Aquest lloc web ha estat traduït per un programari de traducció automàtica sense revisió posterior per traductors. Més informació en: enllaç ocultar
accesskey_mod_content
-

MAGERIT versió 3

  • Nomene Abreujat:
    magerit
    Resum:
    La Metodologia MAGERIT, és un mètode formal per a investigar els riscos que suporten els Sistemes d'Informació i per a recomanar les mesures apropiades que haurien d'adoptar-se per a controlar estos riscos.
    Destinataris:
    Qualsevol Administració Pública
    Organismes Responsables:
    Ministeri de Política Territorial i Funció Pública
    Secretaria d'Estat de Funció Pública
    Secretaria General d'Administració Digital
    Contacte:

    Miguel Ángel Amutio Gómez
    S.G. de Programes, Estudis i Impuls de l'Administració Electrònica
    miguel.amutio@correo.gob.es

    Tipus de Solució:
    Regulació
    Estat de la Solució:
    Producció
    Àrea orgànica:
    Estatal
    Àrea tècnica:
    Servicis horitzontals per a les AA.PP , Normalització i regulació
    Àrea funcional:
    Govern i Sector Públic
    Llicència:
    No aplica
    Nivell Interoperabilitat:
    Legal

    Descripció

    Finalitat:

    L'anàlisi i gestió dels riscos és un aspecte clau del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica que té la finalitat de poder donar satisfacció al principi de proporcionalitat en el compliment dels principis bàsics i requisits mínims per a la protecció adequada de la informació.

    MAGERIT és un instrument per a facilitar la implantació i aplicació de l'Esquema Nacional de Seguretat proporcionant els principis bàsics i requisits mínims per a la protecció adequada de la informació.

    MAGERIT figura en l'inventari de mètodes d'anàlisis i gestió de riscos d'ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html(Obri en nova finestra)

    Objectius:

    MAGERIT perseguix els següents objectius:

    Directes:

    5. conscienciar als responsables de les organitzacions d'informació de l'existència de riscos i de la necessitat de gestionar-los
    6. oferir un mètode sistemàtic per a analitzar els riscos derivats de l'ús de tecnologies de la informació i comunicacions (TIC)
    7. ajudar a descobrir i planificar el tractament oportú per a mantindre els riscos baix control

    Indirectes:

    8. preparar a l'Organització per a processos d'avaluació, auditoria, certificació o acreditació, segons corresponga en cada cas

    També s'ha buscat la uniformitat dels informes que arrepleguen les troballes i les conclusions de les activitats d'anàlisis i gestió de riscos

    Descripció:

    MAGERIT és la metodologia d'anàlisi i gestió de riscos elaborada pel Consell Superior d'Administració Electrònica.

    MAGERIT permet:

    • Estudiar els riscos que suporta un sistema d'informació i l'entorn associat a ell. MAGERIT proposa la realització d'una anàlisi dels riscos que implica l'avaluació de l'impacte que una violació de la seguretat té en l'organització; assenyala els riscos existents, identificant les amenaces que aguaiten al sistema d'informació, i determina la vulnerabilitat del sistema de prevenció d'aquestes amenaces, obtenint uns resultats.
    • Els resultats de l'anàlisi de riscos permeten a la gestió de riscos recomanar les mesures apropiades que haurien d'adoptar-se per a conéixer, previndre, impedir, reduir o controlar els riscos identificats i així reduir al mínim la seua potencialitat o els seus possibles perjuís.

    Magerit esquema 2 Introducció

    Figura 2. Gestió de riscos

    Organització de les guies

    MAGERIT versió 3 s'ha estructurat en tres guies:

    Mètode:

    S'estructura de la següent forma:

    • El capítol 2 presenta els conceptes informalment. En particular s'emmarquen les activitats d'anàlisis i tractament dins d'un procés integral de gestió de riscos.
    • El capítol 3 concreta els passos i formalitza les activitats d'anàlisis dels riscos.
    • El capítol 4 descriu opcions i criteris de tractament dels riscos i formalitza les activitats de gestió de riscos.
    • El capítol 5 se centra en els projectes d'anàlisis de riscos, projectes en els quals ens veurem immersos per a realitzar la primera anàlisi de riscos d'un sistema i eventualment quan hi ha canvis substancials i cal refer el model àmpliament.
    • El capítol 6 formalitza les activitats dels plans de seguretat, a voltes denominats plans directors o plans estratègics.
    • El capítol 7 se centra en el desenvolupament de sistemes d'informació i com l'anàlisi de riscos servix per a gestionar la seguretat del producte final des de la seua concepció inicial fins a la seua posada en producció, així com a la protecció del propi procés de desenvolupament.
    • El capítol 8 s'anticipa a alguns problemes que apareixen recurrentment quan es realitzen anàlisis de riscos

    Els apèndixs arrepleguen material de consulta:

    7. un glossari,
    8. referències bibliogràfiques considerades per al desenvolupament d'esta metodologia,
    9. referències al marc legal que enquadra les tasques d'anàlisis i gestió en l'Administració Pública Espanyola,
    10. el marc normatiu d'avaluació i certificació
    11. les característiques que es requerixen de les ferramentes, presents o futures, per a suportar el procés d'anàlisi i gestió de riscos,
    12. una guia comparativa de com Magerit versió 1 ha evolucionat a la versió 2 i a esta versió 3.

