accesskey_mod_content
Logo MAGERIT

MAGERIT v.3 : Metodoloxía de Análise e Xestión de Riscos dos Sistemas de Información

MAGERIT é a metodoloxía de análise e xestión de riscos elaborada polo Consello Superior de Administración Electrónica que estima que a xestión dos riscos é unha pedra angular nas guías de bo goberno. Actualizada en 2012 na súa versión 3

Documentación

 

  • MAGERIT versión 3 (idioma español): Metodoloxía de Análise e Xestión de Riscos dos Sistemas de Información.- Edita: © Ministerio de Facenda e Administracións Públicas, outubro 2012.- NIPO: 630-12-171-8

pdfLibro I : Método (PDF - 1,47 MB)

pdfLibro II: Catálogo de Elementos (PDF - 3,37 MB)(Abre en nova xanela)

pdfLibro III: : Guía de Técnicas (PDF - 1,28 MB)(Abre en nova xanela)

  • bandeira inglesa MAGERIT V.3 (English version): Methodology for Information Systems Risk Analysis and Management.- Edita: © Ministerio de Facenda e Administracións Públicas, xullo 2014.- NIPO: 630-14-162-0

pdfBook I: Method (PDF - 1,44 MB) (Abre en nova xanela)     ePubBook I: Method (EPUB - 2,94 MB)

  • bandeira inglesa MAGERIT V.2 (English version): Methodology for Information Systems Risk Analysis and Management.- Edita: © MAP, xuño 2006.- NIPO: 326-06-044-8 

pdfBook I: Method (PDF - 1,17 MB)

pdfBook II: Catalogue (PDF - 270 KB)

pdfBook III: Techniques (PDF - 157 KB)

  • MAGERIT V.2 (Versione italiana): Metodologia dei analisi dei rischi dei sistemi informativi .- Edita (só libro I): © MAP, decembro de 2009.- NIPO: 000-09-070-4

pdfLibro I: Metodo (PDF - 156 MB)

 

Introdución

MAGERIT é a metodoloxía de análise e xestión de riscos elaborada polo Consello Superior de Administración Electrónica, como resposta á percepción de que a Administración, e, en xeral, toda a sociedade, dependen de forma crecente das tecnoloxías da información para o cumprimento da súa misión.

A razón de ser de MAGERIT está directamente relacionada coa xeneralización do uso das tecnoloxías da información, que supón uns beneficios evidentes para os cidadáns; pero tamén dá lugar a certos riscos que deben minimizarse con medidas de seguridade que xeren confianza.

MAGERIT interesa a todos aqueles que traballan con información dixital e sistemas informáticos para tratala. Se dita información, ou os servizos que se prestan grazas a ela, son valiosos, MAGERIT permitiralles saber canto valor está en xogo e axudaralles a protexelo. Coñecer o risco ao que están sometidos os elementos de traballo é, simplemente, imprescindible para poder xestionalos. Con MAGERIT perséguese unha aproximación metódica que non deixe lugar á improvisación, nin dependa da arbitrariedade do analista.

Figura 1. ISO 31000 - Marco de traballo para a xestión de riscos

A análise e xestión dos riscos é un aspecto crave do Real Decreto 3/2010, de 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade(Abre en nova xanela) no ámbito da Administración Electrónica que ten a finalidade de poder dar satisfacción ao principio de proporcionalidade no cumprimento dos principios básicos e requisitos mínimos para a protección adecuada da información. MAGERIT é un instrumento para facilitar a implantación e aplicación do Esquema Nacional de Seguridade.

Figura 2. Xestión de riscos

MAGERIT figura no inventario de métodos de análises e xestión de riscos de ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html(Abre en nova xanela)

Produtos e servizos complementarios

PILAR é unha ferramenta que implementa a metodoloxía MAGERIT de análise e xestión de riscos, desenvolvida polo Centro Criptolóxico Nacional (CCN) e de ampla utilización na administración pública española.

