Professional Documents
Culture Documents
Interfaz de Seguridad
NDICE
DESCRIPCIN Y OBJETIVOS ............................................................................................... 4 PLANIFICACIN DE SISTEMAS DE INFORMACIN.............................................................. 5 ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA SEGURIDAD REQUERIDA EN EL PROCESO PLANIFICACIN DE SISTEMAS DE INFORMACIN.......................................... 6 Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin.................................................................................................. 6 Tarea PSI-SEG 1.2: Organizacin y Planificacin .............................................................. 7 ACTIVIDAD PSI-SEG 2: EVALUACIN DEL RIESGO PARA LA ARQUITECTURA TECNOLGICA .................................................................................................................. 8 Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de las Alternativas de Arquitectura Tecnolgica..................................................................................................................... 8 Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo de las Alternativas de Arquitectura Tecnolgica..................................................................................................................... 9 ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA SEGURIDAD EN EL PLAN DE ACCIN. 10 Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el Plan de Accin ......................... 10 ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE PLANIFICACIN DE SISTEMAS DE INFORMACIN ............................. 11 Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Planificacin de Sistemas de Informacin ...................................................... 11 ESTUDIO DE VIABILIDAD DEL SISTEMA............................................................................ 12 ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO ESTUDIO DE VIABILIDAD DEL SISTEMA.......................................................................... 13 Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema ................................................................................................................... 13 ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO DE SEGURIDAD ............................... 14 Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad ................................................. 14 ACTIVIDAD EVS-SEG 3: RECOMENDACIONES ADICIONALES DE SEGURIDAD PARA EL SISTEMA DE INFORMACIN............................................................................................ 15 Tarea EVS-SEG 3.1: Elaboracin de Recomendaciones de Seguridad ............................. 15 ACTIVIDAD EVS-SEG 4: EVALUACIN DE LA SEGURIDAD DE LAS ALTERNATIVAS DE SOLUCIN....................................................................................................................... 16 Tarea EVS-SEG 4.1: Valoracin y Evaluacin de la Seguridad de las Alternativas de Solucin ........................................................................................................................ 16 ACTIVIDAD EVS-SEG 5: EVALUACIN DETALLADA DE LA SEGURIDAD DE LA SOLUCIN PROPUESTA .................................................................................................................... 17 Tarea EVS-SEG 5.1: Descripcin Detallada de la Seguridad de la Solucin Propuesta...... 17 ACTIVIDAD EVS-SEG 6: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE ESTUDIO DE VIABILIDAD DEL SISTEMA.............................................. 18 Tarea EVS-SEG 6.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Estudio de Viabilidad del Sistema.................................................................. 18 ANLISIS DEL SISTEMA DE INFORMACIN ...................................................................... 20
Seguridad
ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN.................................................................... 21 Tarea ASI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Anlisis del Sistema de Informacin.................................................................................................. 21 ACTIVIDAD ASI-SEG 2: DESCRIPCIN DE LAS FUNCIONES Y MECANISMOS DE SEGURIDAD..................................................................................................................... 22 Tarea ASI-SEG 2.1: Estudio de las Funciones y Mecanismos de Seguridad a Implantar .... 22 ACTIVIDAD ASI-SEG 3: DEFINICIN DE LOS CRITERIOS DE ACEPTACIN DE LA SEGURIDAD..................................................................................................................... 23 Tarea ASI-SEG 3.1: Actualizacin del Plan de Pruebas.................................................... 23 ACTIVIDAD ASI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN ........................................ 24 Tarea ASI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados Durante el Proceso de Anlisis del Sistema de Informacin.............................................................. 24 DISEO DEL SISTEMA DE INFORMACIN......................................................................... 26 ACTIVIDAD DSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN ...................................................................... 27 Tarea DSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Diseo del Sistema de Informacin.................................................................................................. 27 ACTIVIDAD DSI-SEG 2: ESPECIFICACIN DE REQUISITOS DE SEGURIDAD DEL ENTORNO TECNOLGICO .............................................................................................. 28 Tarea DSI-SEG 2.1: Anlisis de los Riesgos del Entorno Tecnolgico............................... 28 ACTIVIDAD DSI-SEG 3: REQUISITOS DE SEGURIDAD DEL ENTORNO DE CONSTRUCCIN............................................................................................................. 29 Tarea DSI-SEG 3.1: Identificacin de los Requisitos de Seguridad del Entorno de Construccin ................................................................................................................. 29 ACTIVIDAD DSI-SEG 4: DISEO DE PRUEBAS DE SEGURIDAD...................................... 30 Tarea DSI-SEG 4.1: Diseo de las Pruebas de Seguridad................................................ 30 ACTIVIDAD DSI-SEG 5: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN.......................................... 31 Tarea DSI-SEG 5.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Diseo del Sistema de Informacin ............................................................... 31 CONSTRUCCIN DEL SISTEMA DE INFORMACIN........................................................... 33 ACTIVIDAD CSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN........................................................ 34 Tarea CSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Construccin del Sistema de Informacin.................................................................................................. 34 ACTIVIDAD CSI-SEG 2: EVALUACIN DE LOS RESULTADOS DE PRUEBAS DE SEGURIDAD..................................................................................................................... 35 Tarea CSI-SEG 2.1: Estudio de los Resultados de Pruebas de Seguridad......................... 35 ACTIVIDAD CSI-SEG 3: ELABORACIN DEL PLAN DE FORMACIN DE SEGURIDAD..... 35 Tarea CSI-SEG 3.1: Elaboracin del Plan de Formacin de Seguridad ............................. 36 ACTIVIDAD CSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN............................ 37 Tarea CSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Construccin del Sistema de Informacin ...................................................... 37 IMPLANTACIN Y ACEPTACIN DEL SISTEMA................................................................. 39 ACTIVIDAD IAS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA............................................................... 40 Tarea IAS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Implantacin y Aceptacin del Sistema.................................................................................................. 40 ACTIVIDAD IAS-SEG 2: REVISIN DE MEDIDAS DE SEGURIDAD DEL ENTORNO DE OPERACIN .................................................................................................................... 41 Tarea IAS-SEG 2.1: Revisin de Medidas de Seguridad del Entorno de Operacin............ 41
Seguridad
ACTIVIDAD IAS-SEG 3: EVALUACIN DE RESULTADOS DE PRUEBAS DE SEGURIDAD DE IMPLANTACIN DEL SISTEMA................................................................................... 42 Tarea IAS-SEG 3.1: Estudio de los Resultados de Pruebas de Seguridad de Implantacin del Sistema ................................................................................................................... 42 ACTIVIDAD IAS-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA .................................. 43 Tarea IAS-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso Implantacin y Aceptacin del Sistema .............................................................. 43 ACTIVIDAD IAS-SEG 5: REVISIN DE MEDIDAS DE SEGURIDAD EN EL ENTORNO DE PRODUCCIN.................................................................................................................. 44 Tarea IAS-SEG 5.1: Revisin de Medidas de Seguridad en el Entorno de Produccin........ 44 MANTENIMIENTO DE SISTEMAS DE INFORMACIN.......................................................... 45 ACTIVIDAD MSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO MANTENIMIENTO DE SISTEMAS DE INFORMACIN....................................................... 46 Tarea MSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin................................................................................................ 46 ACTIVIDAD MSI-SEG 2: ESPECIFICACIN E IDENTIFICACIN DE LAS FUNCIONES Y MECANISMOS DE SEGURIDAD ....................................................................................... 47 Tarea MSI-SEG 2.1: Estudio de la Peticin...................................................................... 47 Tarea MSI-SEG 2.2: Anlisis de las Funciones y Mecanismos de Seguridad Afectados o Nuevos ......................................................................................................................... 48 ACTIVIDAD MSI-SEG 3: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE MANTENIMIENTO DE SISTEMAS DE INFORMACIN........................... 49 Tarea MSI-SEG 3.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Mantenimiento de Sistemas de Informacin................................................... 49
Seguridad
DESCRIPCIN Y OBJETIVOS
El objetivo de la interfaz de seguridad de MTRICA Versin 3 es incorporar en los sistemas de informacin mecanismos de seguridad adicionales a los que se proponen en la propia metodologa, asegurando el desarrollo de cualquier tipo de sistema a lo largo de los procesos que se realicen para su obtencin. La seguridad del sistema de informacin ya se considera en MTRICA Versin 3 como requisito funcional (ASI 2.1), es decir previamente al desarrollo del mismo. La interfaz de Seguridad hace posible incorporar durante la fase de desarrollo las funciones y mecanismos que refuerzan la seguridad del nuevo sistema y del propio proceso de desarrollo, asegurando su consistencia y seguridad. El anlisis de los riesgos constituye una pieza fundamental en el diseo y desarrollo de sistemas de informacin seguros. Si bien los riesgos que afectan a un sistema de informacin son de distinta ndole: naturales (inundaciones, incendios, etc.) o lgicos (fallos propios, ataques externos, virus, etc.) son estos ltimos los contemplados en la interfaz de Seguridad de MTRICA Versin 3. De lo anterior se desprende que existen dentro de la interfaz dos tipos de actividades diferenciadas: Actividades relacionadas con la seguridad intrnseca del sistema de informacin (representadas en la parte inferior del grfico). Actividades que velan por la seguridad del propio proceso de desarrollo del sistema de informacin (representadas en la parte superior del grfico).
Si en la organizacin ya existe un plan de seguridad o una metodologa de anlisis y gestin de riesgos como por ejemplo MAGERIT, para cada sistema de informacin debern analizarse las necesidades de seguridad del sistema respecto al mtodo vigente, y determinar las diferencias si las hubiera, as como aquellas necesidades concretas que no se encuentren recogidas, estableciendo as el plan de seguridad del sistema de informacin. Si no existe un plan de seguridad en la organizacin habr que desarrollarlo desde el principio. El plan recoger adems las medidas de seguridad activas o preventivas y reactivas, en respuesta a situaciones en que se produce un fallo reduciendo su efecto, relacionadas con la seguridad del sistema de informacin y del proceso de desarrollo. Las valoraciones sobre la seguridad deben ser realizadas en funcin de las caractersticas del sistema: complejidad, tamao, incertidumbre, participantes, etc. por los responsables de la seguridad del sistema de informacin, quienes se apoyarn para sus decisiones en su conocimiento y experiencia en la materia sin perder de vista adems que, al ser finitos los recursos, no pueden asegurarse todos los aspectos del desarrollo de los sistemas de informacin, por lo que habr que aceptar un determinado nivel de riesgo concentrndose en los aspectos ms comprometidos o amenazados, que sern diferentes segn las circunstancias.
Seguridad
PSI-SEG 1
PSI-SEG 4
PSI-SEG 2
PSI-SEG 3
Seguridad
Tarea
PSIEstudio de la SEG 1.1 Seguridad
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad
Seguridad Requerida Sesiones de Trabajo en el Proceso Planificacin de Sistemas de Sistemas de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios Plan de Seguridad de Revisin Sistemas de Sesiones de Trabajo Informacin o Poltica de Seguridad de la Organizacin o Organizacin y Planificacin Necesaria para la Seguridad o Anlisis y Conclusiones
Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin
El Responsable de Seguridad debe estudiar si es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos generados en las actividades del proceso Planificacin de Sistemas de Informacin. Como fruto de dicho estudio se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Descripcin General del PSI (PSI 1.3) Poltica de Seguridad de la Organizacin (externo) Riesgo Aceptable (Comit de Seguimiento)
Seguridad
De salida Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad
Productos
De entrada Poltica de Seguridad de la Organizacin (externo) Seguridad Requerida en el Proceso PSI (PSI-SEG 1.1) De salida Plan de Seguridad de los Sistemas de Informacin: o Poltica de Seguridad de la Organizacin o Organizacin y Planificacin Necesaria para la Seguridad o Anlisis y Conclusiones
Prcticas
Revisin Sesiones de Trabajo
Participantes
Responsable de Seguridad Comit de Direccin
Seguridad
Productos
Seguridad de las Alternativas de Arquitectura Tecnolgica: o Caractersticas detalladas de seguridad para cada Alternativa o Anlisis y Gestin del Riesgo de cada Alternativa Seguridad de las Alternativas de Arquitectura Tecnolgica: o Anlisis y Gestin del Riesgo de la Arquitectura Tecnolgica o Nivel de Riesgo Aceptable
Tcnicas y Prcticas
Revisin Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad
Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de las Alternativas de Arquitectura Tecnolgica
El equipo de seguridad estudia las alternativas de arquitectura tecnolgica, analizando para cada una el nivel de seguridad, las vulnerabilidades, los riesgos y la posible gestin de los mismos. Para ello, dicho equipo realizar los siguientes pasos: Determinacin de los principales recursos (entornos, redes, comunicaciones, etc) de cada una de las alternativas de arquitectura tecnolgica. Identificacin de las amenazas relevantes para cada uno de los recursos anteriores. Determinacin del riesgo efectivo e intrnseco de cada alternativa. Seleccin de los mecanismos de salvaguarda oportunos que minimicen los riesgos.
Para la realizacin de esta tarea se puede tomar como referencia MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
Productos
De entrada Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2) Alternativas de Arquitectura Tecnolgica (PSI 7.1)
Seguridad
De salida Seguridad de las Alternativas de Arquitectura Tecnolgica: o Caractersticas detalladas de seguridad para cada Alternativa o Anlisis y Gestin del Riesgo de cada Alternativa
Prcticas
Revisin Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad
Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo de las Alternativas de Arquitectura Tecnolgica
Una vez se dispone de la alternativa de la arquitectura tecnolgica seleccionada (PSI 7.2) y del estudio de seguridad de las alternativas obtenido en la tarea anterior, el Comit de Seguimiento y el Responsable de Seguridad realizan un examen del mismo para aceptarlo o rechazarlo.
Productos
De entrada Arquitectura Tecnolgica (PSI 7.2) Seguridad de las Alternativas de Arquitectura Tecnolgica (PSI-SEG 2.1) De salida Seguridad de las Alternativas de Arquitectura Tecnolgica: o Anlisis y Gestin del Riesgo de la Arquitectura Tecnolgica o Nivel de Riesgo Aceptable
Prcticas
Revisin Sesiones de Trabajo
Participantes
Comit de Seguimiento Responsable de Seguridad
10
Seguridad
Productos
Tcnicas y Prcticas
Participantes
Comit de Seguimiento Responsable de Seguridad
Plan de Accin
Productos
De entrada Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2) Plan de Accin (PSI 8.1) De salida Seguridad para el Plan de Accin
Prcticas
Revisin Sesiones de Trabajo
Participantes
Comit de Seguimiento Responsable de Seguridad
Seguridad
11
ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE PLANIFICACIN DE SISTEMAS DE INFORMACIN
Tarea
PSIClasificacin y SEG 4.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso PSI: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Planificacin de Sistemas de Informacin
El responsable de seguridad estudia los productos generados durante el proceso de Planificacin de Sistemas de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin (Vase la Interfaz de Gestin de Configuracin).
Productos
De entrada Productos generados durante el proceso Planificacin de Sistemas de Informacin De salida Catalogacin de los Productos Generados en el Proceso Planificacin de Sistemas de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
Participantes
Responsable de Seguridad
12
Seguridad
EVS-SEG 1
EVS-SEG 6
EVS-SEG 2
EVS-SEG 3
EVS-SEG 4
EVS-SEG 5
Seguridad
13
ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO ESTUDIO DE VIABILIDAD DEL SISTEMA
Tarea
EVSEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema: o Seguridad para Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad Jefe de Proyecto
Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema
El Responsable de Seguridad analiza la necesidad de supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos intermedios de alguna de las actividades del proceso Estudio de Viabilidad del Sistema. Para ello se basa en las particularidades del sistema de informacin y en la manera en que el proceso es llevado a cabo. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Catlogo de objetivos del EVS (EVS 1.1) Plan de trabajo (EVS 1.3) Seguridad para el Plan de Accin (PSI-SEG 3.1) De salida Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad Jefe de Proyecto
14
Seguridad
Productos
Equipo de Seguridad o Perfil de Seleccin o Funciones y Responsabilidades
Tcnicas y Prcticas
Revisin Sesiones de Trabajo
Participantes
Comit de Seguimiento Responsable de Seguridad
Seguridad
Productos
De entrada Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2) De salida Equipo de Seguridad: o Perfil de Seleccin o Funciones y Responsabilidades
Prcticas
Revisin Sesiones de Trabajo
Participantes
Comit de Seguimiento Responsable de Seguridad
Seguridad
15
Productos
Recomendaciones de Seguridad: o Normativas y Legislacin o Catlogo de Recomendaciones de Seguridad
Tcnicas y Prcticas
Sesiones de Trabajo Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad
de Seguridad
Productos
De entrada Legislacin, Normas y Procedimientos de Seguridad (Externo) Catlogo de Normas (EVS 3.1) Catlogo de Requisitos (EVS 3.3) De salida Recomendaciones de Seguridad: o Normativas y Legislacin o Catlogo de Recomendaciones de Seguridad
Prcticas
Sesiones de Trabajo Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad
16
Seguridad
Productos
Tcnicas y Prcticas
Participantes
Equipo de Seguridad Responsable de Seguridad
Seguridad de las Revisin Alternativas de Sesiones de Trabajo Solucin: o Caractersticas Detalladas para cada Alternativa o Resultado del Anlisis y Gestin del Riesgo
Productos
De entrada Recomendaciones de Seguridad (EVS-SEG 3.1) Alternativas de Solucin a Estudiar (EVS 4.2) Valoracin de Alternativas (EVS 5.2) Plan de Trabajo de cada Alternativa (EVS 5.3) De salida Seguridad de las Alternativas de Solucin: o Caractersticas Detalladas para cada Alternativa o Resultado del Anlisis y Gestin del Riesgo
Seguridad
17
Prcticas
Revisin Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad
Productos
Seguridad de la Solucin Propuesta: o Caractersticas Detalladas de Seguridad de la Solucin o Recomendacin Final de Mejoras de Seguridad
Tcnicas y Prcticas
Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad
Partiendo de una especificacin de las principales caractersticas de la solucin y mediante modelos de inferencia, se detectan las vulnerabilidades, riesgos y las
18
Seguridad
posibilidades de gestin que pueda hacerse de dichos riesgos. Tras esa labor el Equipo de Seguridad realiza una evaluacin de la seguridad de la solucin propuesta.
Productos
De entrada Solucin Propuesta (EVS 6.2) Seguridad de las Alternativas de Solucin (EVS-SEG 4.1) De salida Seguridad de la Solucin Propuesta: o Caractersticas Detalladas de Seguridad de la Solucin o Recomendacin Final de Mejoras de Seguridad
Prcticas
Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad
ACTIVIDAD EVS-SEG 6: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE ESTUDIO DE VIABILIDAD DEL SISTEMA
Tarea
EVSClasificacin y SEG 6.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso Estudio de Viabilidad del Sistema: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea EVS-SEG 6.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Estudio de Viabilidad del Sistema
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Estudio de Viabilidad del
Seguridad
19
Sistema y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Estudio de Viabilidad del Sistema. De salida Catalogacin de los Productos Generados en el Proceso Estudio de Viabilidad del Sistema: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
20
Seguridad
Las funciones y mecanismos adicionales de seguridad definidos en las actividades de interfaz se implementarn en el sistema a travs de MTRICA Versin 3, al igual que los dems requisitos de seguridad. En el siguiente grfico se muestra la relacin entre las actividades del proceso de Anlisis del Sistema de Informacin (ASI) y las de la interfaz de Seguridad.
ASI-SEG 1
ASI-SEG 4
Slo en Estructurado
Actividades comunes
ASI 6 Elaboracin del Modelo de Datos ASI 9 Anlisis de Consistencia ASI 7 Elaboracin del Modelo de Datos ASI 10 Especificacin del Plan de Pruebas
ASI-SEG 2
ASI-SEG 3
Seguridad
21
ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN
Tarea
ASIEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Anlisis del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad Jefe de Proyecto
Tarea ASI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Anlisis del Sistema de Informacin
El Equipo de Seguridad estudia la necesidad de supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos generados en alguna de las actividades del proceso de Anlisis del Sistema de Informacin. Para ello se parte de la planificacin del proceso obtenida mediante la interfaz de Gestin de Proyectos (GPI 2) y de las particularidades del sistema de informacin. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Catlogo de Requisitos (ASI 1.1) Planificacin detallada (GPI 2) De salida Seguridad Requerida en el Proceso Anlisis del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad Jefe de Proyecto
22
Seguridad
Productos
Funciones y Mecanismos de Seguridad: o Estudio de Riesgos o Especificacin de Funciones de Seguridad o Mecanismos de Seguridad
Tcnicas y Prcticas
Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad
Productos
De entrada Seguridad de la Solucin Propuesta (EVS-SEG 5.1) Catlogo de Requisitos (ASI 2.1) De salida Funciones y Mecanismos de Seguridad: o Estudio de Riesgos o Especificacin de Funciones de Seguridad
Seguridad
23
Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad
Productos
Plan de Pruebas o Criterios de Seguridad
Tcnicas y Prcticas
Revisin Sesiones de Trabajo
Participantes
Responsable de Seguridad Equipo de Seguridad Jefe de Proyecto
Productos
De entrada Plan de Pruebas (ASI 10.3) Funciones y Mecanismos de Seguridad (ASI-SEG 2.1) De salida Plan de Pruebas: o Criterios de Seguridad
Prcticas
Revisin Sesiones de Trabajo
Participantes
Responsable de Seguridad Equipo de Seguridad del Proyecto Jefe de Proyecto
24
Seguridad
ACTIVIDAD ASI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN
Tarea
ASIClasificacin y SEG 4.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Catalogacin de los Revisin Productos Generados Catalogacin Productos en el Proceso Anlisis Generados durante del Sistema de el Proceso de Informacin: Anlisis del Sistema o Determinacin de de Informacin Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea ASI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados Durante el Proceso de Anlisis del Sistema de Informacin
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Anlisis del Sistema de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Anlisis del Sistema de Informacin De salida Catalogacin de los Productos generados en el proceso Anlisis del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
Seguridad
25
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
26
Seguridad
DSI-SEG 1
DSI-SEG 5
DSI 9 Diseo de Migracin y Carga Inicial de Datos DSI 10 Especificacin Tcnica del Plan de Pruebas
Actividad comn
DSI-SEG 2
DSI-SEG 3
DSI-SEG 4
Seguridad
27
ACTIVIDAD DSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN
Tarea
DSIEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Diseo del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad Jefe de Proyecto
Tarea DSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Diseo del Sistema de Informacin
El Responsable de Seguridad y el Equipo de Seguridad estudian, partiendo de las particularidades del sistema de informacin, si es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad de los productos intermedios) de alguna de las actividades del proceso Diseo del Sistema de Informacin previstas en la planificacin del proceso obtenida mediante la interfaz de Gestin de Proyectos (GPI 2). Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Planificacin detallada (GPI 2) De salida Seguridad Requerida en el Proceso Diseo del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad Jefe de Proyecto
28
Seguridad
Productos
Requisitos de Seguridad del Entorno Tecnolgico
Tcnicas y Prcticas
Participantes
Equipo de Seguridad Responsable de Seguridad
Tecnolgico
Productos
De entrada Diseo de la Arquitectura del Sistema (DSI 1.5) Entorno Tecnolgico del Sistema (DSI 1.6) De salida Requisitos de Seguridad del Entorno Tecnolgico
Participantes
Equipo de Seguridad Responsable de Seguridad
Seguridad
29
Productos
Requisitos de Seguridad del Entorno de Construccin
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Tarea DSI-SEG 3.1: Identificacin de los Requisitos de Seguridad del Entorno de Construccin
El Equipo de Seguridad estudia las condiciones que debe cumplir el entorno de Construccin del Sistema de Informacin en materia de seguridad. Para ello se lleva a cabo un anlisis de la seguridad del entorno de construccin, determinando los riesgos intrnsecos y los mecanismos de salvaguarda.
Productos
De entrada Especificaciones de Construccin del Sistema de Informacin (DSI 8.4) Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1) De salida Requisitos de Seguridad del Entorno de Construccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
30
Seguridad
Productos
Tcnicas y Prcticas
Participantes
Equipo de Seguridad Responsable de Seguridad
Diseo de Pruebas de Pruebas del Sistema Seguridad del Sistema Pruebas de y Aceptacin Aceptacin
Productos
De entrada Plan de Pruebas (ASI-SEG 4.1) Funciones y Mecanismos de Seguridad (ASI-SEG 2.1) Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1) Procedimientos de Seguridad y Control de acceso (DSI 1.7) Plan de Pruebas (DSI 10.1) De salida Diseo de Pruebas de Seguridad del Sistema y Aceptacin
Prcticas
Pruebas del Sistema Pruebas de Aceptacin
Participantes
Equipo de Seguridad Responsable de Seguridad
Seguridad
31
ACTIVIDAD DSI-SEG 5: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN
Tarea
DSIClasificacin y SEG 5.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Clasificacin y Revisin Catalogacin de los Catalogacin Productos Generados en el Proceso Diseo del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de productos generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea DSI-SEG 5.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Diseo del Sistema de Informacin
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Diseo del Sistema de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad (ACID). En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Diseo del Sistema de Informacin De salida Catalogacin de los Productos Generados en el Proceso Diseo del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
32
Seguridad
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Seguridad
33
CSI -SEG 1 CSI 2 Generacin del Cdigo de los componentes y Procedimientos CSI 1 Preparacin del Entorno de Generacin y Construccin CSI 3 Ejecucin de las Pruebas Unitarias CSI 5 Ejecucin de las Pruebas del Sistema
CSI -SEG 4
CSI-SEG 2
CSI-SEG 3
34
Seguridad
ACTIVIDAD CSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN
Tarea
CSIEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Construccin del Sistema de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad Jefe de Proyecto
Tarea CSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Construccin del Sistema de Informacin
El Equipo de Seguridad analiza si es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad de los productos intermedios) de alguna de las actividades pertenecientes al proceso de Construccin del Sistema de Informacin previstas en la planificacin del proceso obtenida mediante la interfaz de Gestin de Proyectos (GPI 2). Para ello parte de las particularidades del sistema de informacin. Como producto de este estudio, el Equipo de Seguridad elabora un informe con las principales caractersticas del proceso y el control de la seguridad de sus actividades, tanto a nivel de ejecucin como de los productos intermedios.
