V.3 MAGERIT: Analisi - eta arriskuak kudeatzeko informazio-sistemak

Dokumentazioa

• MAGERIT 3. bertsioa (espainiera): arriskuen Analisi - eta informazio-sistemak Kudeatzea. - Edita: © Ministerio de Hacienda y Administraciones Públicas, octubre 2012.- NIPO: 630-12-171-8

I. Liburua: Metodoa (PDF 1,47 MB.)

Ii. Liburua: Elementuen katalogoa (PDF - 3,12 MB)

Iii. Liburukia: Gida Teknikoak (PDF - 1,28 MB)

•  MAGERIT V.3 (English version): Methodology for Information Systems Risk Analysis and Management. - Edita: © Ministerio de Hacienda y Administraciones Públicas, julio 2014.- NIPO: 630-14-162-0

I. Book: Method (1,44 MB / PDF)     I. Book: Method (EPUB 2,94 MB.)

•  MAGERIT V.2 (English version): Methodology for Information Systems Risk Analysis and Management .- Argitaratzailea: MAP), ekain 2006.- NIPO: 326-06-044-8

I. Book: Method (PDF 1,17 MB.)

Book II: Catalogue (PDF, 270 KB.)

III. Book: Techniques (PDF, 157 KB.)

• MAGERIT V.2 (Versione italiana): Metodologia di analisi dei rischi dei sistemi informativi Editatu .- (i. liburua bakarrik): MAPA), abenduko 2009.- NIPO: 000-09-070-4

I. Liburua: Metodoa (. PDF 156 KB.)

Sarrera

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

MAGERIT zerikusi zuzena izateko arrazoia (informazio teknologien erabilera zabaltzea, nabarmenak dakartzan onurak herritarrentzat, baina arrisku batzuk ekarri behar dituzten segurtasun neurriekin minimizarse konfiantza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

Figura 1. ISO 31000 - Marco de trabajo para la gestión de riesgos

El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información. MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad.

2. Irudia: arriskuen kudeaketa.

MAGERIT figura en el inventario de métodos de análisis y gestión de riesgos de ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html

Produktu eta zerbitzu osagarriak.

PILAR MAGERIT metodologia ezartzen dituen tresna da aztertzeko eta arriskuak kudeatzeko, zentroak garatutako Criptológico Nazionalak (CCN), espainiako administrazio publikoak eta asko erabiltzen dira.

Ataria (alegia, CCN-CERT deskarga daiteke:

http: / / / / www.ccn-cert.cni.es herramientas-de-ciberseguridad ear-pilar.html

Los organismos de la administración pública española pueden solicitar una licencia libre de cargos al Centro Criptológico Nacional; para ello, dirija su solicitud a Centro Criptológico Nacional ccn@cni.es

Helburuak

Zuzeneko MAGERIT honako helburu hauek ditu:

1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos:
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

Gidak antolatzea

MAGERIT versión 3 se ha estructurado en tres libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".

Metodoa

Honela banatzen da:

• 2. Kapituluan ageri diren kontzeptuak informalki. Bereziki jarduerak aztertu eta tratatu dira prozesu horretan arriskuak kudeatzeko.
• El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.
• El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de riesgos.
• El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos inmersos para realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que rehacer el modelo ampliamente.
• El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o planes estratégicos.
• 7. Kapituluan lantzen ditu informazio-sistemak garatzeko erabiltzen da arriskuen analisia eta segurtasuna kudeatzeko modua (azken produktua sortzetik bere hasierako martxan jarri arte, bai eta bere garapen prozesua (babestea.
• El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de riesgos.

Eranskinen jasotzen kontsulta-materiala:

1. Glosarioa:
2. Metodologia hau garatzeko diren erreferentzia bibliografikoak.
3. Azterketa eta kudeaketa lanak biltzen duen lege-esparrua Rreferencias irudian, espainiako administrazio publikoak.
4. Ebaluazioa eta zertifikazioa arau-esparrua
5. Las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos,
6. Una guía comparativa de cómo Magerit versión 1 ha evolucionado a la versión 2 y a esta versión 3

Elementuen zerrenda

Jarraibideak finkatzen ditu dagokienez:

• Aktibo mota
• Neurri aktiboak baloratzeko
• Aktiboak baloratzeko irizpideak
• Ohiko arriskuak buruzko informazio-sistemak
• Informazio-sistemak babesteko hartu beharreko baliabideak

Bi helburu lortu nahi dira:

1. Batetik, proiektua doazen pertsonen lana errazteko, norabide berean ofrecerles estandarrean elementu adscribirse berehala izan, xede espezifikoa egin zuten azterketa (centrándose sistema.
2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.

Atal bakoitza argitaratzeko erabiliko den XML elementuak aldizka notazio formatu estandar batean berez duen prozesatu eta analisirako tresnak kudeatzea.

Irakurleak, aztertzeko eta arriskuak kudeatzeko tresna bat erabiltzen du, eta hori da katalogo bereko kide; aztertu, eskuz egiten da, katalogo honetan jarraitzeko oinarria eta berehala arreta galdu gabe handia ematen du ahaztu.

Gida Teknikoak

Beste teknika batzuk erabili ohi direnak eta orientabideak argiak ditu proiektuak bultzatzeko azterketak eta arriskuen kudeaketa:

• Berariazko arriskuak aztertzeko teknikak
• Taulen bidez analisia
• Algoritmikoa analisia
• Eraso Árboles
• Teknika orokorrak
• Serigrafia
• Lan-saioak: elkarrizketa, bilerak eta aurkezpenak

Balorazioa egiteko gida bat da Delphi. lanak egiteko proiektua (irakurleak berak Dioenez, zenbait teknika bereziak erabiltzea gomendatuko diogu, honako gida hau sartu nahi izatea, baita erreferentzia jarri ere, irakurleak aurkeztutako tekniketan sakondu.

Aplikazio Magerit esperientziak

Aplikazio-adibide Magerit tresnarekin batera, Pilar 2. bertsioa:

• Arriskuen analisia, meteorologiako estatu agentzia

Erabilera-eskubideak

Izaera publikoko MAGERIT metodologia bat da, eta ez du baimenik gabe erabil daiteke, jatorrizko obraren egileak edozein ustiapen adieraziko da.

(Produktuaren arduraduna

Administrazio digitalaren Idazkaritza Nagusia.