MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Dokumentazioa

• MAGERIT 3. bertsioa (bertsio espainiarra): arriskuen Analisi - eta informazio-sistemak Kudeatzea. - Argitaratzailea: Ogasun eta herri administrazio Ministerioa), 2012.- urria NIPO 630-12-171-8:

I. Liburua: Metodoa (PDF-1,47 MB)

Ii. Liburua: catálogo de Elementuak (PDF-3,37 MB)

Iii. Liburukia: Gida Teknikoak (PDF-1,28 MB)

• MAGERIT V.3 (English version): Methodology for Information Systems Risk Analysis and Management. - Argitaratzailea: Ogasun eta herri administrazio Ministerioa), julio 2014.- NIPO 630-14-162-0:

I. Book: Method (PDF-1,44 MB)     I. Book: Method (EPUB-2,94 MB)

• MAGERIT V.2 (English version): Methodology for Information Systems Risk Analysis and Management .- Argitaratzailea: MAP), ekain 2006.- NIPO 326-06-044-8:

I. Book: Method (PDF-1,17 MB)

Book II: Catalogue (PDF-270 KB)

III. Book: Techniques (PDF-157 KB)

• MAGERIT V.2 (Versione italiana): Metodologia di analisi dei rischi dei sistemi informativi . (solamente traducido el Libro I). Edita,  © MAP, diciembre de 2009.- NIPO 000-09-070-4:

I. Liburua: Metodoa (PDF-1,56 MB)

Sarrera

Analisi - eta arriskuak kudeatzeko MAGERIT da kontseilu nagusiak egindako Administrazio Elektronikoa zaharraren (egun IKT batzordea Estrategia), administrazioak uste erantzuteko, eta, oro har, gizarte osoa, informazioaren teknologiak modu gehiago daude bere xedeak betetzeko.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

Figura 1. ISO 31000 - Marco de trabajo para la gestión de riesgos

Arriskuen analisia eta kudeaketa (garrantzitsua da Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información. MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad.

2. Irudia: arriskuen kudeaketa.

MAGERIT inbentarioan agertzen, eta arriskuak kudeatzeko ENISA analisirako metodoak http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html

Produktu eta zerbitzu osagarriak.

PILAR es una herramienta que implementa la metodología MAGERIT de análisis y gestión de riesgos, desarrollada por el Centro Criptológico Nacional (CCN) y de amplia utilización en la administración pública española.

(Jaitsi daiteke. PILAR. CCN-CERT alegia.

Espainiako administrazio publikoaren erakundeen lizentzia eska dezakete. Zentro Nazionala kargu Criptológico irudian; horretarako, Zentro Nazionala zuzendu zuen eskaerari Criptológico ccn@cni.es

Helburuak

Zuzeneko MAGERIT honako helburu hauek ditu:

1. Erakunde arduradunak jabearaztea beharra dagoela eta arrisku gestionarlos informazioa
2. Eragindako arriskuak aztertzeko metodo sistematikoa eskaintzeko (informazioaren eta komunikazioaren teknologiak erabiltzea (IKT)
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos
4. Prestatzea, Erakunde ebaluazio -, auditoria, ziurtagiriak edo egiaztagiriak, kasuaren arabera

Gidak antolatzea

3. Bertsioa MAGERIT hiru liburu ditu: "metodo", "Elementuen katalogoa" eta "Gida Teknikoak".

Metodoa

Honela banatzen da:

• 2. Kapituluan ageri diren kontzeptuak informalki. Bereziki jarduerak aztertu eta tratatu dira prozesu horretan arriskuak kudeatzeko.
• 3. Kapituluan aurrera pausoak zehaztu eta arriskuak aztertzeko jarduerak.
• 4. Kapituluan deskribatu eta tratatzeko aukerak eta arriskuak kontuan arriskuen kudeaketa lanak egin.
• 5. Kapituluan aztertzen dira proiektuetan, arriskuen azterketa, analisia egiteko proiektuetan sartuta ikusiko dugu sistema bat eta, batzuetan, arriskuen eta berriro egin behar da aldaketa nabarmenak daudenean, eredua.
• 6. Kapituluko ekintzak bideratzen segurtasun planak, plan zuzentzaileak edo plan estrategikoak dira batzuetan.
• 7. Kapituluan lantzen ditu informazio-sistemak garatzeko erabiltzen da arriskuen analisia eta segurtasuna kudeatzeko modua (azken produktua sortzetik bere hasierako martxan jarri arte, bai eta bere garapen prozesua (babestea.
• 8. Kapituluan ageri den aurreikus daiteke arazo batzuei recurrentemente arriskuen analisia egiten denean.

Eranskinen jasotzen kontsulta-materiala:

1. Glosarioa:
2. Metodologia hau garatzeko diren erreferentzia bibliografikoak.
3. Azterketa eta kudeaketa lanak biltzen duen lege-esparrua Rreferencias irudian, espainiako administrazio publikoak.
4. Ebaluazioa eta zertifikazioa arau-esparrua
5. Las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos,
6. Nola alderatu Magerit gida bat izan eta bi bertsio honi bertsiora 3. bertsioa

Elementuen zerrenda

Jarraibideak finkatzen ditu dagokienez:

• Aktibo mota
• Neurri aktiboak baloratzeko
• Aktiboak baloratzeko irizpideak
• Ohiko arriskuak buruzko informazio-sistemak
• Informazio-sistemak babesteko hartu beharreko baliabideak

Bi helburu lortu nahi dira:

1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
2. Bestetik, analisien emaitzak bateratu, irizpide uniformeak eta terminologia bat bultzatzen duten talde desberdinak aztertu eta konparatu ere integratu egin.

Atal bakoitza argitaratzeko erabiliko den XML elementuak aldizka notazio formatu estandar batean berez duen prozesatu eta analisirako tresnak kudeatzea.

Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de partida para avanzar rápidamente sin distracciones ni olvidos.

Gida Teknikoak

Aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos:

• Berariazko arriskuak aztertzeko teknikak
• Taulen bidez analisia
• Algoritmikoa analisia
• Eraso Árboles
• Teknika orokorrak
• Serigrafia
• Lan-saioak: elkarrizketa, bilerak eta aurkezpenak

Valoración Delphi Se trata de una guía de consulta. Según el lector avance por la tareas del proyecto, se le recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias para que el lector profundice en las técnicas presentadas.

Aplikazio Magerit esperientziak

Aplikazio-adibide Magerit tresnarekin batera, PILAR 2. bertsioa:

• Arriskuen analisia, meteorologiako estatu agentzia (2008)

Erabilera-eskubideak

Izaera publikoko MAGERIT metodologia bat da, eta ez du baimenik gabe erabil daiteke, jatorrizko obraren egileak edozein ustiapen adieraziko da.

(Produktuaren arduraduna

Administrazio digitalaren Idazkaritza Nagusia.