accesskey_mod_content

MAGERIT v.3 : Metodoloxía de Análise e Xestión de Riscos dos Sistemas de Información

  • Opinar
  • Escoitar
  • Imprimir PDF
  • Compartir

Documentación

  • MAGERIT versión 3 (versión español): Metodoloxía de Análise e Xestión de Riscos dos Sistemas de Información.- Edita: © Ministerio de Facenda e Administracións Públicas, outubro 2012.- NIPO : 630-12-171-8

Libro I: Método (PDF-1,47 MB)(Abre en nova xanela)

Libro II: Catálogo de Elementos (PDF-3,37 MB)(Abre en nova xanela)

Libro III: Guía de Técnicas (PDF-1,28 MB)(Abre en nova xanela)

  • MAGERIT V.3 (English version): Methodology for Information Systems Risk Analysis and Management.- Edita: © Ministerio de Facenda e Administracións Públicas, xullo 2014.- NIPO : 630-14-162-0

Book I: Method (PDF-1,44 MB) (Abre en nova xanela)     Book I: Method (EPUB-2,94 MB)(Abre en nova xanela)

  • MAGERIT V.2 (English version): Methodology for Information Systems Risk Analysis and Management.- Edita: © MAP, xuño 2006.- NIPO : 326-06-044-8

Book I: Method (PDF-1,17 MB)(Abre en nova xanela)

Book II: Catalogue (PDF-270 KB)(Abre en nova xanela)

Book III: Techniques (PDF-157 KB)(Abre en nova xanela)

  • MAGERIT V.2 (Versione italiana): Metodologia di analisi dei rischi dei sistemi informativi. (solamente traducido el Libro I). Edita,  © MAP, diciembre de 2009.- NIPO : 000-09-070-4

Libro I: Metodo (PDF-1,56 MB)(Abre en nova xanela)

Introdución

MAGERIT versión 3 é a metodoloxía de análise e xestión de riscos elaborada no seu día polo antigo Consello Superior de Administración Electrónica e actualmente mantida pola Secretaría Xeral de Administración Dixital (Ministerio de Asuntos Económicos e Transformación Dixital) coa colaboración do Centro Criptolóxico Nacional ( CCN ).

MAGERIT é unha metodoloxía de carácter público que pode ser utilizada libremente e non require autorización previa. Interesa principalmente ás entidades no ámbito de aplicación do Esquema Nacional de Seguridade (ENS) para satisfacer o principio da xestión da seguridade baseada en riscos, así como o requisito de análise e xestión de riscos, considerando a dependencia das tecnoloxías da información para cumprir misións, prestar servizos e alcanzar os obxectivos da organización.

Seguindo a terminoloxía da normativa ISO 31000, MAGERIT responde ao que se denomina “Proceso de Xestión dos Riscos”, sección 4.4 (“Implementación da Xestión dos Riscos”) dentro do “Marco de Xestión de Riscos”. Noutras palabras, MAGERIT implementa o Proceso de Xestión de Riscos dentro dun marco de traballo para que os órganos de goberno tomen decisións tendo en conta os riscos derivados do uso de tecnoloxías da información.

Figura 1. ISO 31000 - Marco de traballo para a xestión de riscos

MAGERIT figura no inventario de métodos de análises e xestión de riscos de en:. ENISA

http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html

Produtos e servizos complementarios

PILAR(Abre en nova xanela) é unha ferramenta que implementa a metodoloxía MAGERIT de análise e xestión de riscos, desenvolvida polo Centro Criptolóxico Nacional ( CCN ) e de ampla utilización na administración pública española.

Os organismos da administración pública española poden solicitar unha licenza libre de cargos ao Centro Criptolóxico Nacional; para iso, dirixa a súa solicitude a Centro Criptolóxico Nacional  ccn@cni.es

Obxectivos

MAGERIT persegue os seguintes Obxectivos Directos:

  1. Concienciar aos responsables das organizacións de información da existencia de riscos e da necesidade de xestionalos
  2. Ofrecer un método sistemático para analizar os riscos derivados do uso de tecnoloxías da información e comunicacións (TIC)
  3. Axudar a descubrir e planificar o tratamento oportuno para manter os riscos baixo control Indirectos
  4. Preparar á Organización para procesos de avaliación, auditoría, certificación ou acreditación, segundo corresponda en cada caso

Organización das guías

MAGERIT versión 3 estrutúrase en tres libros: "Método", "Catálogo de Elementos" e "Guía de Técnicas".

Método

Estrutúrase da seguinte forma:

  • O capítulo 2 presenta os conceptos informalmente. En particular enmárcanse as actividades de análises e tratamento dentro dun proceso integral de xestión de riscos.
  • O capítulo 3 concreta os pasos e formaliza as actividades de análises dos riscos.
  • O capítulo 4 describe opcións e criterios de tratamento dos riscos e formaliza as actividades de xestión de riscos.
  • O capítulo 5 céntrase nos proxectos de análises de riscos, proxectos nos que nos veremos inmersos para realizar a primeira análise de riscos dun sistema e eventualmente cando hai cambios substanciais e hai que refacer o modelo amplamente.
  • O capítulo 6 formaliza as actividades dos plans de seguridade, ás veces denominados plans directores ou plans estratéxicos.
  • O capítulo 7 céntrase no desenvolvemento de sistemas de información e como a análise de riscos serve para xestionar a seguridade do produto final desde a súa concepción inicial ata a súa posta en produción, así como á protección do propio proceso de desenvolvemento.
  • O capítulo 8 anticípase a algúns problemas que aparecen recurrentemente cando se realizan análises de riscos.

Os apéndices recollen material de consulta:

  1. Un glosario,
  2. Referencias bibliográficas consideradas para o desenvolvemento desta metodoloxía,
  3. Rreferencias ao marco legal que encadra as tarefas de análises e xestión na Administración Pública Española,
  4. O marco normativo de avaliación e certificación
  5. As características que se requiren das ferramentas, presentes ou futuras, para soportar o proceso de análise e xestión de riscos,
  6. Unha guía comparativa de como Magerit versión 1 evolucionou á versión 2 e a esta versión 3

Catálogo de Elementos

Marca unhas pautas en canto a:

  • Tipos de activos
  • Dimensións de valoración dos activos
  • Criterios de valoración dos activos
  • Ameazas típicas sobre os sistemas de información
  • Salvagardas a considerar para protexer sistemas de información

Perséguense dous obxectivos:

  1. Por unha banda, facilitar o labor das persoas que acometen o proxecto, no sentido de ofrecerlles elementos estándar aos que poidan adscribirse rapidamente, centrándose no específico do sistema obxecto da análise.
  2. Por outra, homoxeneizar os resultados das análises, promovendo unha terminoloxía e uns criterios uniformes que permitan comparar e mesmo integrar análises realizadas por diferentes equipos.

Cada sección inclúe unha notación XML que se empregará para publicar regularmente os elementos nun formato estándar capaz de ser procesado automaticamente por ferramentas de análises e xestión.

Se o lector usa unha ferramenta de análise e xestión de riscos, este catálogo será parte da mesma; se a análise realízase manualmente, este catálogo proporciona unha ampla base de partida para avanzar rapidamente sen distraccións nin esquecementos.

Guía de Técnicas

Achega luz adicional e orientación sobre algunhas técnicas que se empregan habitualmente para levar a cabo proxectos de análises e xestión de riscos:

  • Técnicas específicas para a análise de riscos
  • Análise mediante táboas
  • Análise algorítmica
  • Árbores de ataque
  • Técnicas xerais
  • Técnicas gráficas
  • Sesións de traballo: entrevistas, reunións e presentacións

Valoración Delphi Trátase dunha guía de consulta. Segundo o lector avance polas tarefas do proxecto, recomendaráselle o uso de certas técnicas específicas, das que esta guía busca ser unha introdución, así como proporcionar referencias para que o lector profunde nas técnicas presentadas.

Dereitos de utilización

MAGERIT é unha metodoloxía de carácter público, pode ser utilizada libremente e non require autorización previa. En calquera explotación da obra farase constar a autoría orixinal.

Responsable do Produto

Secretaría Xeral de Administración Dixital.

Ligazóns relacionadasLigazóns relacionadas