the accesskey _ mod _ content

Documentation

  • MAGERIT version 3 (English version): methodology of analysis and risk management information systems. - Edits: © Ministry of finance and public administrations, October 2012.- NIPO 630-12-171-8:

Book I: method (PDF-1,47 MB) (Opens in new window)

Book II: Catalogue of elements (PDF-3,37 MB) (Opens in new window)

Book III: Technical Guide (PDF-1,28 MB) (Opens in new window)

  • MAGERIT V.3 (English version): Methodology for Information Systems Risk Analysis and Management. - Edita: © Ministerio de Hacienda y Administraciones Públicas, julio 2014.- NIPO 630-14-162-0:

Book I: Method (PDF-1,44 MB) (Opens in new window)     Book I: Method (EPUB-2,94 MB) (Opens in new window)

  • MAGERIT V.2 (English version): Methodology for Information Systems Risk Analysis and Management .- Edits: © MAP, June 2006 - NIPO 326-06-044-8:

Book I: Method (PDF-1,17 MB) (Opens in new window)

Book II: Catalogue (PDF-270 KBPS) (Opens in new window)

Book III: Techniques (PDF-157 KBPS) (Opens in new window)

  • MAGERIT V.2 (Versione italiana): Metodologia di analisi dei rischi dei sistemi informativi . (only translated the book I). Edits, © MAP, December 2009.- NIPO 000-09-070-4:

Book I: Method (PDF-1,56 MB) (Opens in new window)

Introduction

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el antiguo Consejo Superior de Administración Electrónica (actualmente Comisión de Estrategia TIC), como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

Figura 1. ISO 31000 - Marco de trabajo para la gestión de riesgos

El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (Opens in new window) en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información. MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad.

Figure 2. Risk management

MAGERIT figura en el inventario de métodos de análisis y gestión de riesgos de ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html (Opens in new window)

Complementary products and services

PILAR es una herramienta que implementa la metodología MAGERIT de análisis y gestión de riesgos, desarrollada por el Centro Criptológico Nacional (CCN) y de amplia utilización en la administración pública española.

You can download PILLAR Portal (Opens in new window) the CCN-CERT.

The bodies of the Spanish government can apply for a licence free of charge to center National PKIX; this address your request to National PKIX Centre ccn@cni.es

Goals

MAGERIT pursues the following Direct Objectives:

  1. Educate those responsible for organizations of information from the existence of risks and the need to manage
  2. Provide a systematic approach to analyse risks arising from the use of information technology and communications (TICK)
  3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos
  4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

Guides organization

MAGERIT versión 3 se estructura en tres libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".

Method

Is structured in the following way:

  • El capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de análisis y tratamiento dentro de un proceso integral de gestión de riesgos.
  • El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.
  • Chapter 4 describes options and treatment criteria of risks and formalizes the risk management activities.
  • Chapter 5 focuses on the projects of risk analysis, projects that we will be plunged to perform the first risk analysis of a system and eventually when there are substantial changes and redo the model widely.
  • Chapter 6 formalizes the activities of security plans, sometimes called plans directors or strategic plans.
  • El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en producción, así como a la protección del propio proceso de desarrollo.
  • Chapter 8 is anticipating some recurring problems that appear when conducting risk analysis.

Appendices reflected reference material:

  1. A glossary,
  2. Bibliographical references considered for the development of this methodology,
  3. Rreferencias the legal framework that fits the tasks of analysis and management in public administration, Spanish
  4. The policy framework of assessment and certification
  5. The characteristics required tools, present or future, to withstand the process of analysis and risk management,
  6. A comparative guide how version 1 Magerit has evolved to version 2 and to this version 3

Catalogue of Elements

Brand guidelines regarding:

  • Types of assets
  • Dimensions of valuation of assets
  • Evaluation criteria of assets
  • Typical threats on Information Systems
  • To consider safeguards to protect information systems

The objectives are twofold:

  1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
  2. On the other hand, homogenize the results of the analysis, promoting a terminology and uniform criteria to compare and even integrate analyses by different teams.

Each section includes a XML notation that will be used to publish regular elements in a standard format can be processed automatically by tools of analysis and management.

If the reader uses a tool of analysis and risk management, this catalog will be part of the same; if the analysis is done manually, this catalogue provides a broad base of departure to move quickly without distractions or omissions.

Technical guide

Aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos:

  • Specific techniques to risk analysis
  • Tables analysis through
  • Algorithmic analysis
  • Attack Trees
  • General techniques
  • Graphic techniques
  • Working sessions: interviews, meetings and presentations

Valoración Delphi Se trata de una guía de consulta. Según el lector avance por la tareas del proyecto, se le recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias para que el lector profundice en las técnicas presentadas.

Rights to use

MAGERIT is a methodology public, can be used freely and does not require prior authorization. In any exploitation of the work shall record the original authorship.

Responsible for the product

General Secretariat of Digital Administration.