ASI. - Marlin

Anuncio
Comisión Nacional de Acuacultura y Pesca
Unidad de Administración
Subdirección de Informática
Manual Administrativo de Aplicación General
en las Materias de TIC y de Seguridad de la Información
ASI – Proceso de Administración de la Seguridad de la
Información
“DOCUMENTO DEL RESULTADO DEL ANÁLISIS DE RIESGOS”
Noviembre de 2014
_________________________________________________________________________________
Pág. 1
Subdirección de Informática
Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa
Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx
Comisión Nacional de Acuacultura y Pesca
Unidad de Administración
Subdirección de Informática
ÍNDICE
1. OBJETIVO DEL ANÁLISIS DE RIESGOS ................................................................................... 3
Lista de controles recomendados ................................................................................................. 3
Riesgos Aceptados ........................................................................................................................ 3
2. DIRECTRIZ DE ADMINISTRACIÓN DE RIESGOS ..................................................................... 4
Objetivo.......................................................................................................................................... 4
Alcance .......................................................................................................................................... 4
Justificación ................................................................................................................................... 4
Requerimientos regulatorios.......................................................................................................... 4
Roles y responsabilidades para la aplicación y cumplimiento de la Directriz ............................... 5
Elementos para la administración de riesgos ................................................................................ 5
Directrices de administración de riesgos ....................................................................................... 5
Mecanismos de difusión de la Directriz ......................................................................................... 6
Mecanismos de revisión del cumplimiento de la Directriz ............................................................. 6
Mecanismos de revisión del cumplimiento de la Directriz ............................................................. 6
Mecanismos de revisión periódica de la Directriz con respecto a las necesidades de la
Comisión ................................................................................................................................... 6
3. FIRMAS DE AUTORIZACIÓN DEL DOCUMENTO ..................................................................... 6
_________________________________________________________________________________
Pág. 2
Subdirección de Informática
Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa
Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx
Comisión Nacional de Acuacultura y Pesca
Unidad de Administración
Subdirección de Informática
1. Objetivo del análisis de riesgos
El objetivo general del análisis de riesgos es identificar los controles y establecer las estrategias a seguir para la mitigación de riesgos de
conformidad con lo siguiente:
 Establecer mecanismos y procedimientos para proporcionar confidencialidad, integridad y disponibilidad de la información.
 Estimular la generación de una cultura de seguridad de la información en la Subdirección de Informática y en el personal de la
dependencia, así como fomentar un comportamiento ético entre el personal de la Comisión.
 Definir los requerimientos de seguridad en cada área, dependiendo del tipo de información que se procese: confidencial, restringida, de uso
interno, general o público, estableciendo los procedimientos para identificación y uso de cada categoría de información.
 Promover el establecimiento de procedimientos alternos para mantener o recuperar la operación en caso de contingencias.
Lista de controles recomendados
Prioridad
Control recomendado
Amenazas
a mitigar
Activos a
proteger
[Por cada control, indicar
cuales son las amenazas que
enfrentan, y que activos son
los que se ven protegidos]
Riesgos residuales
[Por
cada
activo
protegido, resumir cual
es el riesgo residual que
será asumido, explicando
la justificación para ello]
Requerimientos
especiales
Inversión
requerida
[Indicar los requerimientos
especiales para cada control
recomendado]
[Indicar de acuerdo a
los
estudios
costo
beneficio, cual es la
inversión requerida y
cuál es la pérdida que
se pretende evitar (l$)]
Total: $
Riesgos Aceptados
Este primer análisis de riesgos se propone emprender acciones de prevención de los riesgos identificados, por lo tanto para en este caso no se
aceptaran ninguno de los riesgos que se analizaron en esta primera fase.
Secuencia
Amenazas
Activos de información
Riesgos
Observaciones
_________________________________________________________________________________
Pág. 3
Subdirección de Informática
Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa
Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx
Comisión Nacional de Acuacultura y Pesca
Unidad de Administración
Subdirección de Informática
2. Directriz de administración de riesgos
Objetivo
Definir la directriz rectora para la administración de riesgos, las acciones a tomar frente al impacto
potencial que podrían ocurrir ante la presentación de un incidente en la CONAPESCA, por medio
de la identificación de los mecanismos, elementos y herramientas que permitan reaccionar ante la
amenaza o vulnerabilidad que se materializa y emprender acciones de mitigación tratando de
tener el minino de daños y reducir los costos generados.
Alcance
 Identificar los antecedentes y elementos necesarios que deberán justificar la necesidad de
llevar acabo la implementación de la administración de riesgos dentro de la Comisión.
 Definir las metodologías y herramientas requeridas para la administración de los riesgos.
 Identificar y definir el marco normativo de la administración de riesgos.
 Establecer los métodos de evaluación y monitoreo de los mecanismos de administración de
riesgos.
 Establecer métodos de monitoreo para la actualización periódica de la directriz.
