCIN

Tarea
IASRevisin de SEG 5.1 Medidas de
Productos
Tcnicas y Prcticas
Participantes
Seguridad en el Entorno de Produccin
Revisin de Medidas Sesiones de Trabajo de Seguridad del Entorno de Produccin
Tarea IAS-SEG 5.1: Revisin de Medidas de Seguridad en el Entorno de Produccin

Si el entorno donde se han realizado las pruebas de implantacin del sistema no coincide con el entorno de produccin, el Equipo de Seguridad debe asegurar de nuevo que se cubren las medidas de seguridad esenciales que hacen referencia al entorno de operacin sobre el que se va a implantar el sistema de forma definitiva y a la carga de datos necesaria para su correcto funcionamiento. Deber tenerse en cuenta el control y registro de incidentes, tanto provocados como por fallos propios, as como la respuesta dada a los mismos, que a veces puede suponer volver a etapas previas para resolver el problema.
Productos
De entrada Requisitos de Seguridad del Entorno Tecnolgico Previsto (DSI-SEG 2.1) De salida Revisin de Medidas de Seguridad del Entorno de Produccin
Prcticas
Sesiones de Trabajo
Participantes
Seguridad
45
MANTENIMIENTO DE SISTEMAS DE INFORMACIN

El hecho de contemplar cuestiones de seguridad en el proceso de Mantenimiento de Sistemas de Informacin es til en la toma de decisiones ante una posible peticin de una nueva funcionalidad o la modificacin de una existente, ya que la seguridad debe ser un parmetro ms a contemplar en el anlisis y evaluacin de soluciones. En la siguiente figura aparecen las actividades de la interfaz de seguridad a lo largo del proceso Mantenimiento de Sistemas de Informacin (MSI).
MSI-SEG 1
MSI-SEG 3
MSI 1 Registro de la Peticin
MSI 2 Anlisis de la Peticin
MSI 3 Preparacin de la Implementacin de la Modificacin
MSI 4 Seguimiento y Evaluacin de los Cambios hasta la Aceptacin
MSI-SEG 2
46
Seguridad
ACTIVIDAD MSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO MANTENIMIENTO DE SISTEMAS DE INFORMACIN

Tarea
MSIEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Sistemas de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios .
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad Equipo de Seguridad Responsable de Mantenimiento
Requerida en el Proceso Mantenimiento de Sistemas de Informacin
Tarea MSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin
El Responsable de Seguridad, junto con el Equipo de Seguridad, debe estudiar si es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos generados en las actividades del proceso Mantenimiento de Sistemas de Informacin. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Plan de Mantenimiento (IAS 7.2) De salida Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Seguridad
47
Responsable de Mantenimiento
ACTIVIDAD MSI-SEG 2: ESPECIFICACIN E IDENTIFICACIN DE LAS FUNCIONES Y MECANISMOS DE SEGURIDAD

Se estudia si la peticin est relacionada con la seguridad del sistema, en cuyo caso se especifican las funciones de seguridad que deben ser incorporadas en el Mantenimiento del sistema, indicando los mecanismos de seguridad que permiten la consecucin de tales funciones.
Tarea
MSIEstudio de la SEG 2.1 Peticin
Productos
Recomendaciones de Seguridad Funciones y Mecanismos de Seguridad: o Estudio de Riesgos o Especificacin de Funciones de Seguridad o Mecanismos de Seguridad
Tcnicas y Prcticas
Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad Responsable de Seguridad Equipo de Seguridad
MSIAnlisis de las SEG 2.2 Funciones y
Catalogacin
Mecanismos de Seguridad Afectados o Nuevos
Tarea MSI-SEG 2.1: Estudio de la Peticin

