NIST

Desarrollada por el NIST (National Institute of Standard and Technology) adscrita al Departamento de Comercio de los Estados Unidos,  Su publicación inicial fue en el año 2002.

A diferencia de las demás metodologías está estructurada en 9 pasos:

• Caracterización del sistema a nivel de Tecnologías de la información como de su entorno operativo (Datos, software, personas, conectividad).
• 
  
• Identificación de amenazas que puedan llevar a su materialización.
• 
  
• Identificación de vulnerabilidades que puedan ser aprovechadas por una amenaza potencial.
• 
  
• Análisis de controles implementados por la organización para la reducción de los riesgos.
• 
  
• Determinación del riesgo , donde se clasifican por probabilidad.
• 
  
• Análisis de impacto que pueda causar la materialización del riesgo.
• 
  
• Determinación del riesgo, donde se evalúa los riesgos de acuerdo a las etapas anteriores.
• 
  
• Recomendaciones de control de acuerdo a su eficacia, impacto, legislación y fiabilidad.
• 
  
• Y por último la documentación de los resultados obtenidos.

http://www.securityartwork.es/wp-content/uploads/2012/03/3.jpg

http://www.nist.gov/