norma

espaola

UNE 71504

Julio 2008
TTULO

Metodologa de anlisis y gestin de riesgos para los sistemas

de informacin

Risk analysis methodology and management for information systems.

Mthodologie d'analyse et gestion des risques pour les systmes d'information.

CORRESPONDENCIA

OBSERVACIONES

ANTECEDENTES

Esta norma ha sido elaborada por el comit tcnico AEN/CTN 71 Tecnologa de la

informacin cuya Secretara desempea AETIC.

EXTRACTO DEL DOCUMENTO UNE 71504

Editada e impresa por AENOR
Depsito legal: M 35179:2008
AENOR 2008
Reproduccin prohibida

LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

36 Pginas
Gnova, 6
28004 MADRID-Espaa

info@aenor.es
www.aenor.es

Tel.: 902 102 201

Fax: 913 104 032

Grupo 18

NDICE
Pgina
0

INTRODUCCIN............................................................................................................

OBJETO Y CAMPO DE APLICACIN.......................................................................

NORMAS PARA CONSULTA .......................................................................................

TRMINOS Y DEFINICIONES ....................................................................................

MARCO GENERAL........................................................................................................

5
5.1
5.2
5.2.1
5.2.2
5.2.3
5.3
5.3.1
5.3.2
5.4
5.5
5.5.1
5.5.2
5.6

MTODO DE ANLISIS ...............................................................................................

Tareas preparatorias........................................................................................................
Caracterizacin de los activos .........................................................................................
Descubrimiento de los activos relevantes .......................................................................
Descubrimiento de las relaciones entre los activos ........................................................
Valoracin de los activos..................................................................................................
Caracterizacin de las amenazas ....................................................................................
Descubrimiento de las amenazas relevantes ..................................................................
Valoracin de la vulnerabilidad de los activos frente a las amenazas .........................
Determinacin de los riesgos potenciales........................................................................
Caracterizacin de las salvaguardas...............................................................................
Determinacin de las salvaguardas adecuadas ..............................................................
Valoracin de las salvaguardas .......................................................................................
Determinacin de los riesgos residuales .........................................................................

10
11
11
12
12
13
14
14
14
15
15
15
16
16

EVALUACIN DE RIESGOS .......................................................................................

17

7
7.1
7.2

TRATAMIENTO DE RIESGOS ....................................................................................

Plan de seguridad .............................................................................................................
Aprobacin del plan de seguridad ..................................................................................

17
18
19

ADMINISTRACIN DE LA GESTIN DE RIESGOS ..............................................

19

BIBLIOGRAFA ..............................................................................................................

20

ANEXO A (Informativo)

TRMINOS EN INGLS.................................................................

21

ANEXO B (Informativo)

EVALUACIN DE RIESGOS.........................................................

22

ANEXO C (Informativo) ORGANIZACIN INTERNA .........................................................

C.1
Funciones ..........................................................................................................................
C.2
Lneas de comunicacin, informacin y decisin...........................................................

24
24
27

ANEXO D (Informativo)

BUENAS PRCTICAS.....................................................................

29

ANEXO E (Informativo)

MALAS PRCTICAS ......................................................................

30

ANEXO F (Informativo)

MODELO DE MADUREZ...............................................................

31

ANEXO G (Informativo)

ACTIVIDADES .................................................................................

33

EXTRACTO DEL DOCUMENTO UNE 71504

1 OBJETO Y CAMPO DE APLICACIN

Esta norma es de aplicacin a los sistemas de tratamiento de la informacin: especialmente a los servicios que dichos
sistemas prestan a los procesos de negocio que soportan. Estos sistemas incluyen:
toda la informacin que fluye en el proceso;
el marco legislativo y reglamentario;
los recursos humanos;
las aplicaciones informticas;
el equipamiento informtico;
las redes de comunicaciones;
las instalaciones;
y cualquier otro equipamiento auxiliar.
Esta norma establece los requisitos que debe cumplir el mtodo utilizado para:
1 analizar los riesgos a que estn expuestos los sistemas de informacin;
2 analizar las salvaguardas desplegadas para su proteccin;
3 estimar los riesgos residuales; y
4 gestionar dichos riesgos:
aplicando las decisiones de tratamiento acordadas;
monitorizando continuamente la seguridad del sistema: incidencias, problemas, desastres y funcionamiento
rutinario de los controles establecidos;
garantizando que los riesgos se mantienen en todo momento por debajo de los umbrales aceptados y aprobados
por la organizacin.
Queda excluido de la norma todo lo que pueda ocurrirle a la informacin mientras est fuera de los sistemas de
informacin.
2 NORMAS PARA CONSULTA
Los documentos que se citan a continuacin son indispensables para la aplicacin de esta norma. nicamente es
aplicable la edicin de aquellos documentos que aparecen con fecha de publicacin. Por el contrario, se aplicar la
ltima edicin (incluyendo cualquier modificacin que existiera) de aquellos documentos que se encuentran
referenciados sin fecha.
UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de Gestin de la Seguridad
de la Informacin (SGSI).
ISO/IEC 18043:2006 Tecnologa de la informacin. Tcnicas de seguridad. Seleccin, despliegue y operaciones de los
sistemas de deteccin de intrusiones.
ISO/IEC 19790:2006 Tecnologa de la informacin. Tcnicas de seguridad. Requisitos de seguridad para mdulos
criptogrficos.

EXTRACTO DEL DOCUMENTO UNE 71504

UNE-ISO/IEC Gua 73:2005 Gestin del Riesgo. Vocabulario. Directrices para la utilizacin en las normas.
ISO/IEC 13335-1:2004 Tecnologa de la informacin. Tcnicas de seguridad. Gestin de la seguridad de las
tecnologas de la informacin y las comunicaciones. Parte 1: Conceptos y modelos para la gestin de la seguridad de
las tecnologas de la informacin y las comunicaciones.
ISO/IEC 7498-2:1989 Sistemas de procesado de la informacin. Interconexin de sistemas abiertos. Modelo de
referencia bsico. Parte 2. Arquitectura de seguridad.

EXTRACTO DEL DOCUMENTO UNE 71504