Ante una solicitud de cambio, habr que estudiar si el motivo de la peticin es, directa o indirectamente, un fallo interno en materia de seguridad o un ataque externo y adoptar en su caso las medidas oportunas para paliarlo. Las peticiones de cambio originadas por problemas de seguridad deben tenerse en cuenta en proyectos futuros, que desde un principio se beneficiarn de las experiencias anteriores habidas en la organizacin.
Productos
De entrada Propuesta de Solucin (MSI 2.2) Catlogo de Peticiones (MSI 2.2) Funciones y Mecanismos de Seguridad (ASI-SEG 2.1) De salida Recomendaciones de Seguridad
Prcticas
Catalogacin
48
Seguridad
Participantes
Tarea MSI-SEG 2.2: Anlisis de las Funciones y Mecanismos de Seguridad Afectados o Nuevos
Se tendr en cuenta la seleccin de las funciones de seguridad realizada en el proceso de Anlisis del Sistema, a partir del cual se ver si es necesario la implantacin de alguna funcin adicional o, en su caso, la modificacin de alguna existente. Las posibles nuevas funciones a implementar se hace en funcin de la gestin de los riesgos escogida, de forma que los riesgos se minimicen, eliminen o controlen. El Equipo de Seguridad ha de determinar el tipo de funciones de seguridad a implantar (de prevencin, de deteccin o de correccin) y la naturaleza de las mismas (tcnica, fsica, organizativa, etc.). Para la determinacin de tales funciones podrn utilizarse las tcnicas propuestas en la metodologa de anlisis y gestin de riesgos que se emplee. Se establecen los mecanismos de seguridad que implementan esas funciones.
Productos
De entrada Recomendaciones de Seguridad (MSI-SEG 2.1) Propuesta de Solucin (MSI 2.2) Catlogo de Peticiones (MSI 2.2) Funciones y Mecanismos de Seguridad (ASI-SEG 2.1) De salida Funciones y Mecanismos de Seguridad: o Estudio de Riesgos o Especificacin de Funciones de Seguridad o Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Seguridad
49
ACTIVIDAD MSI-SEG 3: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE MANTENIMIENTO DE SISTEMAS DE INFORMACIN
Tarea
MSIClasificacin y SEG 3.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Productos Generados durante el Proceso de Mantenimiento de Sistemas de Informacin
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso Mantenimiento de Sistemas de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea MSI-SEG 3.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Mantenimiento de Sistemas de Informacin
El Responsable de Seguridad y el Jefe de Proyecto estudian los productos generados durante el proceso de Mantenimiento del Sistema de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Mantenimiento de Sistemas de Informacin De salida Catalogacin de los Productos Generados en el Proceso Mantenimiento de Sistemas de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
50
Seguridad
Participantes

Seguridad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad

Uploaded by

Copyright:

Available Formats

Seguridad

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

PLANIFICACIN DE SISTEMAS DE INFORMACIN

PSI 1 Inicio del Plan del Sistemas de Informacin

PSI 2 Definicin y Organizacin del PSI

PSI 3 Estudio de Informacin Relevante

PSI 7 Definicin de la Arquitectura Tecnolgica

PSI 8 Definicin del Plan de Accin

PSI 9 Revisin y Aprobacin

PSI 4 Identificacin de Requisitos

PSI 6 Diseo del Modelo de Sistema de Informacin

PSI 5 Estudio de los Sistemas de Informacin Actuales

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA SEGURIDAD REQUERIDA EN EL PROCESO PLANIFICACIN DE SISTEMAS DE INFORMACIN

Requerida en el Proceso Planificacin de Sistemas de Informacin

PSI-SEG Organizacin y 1.2 Planificacin

Responsable de Seguridad Comit de Direccin

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

Tarea PSI-SEG 1.2: Organizacin y Planificacin

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 2: EVALUACIN DEL RIESGO PARA LA ARQUITECTURA TECNOLGICA

Riesgo de las Alternativas de Arquitectura Tecnolgica

PSIRevisin de la SEG 2.2 Evaluacin del

Riesgo de las Alternativas de Arquitectura Tecnolgica

Revisin Sesiones de Trabajo

Comit de Seguimiento Responsable de Seguridad

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA SEGURIDAD EN EL PLAN DE ACCIN

Seguridad para el Plan Revisin de Accin Sesiones de Trabajo

Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el Plan de Accin

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

Productos Generados durante el Proceso de Planificacin de Sistemas de Informacin

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ESTUDIO DE VIABILIDAD DEL SISTEMA

EVS 1 Establecimiento del Alcance del Sistema

EVS 2 Estudio de la Situacin Actual

EVS 4 Estudio de Alternativas de Solucin

EVS 5 Valoracin de las Alternativas

EVS 6 Seleccin de la Solucin

EVS 3 Definicin de Requisitos del Sistema

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

Requerida en el Proceso Estudio de Viabilidad del Sistema

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO DE SEGURIDAD

Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas