This website has been translated by machine translation software and has not been subsequently revised by translators. Further information at: link. Hide
the accesskey _ mod _ content
-

MAGERIT version 3

  • Short Name:
    magerit
    Summary:
    La Metodología MAGERIT, es un método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.
    Target audience:
    Any Public Administration
    Agencies Responsible:
    Ministry of economic affairs and Digital Transformation
    Secretariat of digitization status and Artificial intelligence
    General Secretariat of Digital Administration
    Contact:

    Miguel Ángel Amutio Gómez
    S.G. programmes, Studies and Momentum of E-government
    miguel.amutio@correo.gob.es

    Type of Solution:
    Regulation
    Status of the Solution:
    Production
    Organic Area:
    State
    Technical Area:
    Horizontal services for the AA.PP, standardization and regulation
    Functional Area:
    Government and the public Sector
    License:
    Not implemented
    Interoperability level:
    Legal

    Description

    Purpose:

    El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información.

    MAGERIT is a tool to facilitate the introduction and implementation of the national security Scheme providing the basic principles and minimum requirements for adequate protection of information.

    MAGERIT figura en el inventario de métodos de análisis y gestión de riesgos de ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html (Opens in new window)

    Objectives:

    MAGERIT pursues the following objectives:

    : Direct

    5. concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos
    6. ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)
    7. help discover and plan timely treatment to maintain the risks under control

    Indirect:

    8. preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

    There has also sought uniformity of reports that reflect the findings and conclusions of the analysis and risk management

    Description:

    MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica.

    MAGERIT allows:

    • Consider the risks that supports an information system and the environment associated with Him. MAGERIT proposes an analysis of the risks involved in the impact assessment that a breach of security has in the organization; notes existing risks, identifying the threats facing the information system, and determines the vulnerability of the system of prevention of such threats, obtaining results.
    • Los resultados del análisis de riesgos permiten a la gestión de riesgos recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios.

    Schema Magerit 2 Introduction

    Figure 2. Risk management

    Guides organization

    MAGERIT version 3 is structured in three guides:

    Method:

    Is structured in the following way:

    • El capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de análisis y tratamiento dentro de un proceso integral de gestión de riesgos.
    • Chapter 3 concrete steps and formalizes the analysis of the risks.
    • El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de riesgos.
    • Chapter 5 focuses on the projects of risk analysis, projects that we will be plunged to perform the first risk analysis of a system and eventually when there are substantial changes and redo the model widely.
    • Chapter 6 formalizes the activities of security plans, sometimes called plans directors or strategic plans.
    • Chapter 7 focuses on the development of information systems and how risk analysis serves to manage the safety of the final product since its initial conception until his release in production, as well as to the protection of the development process itself.
    • Chapter 8 is anticipating some recurring problems that appear when conducting risk analysis

    Appendices reflected reference material:

    7. a glossary,
    8. bibliographic references considered for the development of this methodology,
    9. referencias al marco legal que encuadra las tareas de análisis y gestión en la Administración Pública Española,
    10. the normative framework of assessment and certification
    11. las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos,
    (a comparative guide how version 1 Magerit has evolved to version 2 and version 3.

    Catalogue of Elements

    Brand guidelines regarding:

    • types of assets
    • dimensions of valuation of assets
    • evaluation criteria of assets
    • typical threats on Information Systems
    • to consider safeguards to protect information systems

    The objectives are twofold:

    3. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.

    4. On the other hand, homogenize the results of the analysis, promoting a terminology and uniform criteria to compare and even integrate analyses by different teams.

    Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión.

    If the reader uses a tool of analysis and risk management, this catalog will be part of the same; if the analysis is done manually, this catalogue provides a broad base of departure to move quickly without distractions or omissions.

    Technical guide

    Provides additional light and guidance on some techniques that are routinely used to carry out projects of analysis and risk management:

    specific techniques to risk analysis

    • tables analysis through
    • algorithmic analysis
    • Attack trees

    General techniques

    • graphic techniques
    • working sessions: interviews, meetings and presentations
    • valuation Delphi

    It is a reference guide. According To the reader step by the tasks of the project, he will recommend the use of certain specific techniques, this guide aims to be an introduction, as well as providing references to the reader deepen the techniques presented.

     

    PILLAR tool (CCN) (Opens in new window)

    Los organismos de la administración pública española pueden solicitar una licencia libre de cargos al Centro Criptológico Nacional; para ello, dirija su solicitud a
    National PKIX centre ccn@cni.es.

    Advantages:

    MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

    News

    13 November 2012

    Available MAGERIT version 3 Unshade accordion

    Version 3 of MAGERIT, analytical methodology and risk management information systems, remains largely the structure of the version 2 and has been updated to provide a better alignment with the regulations ISO

    Pursuing an integration of the tasks of risk analysis within an organizational framework of risk management led from government agencies. Also, in the light of the experience of application, slimmer the text, have been eliminated minor parties or little used and improved the normalization of activities.

    09 March 2010

    MAGERIT Unshade accordion

    Se encuentra disponible en el CTT la Metodología MAGERIT, método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. En el área de descargas están disponibles, en español e inglés, los tres Libros que conforma la metodología: Método, Catálogo de Elementos y Guía de Técnicas. el Libro I también se encuentra disponible en italiano

    Subscriptions

    En esta área podrá darse de alta para recibir las notificaciones de cambios que se realicen en noticias, documentos o foros relacionados con la solución o el activo semántico.

    Los campos con asterisco * son obligatorios. Se debe marcar al menos una de las copiones de suscripción (Noticias, Documentos o Foros) e indicar el correo en el campo de texto indicado para el alta o la baja de suscripción.

    Enter the email with which you want to receive notifications of the solution or the active semantic.

    *

    You can consult the data protection policy of PAe and CTT in its legal notice

    Enter the email to unsubscribe from the unsubscribe.
Maintainer