Pódese descargar do Portal do CCN-CERT en:

https://www.ccn-cert.cni.es/herramientas-de-ciberseguridade/ear-alicerce.html(Abre en nova xanela)

Os organismos da administración pública española poden solicitar unha licenza libre de cargos ao Centro Criptolóxico Nacional; para iso, dirixa a súa solicitude a Centro Criptolóxico Nacional ccn@cni.es

Obxectivos

MAGERIT persegue os seguintes obxectivos:Directos:
  1. Concienciar aos responsables das organizacións de información da existencia de riscos e da necesidade de xestionalos
  2. Ofrecer un método sistemático para analizar os riscos derivados do uso de tecnoloxías da información e comunicacións (TIC)
  3. Axudar a descubrir e planificar o tratamento oportuno para manter os riscos baixo control Indirectos:
  4. Preparar á Organización para procesos de avaliación, auditoría, certificación ou acreditación, segundo corresponda en cada caso

Organización das guías

MAGERIT versión 3 estruturouse en tres libros: "Método", "Catálogo de Elementos" e "Guía de Técnicas".

Método

Estrutúrase da seguinte forma:

  • O capítulo 2 presenta os conceptos informalmente. En particular enmárcanse as actividades de análises e tratamento dentro dun proceso integral de xestión de riscos.
  • O capítulo 3 concreta os pasos e formaliza as actividades de análises dos riscos.
  • O capítulo 4 describe opcións e criterios de tratamento dos riscos e formaliza as actividades de xestión de riscos.
  • O capítulo 5 céntrase nos proxectos de análises de riscos, proxectos nos que nos veremos inmersos para realizar a primeira análise de riscos dun sistema e eventualmente cando hai cambios substanciais e hai que refacer o modelo amplamente.
  • O capítulo 6 formaliza as actividades dos plans de seguridade, ás veces denominados plans directores ou plans estratéxicos.
  • O capítulo 7 céntrase no desenvolvemento de sistemas de información e como a análise de riscos serve para xestionar a seguridade do produto final desde a súa concepción inicial ata a súa posta en produción, así como á protección do propio proceso de desenvolvemento.
  • O capítulo 8 anticípase a algúns problemas que aparecen recurrentemente cando se realizan análises de riscos.

Os apéndices recollen material de consulta:

  1. Un glosario,
  2. Referencias bibliográficas consideradas para o desenvolvemento desta metodoloxía,
  3. Rreferencias ao marco legal que encadra as tarefas de análises e xestión na Administración Pública Española,
  4. O marco normativo de avaliación e certificación
  5. As características que se requiren das ferramentas, presentes ou futuras, para soportar o proceso de análise e xestión de riscos,
  6. Unha guía comparativa de como Magerit versión 1 evolucionou á versión 2 e a esta versión 3

Catálogo de Elementos

Marca unhas pautas en canto a:

  • Tipos de activos
  • Dimensións de valoración dos activos
  • Criterios de valoración dos activos
  • Ameazas típicas sobre os sistemas de información
  • Salvagardas a considerar para protexer sistemas de información

Perséguense dous obxectivos:

  1. Por unha banda, facilitar o labor das persoas que acometen o proxecto, no sentido de ofrecerlles elementos estándar aos que poidan adscribirse rapidamente, centrándose no específico do sistema obxecto da análise.
  2. Por outra, homoxeneizar os resultados das análises, promovendo unha terminoloxía e uns criterios uniformes que permitan comparar e mesmo integrar análises realizadas por diferentes equipos.

Cada sección inclúe unha notación XML que se empregará para publicar regularmente os elementos nun formato estándar capaz de ser procesado automaticamente por ferramentas de análises e xestión.

Se o lector usa unha ferramenta de análise e xestión de riscos, este catálogo será parte da mesma; se a análise realízase manualmente, este catálogo proporciona unha ampla base de partida para avanzar rapidamente sen distraccións nin esquecementos.

Guía de Técnicas

Achega luz adicional e orientación sobre algunhas técnicas que se empregan habitualmente para levar a cabo proxectos de análises e xestión de riscos:

  • Técnicas específicas para a análise de riscos
  • Análise mediante táboas
  • Análise algorítmica
  • Árbores de ataque
  • Técnicas xerais
  • Técnicas gráficas
  • Sesións de traballo: entrevistas, reunións e presentacións

Valoración Delphi Trátase dunha guía de consulta. Segundo o lector avance polas tarefas do proxecto, recomendaráselle o uso de certas técnicas específicas, das que esta guía busca ser unha introdución, así como proporcionar referencias para que o lector profunde nas técnicas presentadas.

Dereitos de utilización

MAGERIT é unha metodoloxía de carácter público, pertencente ao Ministerio de Política Territorial e Función Pública; a súa utilización non require autorización previa do mesmo.

Responsable do Produto

Secretaría Xeral de Administración Dixital.