Productos
De entrada Planificacin detallada (GPI 2) De salida Seguridad Requerida en el Proceso Construccin del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Seguridad
35
Productos
Resultados de las Pruebas de Seguridad de Integracin y de Sistema
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Pruebas de Seguridad
Productos
De entrada Diseo de Pruebas de Seguridad de Sistema y Aceptacin (DSI-SEG 4.1) Resultado de las Pruebas Unitarias (CSI 3.2) Resultado de las Pruebas de Integracin (CSI 4.2) Resultado de las Pruebas del Sistema (CSI 5.2) De salida Resultados de las Pruebas de Seguridad de Integracin y de Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
36
Seguridad
humano, por accin o negligencia, ya que por muchas medidas que existan, si las personas no las aplican todo es intil.
Tarea
CSIElaboracin del Plan SEG 3.1 de Formacin de
Productos
Plan de Formacin de Seguridad
Tcnicas y Prcticas
Sesiones de Trabajo Planificacin
Participantes
Equipo de Seguridad Responsable de Seguridad
Seguridad
Productos
De entrada Funciones y Mecanismos de Seguridad (DSI-SEG 3.1) Recomendaciones de Seguridad (EVS-SEG 3.1) Especificacin de la Formacin a Usuarios Finales (CSI 7.1) De salida Plan de Formacin de Seguridad
Tcnicas
Planificacin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad
Seguridad
37
ACTIVIDAD CSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN
Tarea
CSIClasificacin y SEG 4.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso Construccin del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea CSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Construccin del Sistema de Informacin
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Construccin del Sistema de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Construccin del Sistema de Informacin De salida Catalogacin de los Productos Generados en el Proceso Construccin del Sistema de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
38
Seguridad
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Seguridad
39
IAS-SEG 1
IAS-SEG 4
IAS-SEG 2
IAS-SEG 3
IAS-SEG 5
40
Seguridad
ACTIVIDAD IAS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA
Tarea
IASEstudio de la SEG 1.1 Seguridad
Productos
Seguridad Requerida en el Proceso Implantacin y Aceptacin del Sistema de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad Jefe de Proyecto
Tarea IAS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Implantacin y Aceptacin del Sistema
El Equipo de Seguridad analiza la necesidad de supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad de los productos intermedios) de alguna de las actividades pertenecientes al proceso de Implantacin y Aceptacin del Sistema. Para ello parte de las particularidades del sistema. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Plan de Implantacin (IAS 1.1)
De salida
Seguridad Requerida en el Proceso Implantacin y Aceptacin del Sistema de Informacin: o Seguridad para Ejecucin de Actividades o Seguridad para Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad Jefe de Proyecto
Seguridad
41
Productos
Medidas de Seguridad del Entorno de Operacin
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad
Productos
De entrada Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1) De salida Medidas de Seguridad del Entorno de Operacin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad
42
Seguridad
Productos
Resultados de las Pruebas de Seguridad de Implantacin del Sistema
Tcnicas y Prcticas
Pruebas de Implantacin
Participantes
Equipo de Seguridad
Tarea IAS-SEG 3.1: Estudio de los Resultados de Pruebas de Seguridad de Implantacin del Sistema
El Equipo de Seguridad estudia los resultados obtenidos en las pruebas de seguridad del sistema, una vez implantado en el entorno de operacin, y comprueba que las funciones y mecanismos adicionales incorporados no han originado problemas.
Productos
De entrada Resultado de las Pruebas de Implantacin (IAS 5.2) Diseo de Pruebas de Seguridad del Sistema y Aceptacin (DSI-SEG 4.1) De salida Resultados de las Pruebas de Seguridad de Implantacin del Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
Seguridad
43
ACTIVIDAD IAS-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA
Tarea
IASClasificacin y SEG 4.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso Implantacin y Aceptacin del Sistema: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea IAS-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso Implantacin y Aceptacin del Sistema
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento estudian los productos generados durante el proceso de Implantacin y Aceptacin del Sistema y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Implantacin y Aceptacin del Sistema De salida Catalogacin de los Productos Generados en el Proceso Implantacin y Aceptacin del Sistema: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
44
Seguridad
Participantes
Responsable de Seguridad Jefe de Proyecto Comit de Seguimiento
Productos
Tcnicas y Prcticas
Participantes
Equipo de Seguridad Responsable de Seguridad
Productos
De entrada Requisitos de Seguridad del Entorno Tecnolgico Previsto (DSI-SEG 2.1) De salida Revisin de Medidas de Seguridad del Entorno de Produccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad Responsable de Seguridad
Seguridad
45
MSI-SEG 1
MSI-SEG 3
MSI-SEG 2
46
Seguridad
Productos
Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Sistemas de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios .
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad Equipo de Seguridad Responsable de Mantenimiento
Tarea MSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin
El Responsable de Seguridad, junto con el Equipo de Seguridad, debe estudiar si es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos generados en las actividades del proceso Mantenimiento de Sistemas de Informacin. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el control de la seguridad en las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada Plan de Mantenimiento (IAS 7.2) De salida Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin: o Seguridad para la Ejecucin de Actividades o Seguridad para la Clasificacin y Catalogacin de los Productos Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad Equipo de Seguridad
Seguridad
47
Responsable de Mantenimiento
Productos
Recomendaciones de Seguridad Funciones y Mecanismos de Seguridad: o Estudio de Riesgos o Especificacin de Funciones de Seguridad o Mecanismos de Seguridad
Tcnicas y Prcticas
Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad Responsable de Seguridad Equipo de Seguridad
Catalogacin
Productos
De entrada Propuesta de Solucin (MSI 2.2) Catlogo de Peticiones (MSI 2.2) Funciones y Mecanismos de Seguridad (ASI-SEG 2.1) De salida Recomendaciones de Seguridad
Prcticas
Catalogacin
48
Seguridad
Participantes
Responsable de Seguridad Equipo de Seguridad
Tarea MSI-SEG 2.2: Anlisis de las Funciones y Mecanismos de Seguridad Afectados o Nuevos
Se tendr en cuenta la seleccin de las funciones de seguridad realizada en el proceso de Anlisis del Sistema, a partir del cual se ver si es necesario la implantacin de alguna funcin adicional o, en su caso, la modificacin de alguna existente. Las posibles nuevas funciones a implementar se hace en funcin de la gestin de los riesgos escogida, de forma que los riesgos se minimicen, eliminen o controlen. El Equipo de Seguridad ha de determinar el tipo de funciones de seguridad a implantar (de prevencin, de deteccin o de correccin) y la naturaleza de las mismas (tcnica, fsica, organizativa, etc.). Para la determinacin de tales funciones podrn utilizarse las tcnicas propuestas en la metodologa de anlisis y gestin de riesgos que se emplee. Se establecen los mecanismos de seguridad que implementan esas funciones.
Productos
De entrada Recomendaciones de Seguridad (MSI-SEG 2.1) Propuesta de Solucin (MSI 2.2) Catlogo de Peticiones (MSI 2.2) Funciones y Mecanismos de Seguridad (ASI-SEG 2.1) De salida Funciones y Mecanismos de Seguridad: o Estudio de Riesgos o Especificacin de Funciones de Seguridad o Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Responsable de Seguridad Equipo de Seguridad
Seguridad
49
ACTIVIDAD MSI-SEG 3: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE EL PROCESO DE MANTENIMIENTO DE SISTEMAS DE INFORMACIN
Tarea
MSIClasificacin y SEG 3.1 Catalogacin de los
Productos
Tcnicas y Prcticas
Participantes
Responsable de Seguridad Jefe de Proyecto
Catalogacin de los Revisin Productos Generados Catalogacin en el Proceso Mantenimiento de Sistemas de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Tarea MSI-SEG 3.1: Clasificacin y Catalogacin de los Productos Generados durante el Proceso de Mantenimiento de Sistemas de Informacin
El Responsable de Seguridad y el Jefe de Proyecto estudian los productos generados durante el proceso de Mantenimiento del Sistema de Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada Productos generados durante el proceso Mantenimiento de Sistemas de Informacin De salida Catalogacin de los Productos Generados en el Proceso Mantenimiento de Sistemas de Informacin: o Determinacin de Niveles de Seguridad o Listado de Productos Generados o Niveles de Seguridad de los Productos o Soporte de Almacenamiento
Prcticas
Revisin Catalogacin
50
Seguridad
Participantes
Responsable de Seguridad Jefe de Proyecto