Esta páxina web foi traducida por un software de tradución automática sen revisión posterior por tradutores. Máis información en: enlace ocultar
accesskey_mod_content
-

MAGERIT versión 3

  • Nomee Abreviado:
    magerit
    Resumo:
    A Metodoloxía MAGERIT, é un método formal para investigar os riscos que soportan os Sistemas de Información e para recomendar as medidas apropiadas que deberían adoptarse para controlar estes riscos.
    Destinatarios:
    Calquera Administración Pública
    Organismos Responsables:
    Ministerio de Política Territorial e Función Pública
    Secretaría de Estado de Función Pública
    Secretaría Xeral de Administración Dixital

    Contacto:

    Miguel Anxo Amutio Gómez
    S.X. de Programas, Estudos e Impulso da Administración Electrónica
    miguel.amutio@correo.gob.es

    Tipo de Solución:
    Regulación
    Estado da Solución:
    Produción
    Área orgánica:
    Estatal
    Área técnica:
    Servizos horizontais para as AA.PP , Normalización e regulación
    Área funcional:
    Administración
    Licencia:
    Non aplica
    Nivel Interoperabilidade:
    Legal

    Descrición

    Finalidade:

    A análise e xestión dos riscos é un aspecto crave do Real Decreto 3/2010, de 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica que ten a finalidade de poder dar satisfacción ao principio de proporcionalidade no cumprimento dos principios básicos e requisitos mínimos para a protección adecuada da información.

    MAGERIT é un instrumento para facilitar a implantación e aplicación do Esquema Nacional de Seguridade proporcionando os principios básicos e requisitos mínimos para a protección adecuada da información.

    MAGERIT figura no inventario de métodos de análises e xestión de riscos de ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html(Abre en nova xanela)

    Obxectivos:

    MAGERIT persegue os seguintes obxectivos:

    Directos:

    5. concienciar aos responsables das organizacións de información da existencia de riscos e da necesidade de xestionalos
    6. ofrecer un método sistemático para analizar os riscos derivados do uso de tecnoloxías da información e comunicacións (TIC)
    7. axudar a descubrir e planificar o tratamento oportuno para manter os riscos baixo control

    Indirectos:

    8. preparar á Organización para procesos de avaliación, auditoría, certificación ou acreditación, segundo corresponda en cada caso

    Tamén se buscou a uniformidade dos informes que recollen os achados e as conclusións das actividades de análises e xestión de riscos

    Descrición:

    MAGERIT é a metodoloxía de análise e xestión de riscos elaborada polo Consello Superior de Administración Electrónica.

    MAGERIT permite:

    • Estudar os riscos que soporta un sistema de información e a contorna asociada a el. MAGERIT propón a realización dunha análise dos riscos que implica a avaliación do impacto que unha violación da seguridade ten na organización; sinala os riscos existentes, identificando as ameazas que asexan ao sistema de información, e determina a vulnerabilidade do sistema de prevención das devanditas ameazas, obtendo uns resultados.
    • Os resultados da análise de riscos permiten á xestión de riscos recomendar as medidas apropiadas que deberían adoptarse para coñecer, previr, impedir, reducir ou controlar os riscos identificados e así reducir ao mínimo a súa potencialidade ou os seus posibles prexuízos.

    Magerit esquema 2 Introdución

    Figura 2. Xestión de riscos

    Organización das guías

    MAGERIT versión 3 estruturouse en tres guías:

    Método:

    Estrutúrase da seguinte forma:

    • O capítulo 2 presenta os conceptos informalmente. En particular enmárcanse as actividades de análises e tratamento dentro dun proceso integral de xestión de riscos.
    • O capítulo 3 concreta os pasos e formaliza as actividades de análises dos riscos.
    • O capítulo 4 describe opcións e criterios de tratamento dos riscos e formaliza as actividades de xestión de riscos.
    • O capítulo 5 céntrase nos proxectos de análises de riscos, proxectos nos que nos veremos inmersos para realizar a primeira análise de riscos dun sistema e eventualmente cando hai cambios substanciais e hai que refacer o modelo amplamente.
    • O capítulo 6 formaliza as actividades dos plans de seguridade, ás veces denominados plans directores ou plans estratéxicos.
    • O capítulo 7 céntrase no desenvolvemento de sistemas de información e como a análise de riscos serve para xestionar a seguridade do produto final desde a súa concepción inicial ata a súa posta en produción, así como á protección do propio proceso de desenvolvemento.
    • O capítulo 8 anticípase a algúns problemas que aparecen recurrentemente cando se realizan análises de riscos

    Os apéndices recollen material de consulta:

    7. un glosario,
    8. referencias bibliográficas consideradas para o desenvolvemento desta metodoloxía,
    9. referencias ao marco legal que encadra as tarefas de análises e xestión na Administración Pública Española,
    10. o marco normativo de avaliación e certificación
    11. as características que se requiren das ferramentas, presentes ou futuras, para soportar o proceso de análise e xestión de riscos,
    12. unha guía comparativa de como Magerit versión 1 evolucionou á versión 2 e a esta versión 3.

