NIST 800-30
La Publicación Especial 800-30 del NIST, "Guía para llevar a cabo evaluaciones de riesgos", proporciona orientación a las organizaciones para realizar evaluaciones de riesgos de los sistemas de información y organizaciones federales. Amplifica la orientación en la Publicación Especial 800-39 del NIST, que describe el proceso de gestión de riesgos organizacionales.
Solicitar una demostración de Secureframe Custom FrameworksDefinición y propósito
El propósito del NIST 800-30 es ayudar a las organizaciones a realizar evaluaciones de riesgos para:
- Identificar vulnerabilidades y amenazas a sus sistemas de información y activos.
- Evaluar el impacto potencial de los riesgos en la organización.
- Priorizar riesgos para mitigación y respuesta.
- Desarrollar e implementar estrategias de mitigación de riesgos.
- Mejorar la postura general de ciberseguridad y resistencia.
Órgano rector
El Instituto Nacional de Normas y Tecnología (NIST) es el órgano rector responsable de la serie 800 de publicaciones, incluyendo el NIST 800-30.
Última actualización
El NIST 800-30 fue publicado en 2012 y no ha tenido actualizaciones importantes.
Aplicable a
Aunque el NIST 800-30 está diseñado para que las agencias federales cumplan con los requisitos de FISMA, se anima a los gobiernos estatales, locales y tribales, así como a las organizaciones del sector privado, a utilizar estas guías también.
Controles y requisitos
El NIST 800-30 no proporciona una lista específica de controles o requisitos. En su lugar, ofrece una metodología para realizar evaluaciones de riesgos. Las organizaciones pueden utilizar otras publicaciones del NIST, como el NIST SP 800-53, para controles y requisitos específicos.
Consulte la publicación oficial del NIST 800-30 para más detalles.
Tipo, frecuencia y duración de auditoría
Dado que el NIST 800-30 es una guía para realizar evaluaciones de riesgos y no un estándar de cumplimiento, no dicta tipos específicos de auditoría, frecuencias o duraciones.
Tampoco dicta estos aspectos para las evaluaciones de riesgo. En su lugar, recomienda que las organizaciones realicen evaluaciones de riesgo de manera continua a lo largo del ciclo de vida del desarrollo del sistema. Por lo general, la frecuencia está determinada por el panorama de amenazas en evolución y los cambios en el entorno de la organización. La duración de una evaluación de riesgos también puede variar ampliamente, dependiendo de la complejidad de la organización y el alcance de la evaluación.