• Barajar
    Activar
    Desactivar
  • Alphabetizar
    Activar
    Desactivar
  • Frente Primero
    Activar
    Desactivar
  • Ambos lados
    Activar
    Desactivar
  • Leer
    Activar
    Desactivar
Leyendo...
Frente

Cómo estudiar sus tarjetas

Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda

Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba

Tecla H: Muestra pista (3er lado).tecla h

Tecla N: Lea el texto en voz.tecla n

image

Boton play

image

Boton play

image

Progreso

1/9

Click para voltear

Rango de Cartas a estudiar

a través

9 Cartas en este set

  • Frente
  • Atrás
Top 10 vulnerabilidades de la OWASP (Open Web Application Security Project)
1. Inyección
2. Autenticación y gestión de sesión roto
3. Exposición de datos sensibles
4. Entidades externas XML
5. Control de acceso roto
6. Configuración de la seguridad inadecuada
7. XSS
8. Deserialización incorrecta
9. Uso de componentes con vulnerabilidades conocidas
10. Registro y monitorización inadecuados.
Clases de evaluación TCSEC (libro naranja) (de menor a mayor)
D SIn cumplimiento
C1 Protección discrecional
C2 Protección de control de acceso
B1 proteccion etiquetada
B2 proteccion estructurada
B3 Cominios de seguridad
A1 proteccion verificada
Niveles de evaluación de ITSEC (Libro blanco) (de menor a mayor)
E0 aseguramiento inadecuado, sin certificación
E1 Existe meta de seguridad y descripción informal arquitectónica del TOE
E2 Debe existir una descripción informal del diseño detallado, deben evaluarse las pruebas de realización de ensayos funcionales y debe existir de sistema de control de la configuración y distribución aprobado
E3 Debe evaluarse el código fuente y el HW que implementa funciones de seguridad y deben evaluarse las pruebas de realización de ensayos de estos mecanismos
E4 Debe existir un modelo normal subyacente de política de seguridad que de soporte a la meta de seguridad. Debe existir una descripción semiformal de las funciones de seguridad, el diseño detallado
E5 Debe existir una alta correspondencia entre el diseño detallado y el código fuente y funciones de hardware
E6 Debe especificarse de manera formal las funciones de seguridad en correspondencia con el modelo formal subyacente de la política de seguridad especificada.
Norma que define Common Criteria
ISO/EIA 15408 (Tila CroChe)
Cuales son los criterios comunes (de menor a mayor)
EAL0 Sin garantías
EAL1 Probado funcionalmente
EAL2 Probado estructuralmente
EAL3 Probado y chequeado metódicamente
EAL4 Diseñado, probado y revisado metódicamente
EAL 5 Diseñado y probado semiformalmente
EAL 6 Diseñado, probado y verificado semiformalmente
EAL 7 Diseñado, probado y verificado de manera formal
Estructura de ISO 27002
14 dominios, 35 objetivos de control y 114 controles

Cada dominio cuenta con una o mas objetivos de control

Cada objetivo de control consta de controles , métricas y herramientas.
Según ISO 27002, que son los controles?
Son un conjunto de

Políticas, Procesos, procedimientos, estructuras organizacionales y funciones de SW y HW

que se deben

Seleccionar, implementar, supervisar, revisar y mejorar

En la construcción de un SGSI
Dominios según ISO 27002
1. Política de Seguridad
2. Organización de la seguridad
3. Seguridad relativa a los RRHH
4. Gestion de activos
5. Control de acceso
6. Criptografia
7 Seguridad fisica y del entorno
8 Seguridad de las operaciones
9 Seguridad de las telecomunicaciones
10 Adquisición, desarrollo y mantenimiento de los SI
11 Relación con proveedores
12 Gestión de incidentes de seguridad
13 Aspectos de seguridad para la gestión de la continuidad de negocio
14 Cumplimiento
Según ISO 27002, cuales son los fuentes de requisitos de seguridad
Gestión del riesgo

Normativas, reglamentos, contratos con proveedores y terceros

Procesos y procedimientos internos de la organización para la adquisición, tratamiento, comunicación y almacenamiento de la información de negocio.