Anomalías y eventos (DE.AE)
Esta categoría implica que la actividad anómala se detecta de forma oportuna y el potencial impacto de los eventos es comprendido.
En la tabla siguiente se detallan cinco subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
DE.AE-1. Se establece y gestiona una línea base de operaciones de red y flujos de datos esperados para usuarios y sistemas. | P3 | P3 | P2 | CIS CSC 1, 4, 6, 12, 13, 15, 16 COBIT 5 DSS03.01 ISA 62443-2-1:2009 4.4.3.3 ISO/IEC 27001:2013 A.12.1.1, A.12.1.2, A.13.1.1, A.13.1.2 NIST SP 800-53 Rev. 4 AC-4, CA-3, CM-2, SI-4 | |
DE.AE-2. Los eventos detectados son analizados para entender los objetivos y métodos de ataque. | P2 | P2 | P1 | CIS CSC 3, 6, 13, 15 COBIT 5 DSS05.07 ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8 ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR 2.11, SR 2.12, SR 3.9, SR 6.1, SR 6.2 ISO/IEC 27001:2013 A.12.4.1, A.16.1.1, A.16.1.4 NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, SI-4 EMG 63 |
SO.7 Registrar y monitorear los eventos de los sistemas.
|
DE.AE-3. Los datos de los eventos se agrupan y correlacionan desde múltiples fuentes y sensores. | P3 | P2 | P1 | CIS CSC 1, 3, 4, 5, 6, 7, 8, 11, 12, 13, 14, 15, 16 COBIT 5 BAI08.02 ISA 62443-3-3:2013 SR 6.1 ISO/IEC 27001:2013 A.12.4.1, A.16.1.7 NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR-5, IR-8, SI-4 | |
DE.AE-4. Se determina el impacto de los eventos. | P3 | P2 | P1 | CIS CSC 4, 6 COBIT 5 APO12.06, DSS03.01 ISO/IEC 27001:2013 A.16.1.4 NIST SP 800-53 Rev. 4 CP-2, IR4, RA-3, SI-4 EMG 63 | GI.1 Planificar la gestión de los incidentes de seguridad de la información.
GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
|
DE.AE-5. Se establecen los umbrales de alerta de incidentes. | P3 | P2 | P1 | CIS CSC 6, 19 COBIT 5 APO12.06, DSS03.01 ISA 62443-2-1:2009 4.2.3.10 ISO/IEC 27001:2013 A.16.1.4 NIST SP 800-53 Rev. 4 IR4, IR-5, IR-8 EMG 63 | GI.1 Planificar la gestión de los incidentes de seguridad de la información.
GI.5 Responder ante incidentes de seguridad de la información.
|