PSSI

Anuncio
PREMIER MINISTRE
Secrétariat général de la défense nationale
Direction centrale de la sécurité des systèmes d’information
Sous-direction des opérations
Bureau conseil
MEJORES PRÁCTICAS PARA LA
GESTIÓN DE LOS RIESGOS DE SSI
Uso específico del método EBIOS® para
elaborar una PSSI
Versión del 22 de septiembre de 2004
51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP – Tel. 01 71 75 84 15 - Fax 01 71 75 84 00
Documento editado por la oficina de consultoría de la DCSSI
¿Qué es una PSSI?
La Política de Seguridad de los Sistemas de Información (PSSI) es el conjunto formalizado en
un documento aplicable de las directivas, procedimientos, códigos de conducta, normas
organizacionales y técnicas, que tienen como objetivo la protección de los sistemas de
información del organismo.
Traduce el reconocimiento oficial de la importancia otorgada por la dirección general del organismo
a la seguridad de sus sistemas de información. En líneas generales, contiene una parte referida a los
elementos estratégicos del organismo (perímetro, contexto, retos, orientaciones estratégicas en
materia de SSI, referencial reglamentario, escala de sensibilidad, necesidades de seguridad,
amenazas) y una parte referida a las normas de seguridad aplicables. Constituye, por lo tanto, la
materialización de la estrategia de seguridad del organismo.
La guía PSSI editada por la DCSSI tiene como objetivo principal el acompañamiento de los
responsables de la seguridad en la elaboración de una política de seguridad de uno o varios
sistemas de información dentro de su organismo.
¿Cuáles son las ventajas del método EBIOS para
la elaboración de una PSSI?
La realización previa de un estudio EBIOS ofrece varias ventajas:
-
La elaboración de la PSSI se encuentra facilitada por un procedimiento estructurado,
que permite además deducir y, al mismo tiempo, justificar una parte de los principios
y de las normas establecidas en la PSSI.
El análisis de los resultados del estudio EBIOS, asociado a otros datos de entrada,
permite obtener todos los elementos estratégicos, elegir los principios y elaborar las
normas de seguridad.
Los diferentes actores del SI (responsables de la toma de decisiones, responsables de la SSI,
diseñador del proyecto, clientes, actores financieros, usuarios, etc.) ya han sido concienciados
sobre la SSI, especialmente en cuanto a los riesgos en materia de SSI y al hecho de que la
seguridad organizacional constituye una parte importante de la seguridad global.
¿Cómo elaborar una PSSI utilizando EBIOS?
Una solución eficaz para elaborar una PSSI consiste en:
-
Organizar el proyecto PSSI.
Realizar un estudio EBIOS global.
Extraer los datos necesarios del estudio EBIOS (fundamentalmente del estudio del
contexto, la expresión de las necesidades de seguridad y el estudio de las amenazas).
Realizar las últimas tareas mencionadas en la guía PSSI:
o selección de los principios de seguridad y elaboración de las normas de
seguridad, tareas facilitadas gracias al uso de los objetivos y requerimientos de
seguridad surgidos del estudio EBIOS;
o elaboración de los informes de síntesis;
Página 2 de 6
Documento editado por la oficina de consultoría de la DCSSI
o finalización y validación de la PSSI;
o elaboración y validación del plan de acción.
Para lograrlo, las actividades del método EBIOS se utilizan del siguiente modo:
Actividades
EBIOS
ETAPA 1
Estudio del
contexto
Implementación con el fin de elaborar una PSSI
En resumen: se profundiza el estudio del contexto, que figurará en
el informe de estrategia de seguridad de la PSSI.
Esta actividad debe ser detallada y completa.
1.1 – Estudio del
organismo
Se adaptará al objeto de la PSSI y a las características de
organismo. Debe servir para identificar claramente los distintos
procesos y funciones presentes y las limitaciones generales a fin de
garantizar una mejor definición del sistema evaluado.
Es fundamental no omitir las referencias reglamentarias y legales,
así como las normas que debe respetar la organización.
Esta actividad debe ser detallada y completa.
Se deben definir y evaluar los retos a fin de poder, eventualmente,
clasificar el(los) sistema(s) evaluados(s) (unos) en relación con
otros e indicar el lugar que ocupa el sistema evaluado en términos
de continuidad de la empresa.
1.2 – Estudio del
sistema evaluado
Sólo se considerarán los elementos verdaderamente esenciales. La
descripción del sistema evaluado debe ser clara, concisa y lo más
estandarizada posible.
La definición de las hipótesis, normas de seguridad y referencias
reglamentarias, así como las limitaciones, son indispensables para
disponer de un contexto completo y adecuado.
Es importante considerar las interfaces con los demás sistemas de
información.
Si se trata de una PSSI global del organismo, los elementos
esenciales considerados podrán ser los ámbitos de actividad y los
procesos más importantes de la empresa.
1.3 – Determinación
del objetivo del
estudio de
seguridad
Esta actividad contribuye a determinar los objetivos y
requerimientos de seguridad, que servirán para redactar las normas
de seguridad.
Las principales entidades (o tipos de entidades) serán descriptas y
cotejadas con los elementos esenciales.
Página 3 de 6
Documento editado por la oficina de consultoría de la DCSSI
Actividades
EBIOS
ETAPA 2
Implementación con el fin de elaborar una PSSI
Expresión de las
necesidades de
seguridad
En resumen: se detalla la escala de necesidades, que figurará en el
informe de estrategia de seguridad de la PSSI.
2.1 – Realización de
las fichas de
necesidades
2.2 – Síntesis de las
necesidades de
seguridad
ETAPA 3
Estudio de las
amenazas
3.1 – Estudio de los
orígenes de las
amenazas
3.2 – Estudio de las
vulnerabilidades
3.3 – Formalización
de las amenazas
La actividad debe ser detallada, estar completa y enriquecida con
ejemplos provenientes del organismo. Los resultados estarán
integrados en el informe de estrategia de seguridad de la PSSI.
Los criterios de seguridad, la escala de necesidades y los impactos
seleccionados deberían ser los mismos para todas las PSSI de la
organización.
Una síntesis de esta actividad podrá servir para ampliar el informe
de estrategia de seguridad de la PSSI. Dicha síntesis especificará las
necesidades de seguridad generales por debajo de las cuales es
inaceptable situarse.
Puede llegar a ser útil rellenar totalmente las fichas de expresión de las
necesidades de seguridad (y no rellenar únicamente los valores finales)
para identificar el vínculo existente entre los elementos esenciales y los
impactos, así como la importancia relativa de los impactos.
En resumen: se debe detallar el origen de las amenazas, que
figurará en el informe de estrategia de seguridad de la PSSI, el
estudio de las vulnerabilidades contribuirá aún más a la
continuación de la PSSI.
Esta actividad debe ser detallada y completa. La caracterización de
los métodos de ataque y de los elementos peligrosos debe ser
particularmente clara y precisa. Se debe indicar, explicitar y
justificar el potencial de ataque de cada elemento peligroso.
Se debe elaborar una lista de los métodos de ataque no
considerados, incluyendo las justificaciones correspondientes.
Esta actividad contribuye a determinar los objetivos y
requerimientos de seguridad, que servirán para redactar las normas
de seguridad. Puede no realizarse si se trata de una PSSI global.
Se deben identificar todas las vulnerabilidades pertinentes,
comprobadas o no.
La escala eventualmente utilizada para los niveles de vulnerabilidad
debería ser la misma para todas las PSSI de la organización.
Esta actividad contribuye a determinar los objetivos y requerimientos de
seguridad, que servirán para redactar las normas de seguridad.
Esta actividad debe ser clara (a los fines de la comunicación) y precisa.
Es preferible formular amenazas unitarias y específicas (una
vulnerabilidad por amenaza).
La jerarquización de las amenazas puede ser útil para determinar
prioridades para su tratamiento.
Página 4 de 6
Documento editado por la oficina de consultoría de la DCSSI
Actividades
EBIOS
ETAPA 4
Identificación de los
objetivos de
seguridad
4.1 – Confrontación
de las amenazas con
las necesidades
4.2 - Formalización
de los objetivos de
seguridad
4.3 – Determinación
de los niveles de
seguridad
ETAPA 5
Determinación de
los requerimientos
de seguridad
5.1 – Determinación
de los
requerimientos de
seguridad
funcionales
5.2 – Determinación
de los
requerimientos de
seguridad de
aseguramiento
Implementación con el fin de elaborar una PSSI
En resumen: se enumeran, sin tener en cuenta las redundancias, los
objetivos de seguridad que figurarán en el informe de estrategia de
seguridad y contribuirán a la elección de la justificación de los
principios y normas considerados.
