SP 800-60 Proceso Hoja de Ruta

SP 800-60 Proceso Hoja de Ruta

Paso del proceso

Actividades

Roles

Entrada: Identificar los sistemas de información • Las agencias deben desarrollar sus propias políticas respecto a la identificación del sistema de información con fines de categorización de seguridad. El sistema está limitado generalmente por un perimeter11 seguridad.

CIO; SAISO; Propietarios Misión

Paso 1

Identificar los tipos de información •Documentar los negocios de la agencia y las zonas de misión

• Identifique todos los tipos de información que se reciben, almacenan, procesan y / o salida de cada sistema [Sección 4.1]

o Identificar basadas en la misión categorías de tipos de información basados en el apoyo a las líneas de FEA DEL DÍA [sección 4.1.1]

o En su caso, identificar las categorías de Gestión y Apoyo Tipo de información basado en el apoyo a las líneas de FEA DEL DÍA [sección 4.1.2]

o Especifique aplicable subfunciones para las categorías identificadas basadas en la misión y Gestión y de Apoyo [Volumen II C, D y apéndices]

oSegún sea necesario, identificar otros tipos de información requeridos [Secciones 4.1.3, 4.1.4]

•Los tipos de documentos de información pertinentes para el sistema de información al que se juntó con la base para la selección del tipo de información [Sección 4.5]

Step 2

Seleccione Nivel de Impacto provisional • Seleccione los niveles de impacto de seguridad para los tipos de información identificados

o de los niveles de impacto provisionales recomendados para cada tipo de información al que se

[Volumen II, Apéndices C y D)

o o, de FIPS 199 criterios establecidos en la Tabla 7 Sección 4.2.1 y Sección 4.2.2

• Determinar la categoría de seguridad (SC) para cada tipo de información: SC Tipo de información =

{(confidencialidad, impacto), (integridad, impacto), (disponibilidad, impacto)}

• Documentar el nivel de impacto provisional de la confidencialidad, integridad y disponibilidad asociada con el tipo de información del sistema [Sección 4.5]

Step 3

Revise los niveles provisionales Impacto

Ajustar / Finalizar niveles de información de impacto

•Revisar la adecuación de los niveles de impacto provisionales sobre la base de la organización, el entorno, la misión, el uso y el intercambio de datos [Sección 4.3]

•Ajuste los niveles de impacto que sean necesarias sobre la base de las siguientes consideraciones:

o Factores de confidencialidad, integridad y disponibilidad [sección 4.2.2]

o Conductores situacional y de funcionamiento (tiempo, ciclo de vida, etc) [Sección 4.3]

o Razones legales o estatutarias

• Documentar todos los ajustes a los niveles de impacto y proporcionar la justificación o la justificación de los ajustes [Sección 4.5]

Step4

Asignar Categoría Sistema de Seguridad • Revisión identificado categorizaciones de seguridad para el conjunto de tipos de información.

• Determinar la clasificación del sistema de seguridad mediante la identificación del impacto de seguridad marca de alto nivel de agua para cada uno de los objetivos de seguridad (confidencialidad, integridad, disponibilidad): SC System X = {(confidencialidad, impacto), (integridad, impacto), (disponibilidad, impacto) }

• Ajuste el impacto en la seguridad marca de nivel de agua elevado para cada objetivo de seguridad del sistema, según sea necesario, mediante la aplicación de los factores discutidos en la sección 4.4.2.

• Asignar el sistema general de información del nivel de impacto basada en el nivel más alto impacto para los objetivos del sistema de seguridad (confidencialidad, integridad, disponibilidad)

• Siga el proceso de la agencia de supervisión

...