Logo MAGERIT

MAGERIT v.3 : Metodologia d'Anàlisi i Gestió de Riscos dels Sistemes d'Informació

MAGERIT és la metodologia d'anàlisi i gestió de riscos elaborada pel Consell Superior d'Administració Electrònica que estima que la gestió dels riscos és una pedra angular en les guies de bon govern. Actualitzada en 2012 en la seua versió 3

Documentació

 

  • MAGERIT versió 3 (idioma espanyol): Metodologia d'Anàlisi i Gestió de Riscos dels Sistemes d'Informació.- Edita: © Ministeri d'Hisenda i Administracions Públiques, octubre 2012.- NIPO: 630-12-171-8

pdfLlibre I : Mètode (PDF - 1,47 MB)

pdfLlibre II: Catàleg d'Elements (PDF - 3,37 MB)(Obri en nova finestra)

pdfLlibre III: : Guia de Tècniques (PDF - 1,28 MB)(Obri en nova finestra)

  • bandera anglesa MAGERIT V.3 (English version): Methodology for Information Systems Risk Analysis and Management.- Edita: © Ministeri d'Hisenda i Administracions Públiques, juliol 2014.- NIPO: 630-14-162-0

pdfBook I: Method (PDF - 1,44 MB) (Obri en nova finestra)     ePubBook I: Method (EPUB - 2,94 MB)

  • bandera anglesa MAGERIT V.2 (English version): Methodology for Information Systems Risk Analysis and Management.- Edita: © MAP, juny 2006.- NIPO: 326-06-044-8 

pdfBook I: Method (PDF - 1,17 MB)

pdfBook II: Catalogue (PDF - 270 KB)

pdfBook III: Techniques (PDF - 157 KB)

  • MAGERIT V.2 (Versione italiana): Metodologia vaig donar analisi dei rischi dei sistemi informativi .- Edita (només lliure I): © MAP, desembre de 2009.- NIPO: 000-09-070-4

pdfLlibre I: Metodo (PDF - 156 MB)

 

Introducció

MAGERIT és la metodologia d'anàlisi i gestió de riscos elaborada pel Consell Superior d'Administració Electrònica, com a resposta a la percepció que l'Administració, i, en general, tota la societat, depenen de forma creixent de les tecnologies de la informació per al compliment de la seua missió.

La raó de ser de MAGERIT està directament relacionada amb la generalització de l'ús de les tecnologies de la informació, que suposa uns beneficis evidents per als ciutadans; però també dóna lloc a certs riscos que han de minimitzar-se amb mesures de seguretat que generen confiança.

MAGERIT interessa a tots aquells que treballen amb informació digital i sistemes informàtics per a tractar-la. Si aquesta informació, o els serveis que es presten gràcies a ella, són valuosos, MAGERIT els permetrà saber quant valor està en joc i els ajudarà a protegir-ho. Conèixer el risc al que estan sotmesos els elements de treball és, simplement, imprescindible per a poder gestionar-los. Amb MAGERIT es persegueix una aproximació metòdica que no deixe lloc a la improvisació, ni depenga de l'arbitrarietat de l'analista.

Figura 1. ISO 31000 - Marque de treball per a la gestió de riscos

L'anàlisi i gestió dels riscos és un aspecte clau del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat(Obri en nova finestra) en l'àmbit de l'Administració Electrònica que té la finalitat de poder donar satisfacció al principi de proporcionalitat en el compliment dels principis bàsics i requisits mínims per a la protecció adequada de la informació. MAGERIT és un instrument per a facilitar la implantació i aplicació de l'Esquema Nacional de Seguretat.

Figura 2. Gestió de riscos

MAGERIT figura en l'inventari de mètodes d'anàlisis i gestió de riscos d'ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html(Obri en nova finestra)

Productes i serveis complementaris

PILAR és una eina que implementa la metodologia MAGERIT d'anàlisi i gestió de riscos, desenvolupada pel Centre Criptològic Nacional (CCN) i d'àmplia utilització en l'administració pública espanyola.

Es pot descarregar del Portal del CCN-CERT en:

https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/ear-pilar.html(Obri en nova finestra)

Els organismes de l'administració pública espanyola poden sol·licitar una llicència lliure de càrrecs al Centre Criptològic Nacional; per a açò, dirigisca la seua sol·licitud a Centre Criptològic Nacional ccn@cni.es

Objectius

MAGERIT persegueix els següents objectius:Directes:
  1. Conscienciar als responsables de les organitzacions d'informació de l'existència de riscos i de la necessitat de gestionar-los
  2. Oferir un mètode sistemàtic per a analitzar els riscos derivats de l'ús de tecnologies de la informació i comunicacions (TIC)
  3. Ajudar a descobrir i planificar el tractament oportú per a mantenir els riscos baix control Indirectes:
  4. Preparar a l'Organització per a processos d'avaluació, auditoria, certificació o acreditació, segons corresponga en cada cas

Organització de les guies

MAGERIT versió 3 s'ha estructurat en tres llibres: "Mètode", "Catàleg d'Elements" i "Guia de Tècniques".

Mètode

S'estructura de la següent forma:

  • El capítol 2 presenta els conceptes informalment. En particular s'emmarquen les activitats d'anàlisis i tractament dins d'un procés integral de gestió de riscos.
  • El capítol 3 concreta els passos i formalitza les activitats d'anàlisis dels riscos.
  • El capítol 4 descriu opcions i criteris de tractament dels riscos i formalitza les activitats de gestió de riscos.
  • El capítol 5 se centra en els projectes d'anàlisis de riscos, projectes en els quals ens veurem immersos per a realitzar la primera anàlisi de riscos d'un sistema i eventualment quan hi ha canvis substancials i cal refer el model àmpliament.
  • El capítol 6 formalitza les activitats dels plans de seguretat, a voltes denominats plans directors o plans estratègics.
  • El capítol 7 se centra en el desenvolupament de sistemes d'informació i com l'anàlisi de riscos serveix per a gestionar la seguretat del producte final des de la seua concepció inicial fins a la seua posada en producció, així com a la protecció del propi procés de desenvolupament.
  • El capítol 8 s'anticipa a alguns problemes que apareixen recurrentment quan es realitzen anàlisis de riscos.

Els apèndixs arrepleguen material de consulta:

  1. Un glossari,
  2. Referències bibliogràfiques considerades per al desenvolupament d'aquesta metodologia,
  3. Rreferencias al marc legal que enquadra les tasques d'anàlisis i gestió en l'Administració Pública Espanyola,
  4. El marc normatiu d'avaluació i certificació
  5. Les característiques que es requereixen de les eines, presents o futures, per a suportar el procés d'anàlisi i gestió de riscos,
  6. Una guia comparativa de com Magerit versió 1 ha evolucionat a la versió 2 i a aquesta versió 3

Catàleg d'Elements

Marca unes pautes quant a:

  • Tipus d'actius
  • Dimensions de valoració dels actius
  • Criteris de valoració dels actius
  • Amenaces típiques sobre els sistemes d'informació
  • Salvaguardes a considerar per a protegir sistemes d'informació

Es persegueixen dos objectius:

  1. D'una banda, facilitar la labor de les persones que escometen el projecte, en el sentit d'oferir-los elements estàndard als quals puguen adscriure's ràpidament, centrant-se en l'específic del sistema objecte de l'anàlisi.
  2. Per una altra, homogeneïtzar els resultats de les anàlisis, promovent una terminologia i uns criteris uniformes que permeten comparar i fins i tot integrar anàlisis realitzades per diferents equips.

Cada secció inclou una notació XML que s'emprarà per a publicar regularment els elements en un format estàndard capaç de ser processat automàticament per eines d'anàlisis i gestió.

Si el lector usa una eina d'anàlisi i gestió de riscos, aquest catàleg serà part de la mateixa; si l'anàlisi es realitza manualment, aquest catàleg proporciona una àmplia base de partida per a avançar ràpidament sense distraccions ni oblits.

Guia de Tècniques

Aporta llum addicional i orientació sobre algunes tècniques que s'empren habitualment per a dur a terme projectes d'anàlisis i gestió de riscos:

  • Tècniques específiques per a l'anàlisi de riscos
  • Anàlisi mitjançant taules
  • Anàlisi algorítmica
  • Arbres d'atac
  • Tècniques generals
  • Tècniques gràfiques
  • Sessions de treball: entrevistes, reunions i presentacions

Valoració Delphi Es tracta d'una guia de consulta. Segons el lector avanç per la tasques del projecte, se li recomanarà l'ús de certes tècniques específiques, de les quals aquesta guia cerca ser una introducció, així com proporcionar referències perquè el lector aprofundisca en les tècniques presentades.

Drets d'utilització

MAGERIT és una metodologia de caràcter públic, pertanyent al Ministeri d'Hisenda i Administracions Públiques; la seua utilització no requereix autorització prèvia del mateix.

Responsable del Producte

Secretaria General d'Administració Digital.