Esta actividad contribuye a determinar los objetivos y requerimientos de
seguridad, que servirán para redactar las normas de seguridad.
Se deben identificar y formular los riesgos de manera uniforme.
También es necesario jerarquizarlos, a fin de determinar prioridades
para su tratamiento, e identificar eventuales riesgos residuales.
En la medida de lo posible, se debe realizar una enumeración de los
objetivos de seguridad, sin tener en cuenta aquellos objetivos
redundantes, para enriquecer los ejes estratégicos del informe de
estrategia de seguridad de la PSSI.
La redacción de los objetivos de seguridad debe ser clara, precisa y
uniforme, para poder justificar dichos objetivos mediante su contenido.
Se deben identificar los eventuales riesgos residuales.
Esta actividad contribuye a determinar los requerimientos de
seguridad, que servirán para redactar las normas de seguridad.
Puede no realizarse si se trata de una PSSI global.
Los niveles de seguridad deben ser explícitos y deben estar
debidamente justificados.
En resumen: los requerimientos de seguridad funcionales y de
aseguramiento podrán constituir directamente normas de seguridad de la
PSSI, eventualmente serán completados con otras normas, elaboradas
en respuesta a necesidades no cubiertas por el estudio EBIOS.
Lo ideal sería que los requerimientos de seguridad funcionales
fueran específicos (un actor y un ámbito cada vez), mensurables
(definición del medio de control), alcanzables (eventualmente en
varias etapas, proporcionando los recursos necesarios), realistas (en
función de los actores, de sus capacidades) y estar encuadrados en
el tiempo (hay una fecha límite, un plazo, un período definido). Una
vez seleccionados, podrán constituir directamente una parte de las
normas de seguridad de la PSSI.
Se deben identificar los eventuales riesgos residuales.
Los requerimientos de seguridad deberían clasificarse en función de
los ámbitos cubiertos por la PSSI.
En la medida de lo posible, los requerimientos de seguridad de
aseguramiento deben ser específicos (un actor y un ámbito cada
vez), mensurables (definición del medio de control), alcanzables
(eventualmente en varias etapas, proporcionando los recursos
necesarios), realistas (en función de los actores, de sus capacidades)
y estar encuadrados en el tiempo (hay una fecha límite, un plazo, un
período definido). Una vez seleccionados, podrán constituir
directamente una parte de las normas de seguridad de la PSSI.
Página 5 de 6
Documento editado por la oficina de consultoría de la DCSSI
En resumen, los datos que pueden utilizarse son los siguientes:
EBIOS
PSSI
Estudio del contexto
Elementos estratégicos
Estudio del organismo
Perímetro de la PSSI
Estudio del sistema objetivo
Retos y orientaciones
estratégicas
Determinación del objeto del
estudio
Expresión de las necesidades de seguridad
Realización de las fichas de
necesidades
Aspectos legales y
reglamentarios
Extracción y síntesis de los
elementos necesarios
Escala de necesidad
Necesidades de seguridad
Síntesis de las necesidades
de seguridad
Amenazas
Determinación del modo de
explotación
Estudio de las amenazas
Normas de seguridad
Estudio de los orígenes de
las amenazas
Tema 1
Estudio de las
vulnerabilidades
Determinación de las
amenazas
Justificación de la
elección de los principios
de seguridad
...
Tema N
Identificación de los objetivos de seguridad
Confrontación de las
amenazas con las
necesidades
Determinación de los
objetivos de seguridad
Determinación de los
niveles de seguridad
Determinación de los requerimientos de
seguridad
Determinación de los
requerimientos funcionales
Determinación de los
requerimientos de
aseguramiento
Presentación de los
requerimientos de seguridad en
forma de normas de seguridad
justificadas
(Para mayor información, escribir a: [email protected])
Página 6 de 6
Descargar