    Catálogo de Elementos

    Marca unhas pautas en canto a:

    • tipos de activos
    • dimensións de valoración dos activos
    • criterios de valoración dos activos
    • ameazas típicas sobre os sistemas de información
    • salvagardas a considerar para protexer sistemas de información

    Perséguense dous obxectivos:

    3. Por unha banda, facilitar o labor das persoas que acometen o proxecto, no sentido de ofrecerlles elementos estándar aos que poidan adscribirse rapidamente, centrándose no específico do sistema obxecto da análise.

    4. Por outra, homoxeneizar os resultados das análises, promovendo unha terminoloxía e uns criterios uniformes que permitan comparar e mesmo integrar análises realizadas por diferentes equipos.

    Cada sección inclúe unha notación XML que se empregará para publicar regularmente os elementos nun formato estándar capaz de ser procesado automaticamente por ferramentas de análises e xestión.

    Se o lector usa unha ferramenta de análise e xestión de riscos, este catálogo será parte da mesma; se a análise realízase manualmente, este catálogo proporciona unha ampla base de partida para avanzar rapidamente sen distraccións nin esquecementos.

    Guía de Técnicas

    Achega luz adicional e orientación sobre algunhas técnicas que se empregan habitualmente para levar a cabo proxectos de análises e xestión de riscos:

    técnicas específicas para a análise de riscos

    • análise mediante táboas
    • análise algorítmica
    • árbores de ataque

    técnicas xerais

    • técnicas gráficas
    • sesións de traballo: entrevistas, reunións e presentacións
    • valoración Delphi

    Trátase dunha guía de consulta. Segundo o lector avance polas tarefas do proxecto, recomendaráselle o uso de certas técnicas específicas, das que esta guía busca ser unha introdución, así como proporcionar referencias para que o lector profunde nas técnicas presentadas.

     

    Ferramenta PILAR (CCN)(Abre en nova xanela)

    Os organismos da administración pública española poden solicitar unha licenza libre de cargos ao Centro Criptolóxico Nacional; para iso, dirixa a súa solicitude a
    Centro Criptolóxico Nacional ccn@cni.es.

    Vantaxes:

    MAGERIT interesa a todos aqueles que traballan con información dixital e sistemas informáticos para tratala. Se dita información, ou os servizos que se prestan grazas a ela, son valiosos, MAGERIT permitiralles saber canto valor está en xogo e axudaralles a protexelo. Coñecer o risco ao que están sometidos os elementos de traballo é, simplemente, imprescindible para poder xestionalos. Con MAGERIT perséguese unha aproximación metódica que non deixe lugar á improvisación, nin dependa da arbitrariedade do analista.

    Noticias

    13 November 2012

    Dispoñible MAGERIT versión 3 Despregar acordeon

    A versión 3 de MAGERIT, metodoloxía de análise e xestión de riscos dos sistemas de información, mantén en gran medida a estrutura da versión 2 e actualizouse para proporcionarlle un mellor aliñamento co normativa ISO

    Perséguese unha integración das tarefas de análises de riscos dentro dun marco organizacional de xestión de riscos dirixido desde os órganos de goberno. Tamén, á luz da experiencia de aplicación, alixeirouse o texto, elimináronse partes pouco importantes ou pouco usadas e mellorouse a normalización das actividades.

    09 March 2010

    MAGERIT Despregar acordeon

    Atópase dispoñible no CTT a Metodoloxía MAGERIT, método formal para investigar os riscos que soportan os Sistemas de Información, e para recomendar as medidas apropiadas que deberían adoptarse para controlar estes riscos. Na área de descargas están dispoñibles, en español e inglés, o tres Libros que conforma a metodoloxía: Método, Catálogo de Elementos e Guía de Técnicas. o Libro I tamén se atopa dispoñible en italiano

    Subscricións

    Nesta área poderá darse de alta para recibir as notificacións de cambios que se realicen en noticias, documentos ou foros relacionados coa solución.

    PAe - Xestión de Subscricións

    Os campos con asterisco * son obrigatorios. Débese marcar polo menos una das copiones de subscrición (Noticias, Documentos ou Foros) e indicar o correo no campo de texto indicado para o alta ou a baixa de subscrición.

    Introduza o e-mail co que desexa recibir as notificacións da solución.

    * Dou o meu consentimento para que os datos persoais que facilito poidan ser utilizados polo Sector Público Estatal, no portal PAe (Portal da Administración Electrónica) e os seus servizos asociados para a recepción de información e comunicacións.

    Introduza o e-mail para darse de baixa da subscrición.
Responsable