Metodología NIST SP 800-30 (National Institute of
Standards and Technology)
El
NIST (NationalInstitute of Standards and Technology) ha dedicado una serie de
publicaciones especiales, la SP 800 a la seguridad de la información. Esta
serie incluye una metodología para el análisis y gestión de riesgos de
seguridad de la información, alineada y complementaria con el resto de
documentos de la serie.
La
Metodología NIST SP 800-30 está compuesta por 9 pasos básicos para el análisis
de riesgo:
- Caracterización del sistema.
- Identificación de amenaza.
- Identificación de vulnerabilidades.
- Control de análisis.
- Determinación del riesgo.
- Análisis de impacto.
- Determinación del riesgo.
- Recomendaciones de control.
- Resultado de la implementación o documentación.
El
proceso de análisis de riesgos definido en la metodología NIST SP 800-30 puede
resumirse en el siguiente gráfico [NIST800-30.02]:
El
proceso de gestión de riesgos definido en la metodología NIST SP 800-30 puede
resumirse en el siguiente gráfico: