accesskey_mod_content

MAGERIT v.3 : Metodologia d'Anàlisi i Gestió de Riscos dels Sistemes d'Informació

  • Opinar
  • Escoltar
  • Imprimir PDF
  • Compartir

Documentació

  • MAGERIT versió 3 (versió espanyol): Metodologia d'Anàlisi i Gestió de Riscos dels Sistemes d'Informació.- Edita: © Ministeri d'Hisenda i Administracions Públiques, octubre 2012.- NIPO : 630-12-171-8

Llibre I: Mètode (PDF-1,47 MB)(Obre en nova finestra)

Llibre II: Catàleg d'Elements (PDF-3,37 MB)(Obre en nova finestra)

Llibre III: Guia de Tècniques (PDF-1,28 MB)(Obre en nova finestra)

  • MAGERIT V.3 (English version): Methodology for Information Systems Risk Analysis and Management.- Edita: © Ministeri d'Hisenda i Administracions Públiques, juliol 2014.- NIPO : 630-14-162-0

Book I: Method (PDF-1,44 MB) (Obre en nova finestra)     Book I: Method (EPUB-2,94 MB)(Obre en nova finestra)

  • MAGERIT V.2 (English version): Methodology for Information Systems Risk Analysis and Management.- Edita: © MAP, juny 2006.- NIPO : 326-06-044-8

Book I: Method (PDF-1,17 MB)(Obre en nova finestra)

Book II: Catalogui (PDF-270 KB)(Obre en nova finestra)

Book III: Techniques (PDF-157 KB)(Obre en nova finestra)

  • MAGERIT V.2 (Versione italiana): Metodologia di analisi dei rischi dei sistemi informativi. (solamente traducido el Libro I). Edita,  © MAP, diciembre de 2009.- NIPO : 000-09-070-4

Llibre I: Metodo (PDF-1,56 MB)(Obre en nova finestra)

Introducció

MAGERIT versió 3 és la metodologia d'anàlisi i gestió de riscos elaborada en el seu moment per l'antic Consell Superior d'Administració Electrònica i actualment mantinguda per la Secretaria General d'Administració Digital (Ministeri d'Assumptes Econòmics i Transformació Digital) amb la col·laboració del Centre Criptològic Nacional ( CCN ).

MAGERIT és una metodologia de caràcter públic que pot ser utilitzada lliurement i no requereix autorització prèvia. Interessa principalment a les entitats en l'àmbit d'aplicació de l'Esquema Esquema Nacional de Seguretat (ENS) per satisfer el principi de la gestió de la seguretat basada en riscos, així com el requisit d'anàlisi i gestió de riscos, considerant la dependència de les tecnologies de la informació per complir missions, prestar serveis i aconseguir els objectius de l'organització.

Seguint la terminologia de la normativa ISO 31000, MAGERIT respon al que es denomina “Procés de Gestió dels Riscos”, secció 4.4 (“Implementació de la Gestió dels Riscos”) dins de el “Marc de Gestió de Riscos”. En altres paraules, MAGERIT implementa el Procés de Gestió de Riscos dins d'un marc de treball perquè els òrgans de govern prenguin decisions tenint en compte els riscos derivats de l'ús de tecnologies de la informació.

Figura 1. ISO 31000 - Marco de treball per a la gestió de riscos

MAGERIT figura en l'inventari de mètodes d'anàlisis i gestió de riscos d'en:. ENISA

http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html

Productes i serveis complementaris

PILAR(Obre en nova finestra) és una eina que implementa la metodologia MAGERIT d'anàlisi i gestió de riscos, desenvolupada pel Centre Criptològic Nacional ( CCN ) i d'àmplia utilització en l'administració pública espanyola.

Els organismes de l'administració pública espanyola poden sol·licitar una llicència lliure de càrrecs al Centre Criptològic Nacional; per a això, dirigeixi la seva sol·licitud a Centre Criptològic Nacional  ccn@cni.es

Objectius

MAGERIT persegueix els següents Objectius Directes:

  1. Conscienciar als responsables de les organitzacions d'informació de l'existència de riscos i de la necessitat de gestionar-los
  2. Oferir un mètode sistemàtic per analitzar els riscos derivats de l'ús de tecnologies de la informació i comunicacions (TIC)
  3. Ajudar a descobrir i planificar el tractament oportú per mantenir els riscos baix control Indirectes
  4. Preparar a l'Organització per a processos d'avaluació, auditoria, certificació o acreditació, segons correspongui en cada cas

Organització de les guies

MAGERIT versió 3 s'estructura en tres llibres: "Mètode", "Catàleg d'Elements" i "Guia de Tècniques".

Mètode

S'estructura de la següent forma:

  • El capítol 2 presenta els conceptes informalment. En particular s'emmarquen les activitats d'anàlisis i tractament dins d'un procés integral de gestió de riscos.
  • El capítol 3 concreta els passos i formalitza les activitats d'anàlisis dels riscos.
  • El capítol 4 descriu opcions i criteris de tractament dels riscos i formalitza les activitats de gestió de riscos.
  • El capítol 5 se centra en els projectes d'anàlisis de riscos, projectes en els quals ens veurem immersos per realitzar la primera anàlisi de riscos d'un sistema i eventualment quan hi ha canvis substancials i cal refer el model àmpliament.
  • El capítol 6 formalitza les activitats dels plans de seguretat, de vegades denominats plans directors o plans estratègics.
  • El capítol 7 se centra en el desenvolupament de sistemes d'informació i com l'anàlisi de riscos serveix per gestionar la seguretat del producte final des de la seva concepció inicial fins a la seva posada en producció, així com a la protecció del propi procés de desenvolupament.
  • El capítol 8 s'anticipa a alguns problemes que apareixen recurrentment quan es realitzen anàlisis de riscos.

Els apèndixs recullen material de consulta:

  1. Un glossari,
  2. Referències bibliogràfiques considerades per al desenvolupament d'aquesta metodologia,
  3. Rreferencias al marc legal que enquadra les tasques d'anàlisis i gestió en l'Administració Pública Espanyola,
  4. El marc normatiu d'avaluació i certificació
  5. Les característiques que es requereixen de les eines, presents o futures, per suportar el procés d'anàlisi i gestió de riscos,
  6. Una guia comparativa de com Magerit versió 1 ha evolucionat a la versió 2 i a aquesta versió 3

Catàleg d'Elements

Marca unes pautes quant a:

  • Tipus d'actius
  • Dimensions de valoració dels actius
  • Criteris de valoració dels actius
  • Amenaces típiques sobre els sistemes d'informació
  • Salvaguardes a considerar per protegir sistemes d'informació

Es persegueixen dos objectius:

  1. D'una banda, facilitar la labor de les persones que escometen el projecte, en el sentit d'oferir-los elements estàndard als quals puguin adscriure's ràpidament, centrant-se en l'específic del sistema objecto de l'anàlisi.
  2. Per una altra, homogeneïtzar els resultats de les anàlisis, promovent una terminologia i uns criteris uniformes que permetin comparar i fins i tot integrar anàlisis realitzades per diferents equips.

Cada secció inclou una notació XML que s'emprarà per publicar regularment els elements en un format estàndard capaç de ser processat automàticament per eines d'anàlisis i gestió.

Si el lector usa una eina d'anàlisi i gestió de riscos, aquest catàleg serà part de la mateixa; si l'anàlisi es realitza manualment, aquest catàleg proporciona una àmplia base de partida per avançar ràpidament sense distraccions ni oblits.

Guia de Tècniques

Aporta llum addicional i orientació sobre algunes tècniques que s'empren habitualment per dur a terme projectes d'anàlisis i gestió de riscos:

  • Tècniques específiques per a l'anàlisi de riscos
  • Anàlisi mitjançant taules
  • Anàlisi algorítmica
  • Arbres d'atac
  • Tècniques generals
  • Tècniques gràfiques
  • Sessions de treball: entrevistes, reunions i presentacions

Valoració Delphi Es tracta d'una guia de consulta. Segons el lector avanç per la tasques del projecte, se li recomanarà l'ús de certes tècniques específiques, de les quals aquesta guia cerca ser una introducció, així com proporcionar referències perquè el lector aprofundeixi en les tècniques presentades.

Drets d'utilització

MAGERIT és una metodologia de caràcter públic, pot ser utilitzada lliurement i no requereix autorització prèvia. En qualsevol explotació de l'obra es farà constar l'autoria original.

Responsable del Producte

Secretaria General d'Administració Digital.

Enllaços relacionatsEnllaços relacionats