NIST SP 800-30
¿Qué es NIST SP 800-30?
NIST SP 800-30Publicacion especial del NIST que ofrece directrices para realizar evaluaciones de riesgo de los sistemas de informacion y de las misiones que respaldan.
NIST SP 800-30 Revision 1, Guia para la realizacion de evaluaciones de riesgo, es publicada por el National Institute of Standards and Technology de EE. UU. y forma parte del marco NIST RMF. Define un proceso de cuatro pasos: preparar la evaluacion, realizar la evaluacion, comunicar resultados y mantener la evaluacion. Describe como identificar fuentes y eventos de amenaza, vulnerabilidades, probabilidad e impacto, y combinarlos en calificaciones de riesgo cualitativas o semicuantitativas. Es la referencia para evaluaciones por niveles —organizacion, mision y sistema— y se utiliza por agencias federales, contratistas y muchas organizaciones privadas junto con SP 800-37 y SP 800-39.
● Ejemplos
- 01
Un contratista federal usa las tablas de SP 800-30 para puntuar probabilidad e impacto en un paquete ATO.
- 02
Un banco adapta las plantillas de SP 800-30 para evaluar riesgos de proveedores SaaS antes de contratar.
● Preguntas frecuentes
¿Qué es NIST SP 800-30?
Publicacion especial del NIST que ofrece directrices para realizar evaluaciones de riesgo de los sistemas de informacion y de las misiones que respaldan. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa NIST SP 800-30?
Publicacion especial del NIST que ofrece directrices para realizar evaluaciones de riesgo de los sistemas de informacion y de las misiones que respaldan.
¿Cómo funciona NIST SP 800-30?
NIST SP 800-30 Revision 1, Guia para la realizacion de evaluaciones de riesgo, es publicada por el National Institute of Standards and Technology de EE. UU. y forma parte del marco NIST RMF. Define un proceso de cuatro pasos: preparar la evaluacion, realizar la evaluacion, comunicar resultados y mantener la evaluacion. Describe como identificar fuentes y eventos de amenaza, vulnerabilidades, probabilidad e impacto, y combinarlos en calificaciones de riesgo cualitativas o semicuantitativas. Es la referencia para evaluaciones por niveles —organizacion, mision y sistema— y se utiliza por agencias federales, contratistas y muchas organizaciones privadas junto con SP 800-37 y SP 800-39.
¿Cómo defenderse de NIST SP 800-30?
Las defensas contra NIST SP 800-30 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para NIST SP 800-30?
Nombres alternativos comunes: SP 800-30, Guia para la realizacion de evaluaciones de riesgo.
● Términos relacionados
- compliance№ 736
NIST SP 800-37
Marco de gestion de riesgos del NIST que define un proceso de siete pasos para gestionar el riesgo de seguridad y privacidad durante todo el ciclo de vida del sistema.
- compliance№ 738
NIST SP 800-61
Guia del NIST para el tratamiento de incidentes de seguridad informatica, que describe el ciclo de vida en cuatro fases utilizado por equipos de respuesta en el sector publico y privado.
- compliance№ 236
CRISC
Certificacion de ISACA para profesionales de riesgo y control de TI, que abarca gobierno, evaluacion de riesgos, respuesta e informes y seleccion de controles en cuatro dominios.
- compliance№ 176
CISM
Certificacion de nivel directivo de ISACA para responsables de seguridad de la informacion, que abarca gobierno, riesgo, desarrollo del programa y gestion de incidentes en cuatro dominios.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.