    Catàleg d'Elements

    Marca unes pautes quant a:

    • tipus d'actius
    • dimensions de valoració dels actius
    • criteris de valoració dels actius
    • amenaces típiques sobre els sistemes d'informació
    • salvaguardes a considerar per a protegir sistemes d'informació

    Es perseguixen dos objectius:

    3. D'una banda, facilitar la labor de les persones que escometen el projecte, en el sentit d'oferir-los elements estàndard als quals puguen adscriure's ràpidament, centrant-se en l'específic del sistema objecte de l'anàlisi.

    4. Per una altra, homogeneïtzar els resultats de les anàlisis, promovent una terminologia i uns criteris uniformes que permeten comparar i fins i tot integrar anàlisis realitzades per diferents equips.

    Cada secció inclou una notació XML que s'emprarà per a publicar regularment els elements en un format estàndard capaç de ser processat automàticament per ferramentes d'anàlisis i gestió.

    Si el lector usa una ferramenta d'anàlisi i gestió de riscos, este catàleg serà part de la mateixa; si l'anàlisi es realitza manualment, este catàleg proporciona una àmplia base de partida per a avançar ràpidament sense distraccions ni oblits.

    Guia de Tècniques

    Aporta llum addicional i orientació sobre algunes tècniques que s'empren habitualment per a dur a terme projectes d'anàlisis i gestió de riscos:

    tècniques específiques per a l'anàlisi de riscos

    • anàlisi mitjançant taules
    • anàlisi algorítmica
    • arbres d'atac

    tècniques generals

    • tècniques gràfiques
    • sessions de treball: entrevistes, reunions i presentacions
    • valoració Delphi

    Es tracta d'una guia de consulta. Segons el lector avanç per la tasques del projecte, se li recomanarà l'ús de certes tècniques específiques, de les quals esta guia busca ser una introducció, així com proporcionar referències perquè el lector aprofundisca en les tècniques presentades.

     

    Ferramenta PILAR (CCN)(Obri en nova finestra)

    Els organismes de l'administració pública espanyola poden sol·licitar una llicència lliure de càrrecs al Centre Criptològic Nacional; per a açò, dirigisca la seua sol·licitud a
    Centre Criptològic Nacional ccn@cni.es.

    Avantatges:

    MAGERIT interessa a tots aquells que treballen amb informació digital i sistemes informàtics per a tractar-la. Si aquesta informació, o els servicis que es presten gràcies a ella, són valuosos, MAGERIT els permetrà saber quant valor està en joc i els ajudarà a protegir-ho. Conéixer el risc al que estan sotmesos els elements de treball és, simplement, imprescindible per a poder gestionar-los. Amb MAGERIT es perseguix una aproximació metòdica que no deixe lloc a la improvisació, ni depenga de l'arbitrarietat de l'analista.

    Notícies

    13 November 2012

    Disponible MAGERIT versió 3 Desplegar acordeon

    La versió 3 de MAGERIT, metodologia d'anàlisi i gestió de riscos dels sistemes d'informació, manté en gran mesura l'estructura de la versió 2 i s'ha actualitzat per a proporcionar-li un millor alineament amb la normativa ISO

    Es perseguix una integració de les tasques d'anàlisis de riscos dins d'un marc organisacional de gestió de riscos dirigit des dels òrgans de govern. També, a la llum de l'experiència d'aplicació, s'ha alleugerit el text, s'han eliminat parts poc importants o poc usades i s'ha millorat la normalització de les activitats.

    09 March 2010

    MAGERIT Desplegar acordeon

    Es troba disponible en el CTT la Metodologia MAGERIT, mètode formal per a investigar els riscos que suporten els Sistemes d'Informació, i per a recomanar les mesures apropiades que haurien d'adoptar-se per a controlar estos riscos. En l'àrea de descàrregues estan disponibles, en espanyol i anglés, els tres Llibres que conforma la metodologia: Mètode, Catàleg d'Elements i Guia de Tècniques. el Llibre I també es troba disponible en italià

    Subscripcions

    En esta àrea podrà donar-se de alta per a rebre les notificacions de canvis que es realitzen en notícies, documents o fòrums relacionats amb la solució o l'actiu semàntic.

    Els camps amb asterisc * són obligatoris. S'ha de marcar almenys una de les copiones de subscripció (Notícies, Documents o Fòrums) i indicar el correu en el camp de text indicat per a l'alta o la baixa de subscripció.

    Introduïsca l'email amb el qual desitja rebre les notificacions de la solució o de l'actiu semàntic.

    *

    Pot consultar la política de protecció de dades del PAe i CTT en el seu avís legal

    Introduïsca l'email per a donar-se de baixa de la subscripció.
Punt d'Accés General
Punt d'Accés General
Responsable