Justificación
En base a los establecido en el MAAGTICSI (Manual Administrativo de Aplicación General en la
materias de Tecnologías de la Información y Comunicaciones y Seguridad de la Información), en
los proceso ASI y OPEC, establece la definición de la Directriz rectora para la Administración de
Riesgos, y los responsables que darán atención y seguimiento en materia de Administración de
Proyectos.
Requerimientos regulatorios
 Manual Administrativo de Aplicación General en materia de Tecnologías de la Información y
Comunicaciones y Seguridad de la Información (MAAGTICSI) – Establece las disposiciones
administrativas en materia de tecnologías de información y comunicaciones, de observancia
obligatoria para las dependencias y entidades de la Administración Pública Federal.
 ISO 31000:2009 – Lineamientos sobre los principios e implementación de la gestión de
riesgos (se encuentra en desarrollo) www.iso.org.
 Guía de riesgos de sistemas de tecnologías de información de NIST – publicación especial
800-30 www.nist.org
 Norma de gestión de riesgos AS/NZS 4360:2004 – www.standards.com.au
 ISO 27005:2008 – Administración de riesgos de seguridad de la información www.iso.org.
 RISK IT Framework www.isaca.org/riskfw – Incluye una técnica de mapeo de riesgos, donde
se puede identificar gráficamente el panorama general o específico (dependiendo de lo que
se desee proyectar en la gráfica) del análisis de riesgos realizado.
 ISO/IEC 27001:2005 Sistema de Gestión de Seguridad de la Información- Requerimientos
 WLA-SCS: 2006 Estándar de Control de la Seguridad.
_________________________________________________________________________________
Pág. 4
Subdirección de Informática
Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa
Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx
Comisión Nacional de Acuacultura y Pesca
Unidad de Administración
Subdirección de Informática
 BS 25999-2:2007 Gestión de Continuidad del Negocio- Especificación
 ISO 20000-1:2011 Sistema de Gestión de Servicios.
Roles y responsabilidades para la aplicación y cumplimiento de la Directriz
Rol
Descripción
Responsabilidad
Elementos para la administración de riesgos
Elemento
Grupo de riesgos sobre los que incide
Escenario
[Indicar los riesgos sobre los que incide]
[Definición de cada elemento]
Umbrales de tolerancia
al riesgo
Mecanismos que se
utilizarán para medir la
correcta administración
de riesgos
Estrategias de
mitigación
Periodicidad con la que
se informará a los
involucrados en el
proceso
Directrices de administración de riesgos
Impacto
Necesidad
[Indicar la necesidad
que tiene la
Institución]
Tecnológica
Directriz de Administración de
riesgos
[Indicar el requerimiento tecnológico o
de procesos que se requiere para
satisfacer la necesidad]
Detección
Incidente
y
Registro
Escenario
[Indicar la situación por la cual
surge la necesidad]
del
[Indicar el análisis
de impacto,
incluyendo el
mecanismo de
evaluación y
análisis]
Alto
Para cada necesidad:
 Actores
 Tiempo
 Recursos
 Tipo de incidentes
Operativa
Clasificación y Apoyo inicial
Alto
Administrativa
Solicitud de Servicio
Financiera
Investigación y Diagnostico
Humana
Resolución y Recuperación
Alto
Política
Cierre del Incidente
Alto
Alto
Alto
_________________________________________________________________________________
Pág. 5
Subdirección de Informática
Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa
Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx
Comisión Nacional de Acuacultura y Pesca
Unidad de Administración
Subdirección de Informática
Mecanismos de difusión de la Directriz
 Talleres de concientización a todo el personal de la Subdirección de Informática
 Difusión de la directriz por medio de material de despliegue
 Publicación de presentaciones en el portal (intranet) de la secretaria
Mecanismos de revisión del cumplimiento de la Directriz
El titular de la Subdirección de Informática será responsable de revisar los reportes de gestión de
procesos de administración de seguridad de la información de manera anual para asegurar el
cumplimiento de la Directriz.
Mecanismos de revisión del cumplimiento de la Directriz
El titular de la Subdirección de Informática realizará una revisión anual del proceso de
administración de riesgos de las tecnologías de la información como parte de las actividades del
GIISI, así como la revisión de la dirección de los sistemas de gestión en la Comisión Nacional.
Mecanismos de revisión periódica de la Directriz con respecto a las necesidades de la
Comisión
El titular de la Subdirección de Informática realizará una revisión anual del proceso de
administración de riesgos de las tecnologías de la información como parte de las actividades del
GIISI, así como la revisión de la dirección de los sistemas de gestión en la Comisión Nacional.
3. Firmas de autorización del Documento
Lugar y Fecha: Mazatlán, Sinaloa a de
de
ELABORACIÓN
ELABORACIÓN
NOMBRE
PUESTO
NOMBRE
PUESTO
REVISIÓN
AUTORIZACIÓN
NOMBRE
PUESTO
NOMBRE
PUESTO
_________________________________________________________________________________
Pág. 6
Subdirección de Informática
Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa
Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx
Descargar