V.3 MAGERIT: Analisi - eta arriskuak kudeatzeko informazio-sistemak

Dokumentazioa

• MAGERIT 3. bertsioa (bertsio espainiarra): arriskuen Analisi - eta informazio-sistemak Kudeatzea. - Argitaratzailea: Ogasun eta herri administrazio Ministerioa), 2012.- urria NIPO 630-12-171-8:

I. Liburua: Metodoa (PDF 1,47 MB.)

Ii. Liburua: Elementuen katalogoa (PDF - 3,12 MB)

Iii. Liburukia: Gida Teknikoak (PDF - 1,28 MB)

•  MAGERIT V.3 (English version): Methodology for Information Systems Risk Analysis and Management. - Edita: © Ministerio de Hacienda y Administraciones Públicas, julio 2014.- NIPO 630-14-162-0:

I. Book: Method (1,44 MB/PDF)     I. Book: Method (EPUB 2,94 MB.)

•  MAGERIT V.2 (English version): Methodology for Information Systems Risk Analysis and Management .- Argitaratzailea: MAP), ekain 2006.- NIPO 326-06-044-8:

I. Book: Method (PDF 1,17 MB.)

Book II: Catalogue (PDF, 270 KB.)

III. Book: Techniques (PDF, 157 KB.)

• MAGERIT V.2 (Versione italiana): Metodologia di analisi dei rischi dei sistemi informativi Editatu .- (i. liburua bakarrik): MAPA), abenduko 2009.- NIPO 000-09-070-4:

I. Liburua: Metodoa (. PDF 156 KB.)

Sarrera

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el antiguo Consejo Superior de Administración Electrónica (actualmente Comisión de Estrategia TIC), como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

Figura 1. ISO 31000 - Marco de trabajo para la gestión de riesgos

El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad administrazio elektronikoaren esparruan erabiltzen du proportzionaltasun printzipioa betetzeari dagokionez, gustura al eskaintzeko oinarrizko printzipioek eta gutxieneko baldintzek babes egokia emateko informazioa MAGERIT errazteko tresna bat ezartzea eta aplikatzea (Segurtasunerako eskema nazionala.

2. Irudia: arriskuen kudeaketa.

MAGERIT figura en el inventario de métodos de análisis y gestión de riesgos de ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html

Produktu eta zerbitzu osagarriak.

PILAR es una herramienta que implementa la metodología MAGERIT de análisis y gestión de riesgos, desarrollada por el Centro Criptológico Nacional (CCN) y de amplia utilización en la administración pública española.

Ataria (alegia, CCN-CERT deskarga daiteke:

http ://// www.ccn-cert.cni.es herramientas-de-ciberseguridad ear-pilar.html

Los organismos de la administración pública española pueden solicitar una licencia libre de cargos al Centro Criptológico Nacional; para ello, dirija su solicitud a Centro Criptológico Nacional ccn@cni.es

Helburuak

Zuzeneko MAGERIT honako helburu hauek ditu:

1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)
3. Tratamenduaren arriskuak aurkitu eta gero lagundu egin Zeharkako kontrolpean edukitzeko.
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

Gidak antolatzea

MAGERIT versión 3 se estructura en tres libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".

Metodoa

Honela banatzen da:

• 2. Kapituluan ageri diren kontzeptuak informalki. Bereziki jarduerak aztertu eta tratatu dira prozesu horretan arriskuak kudeatzeko.
• El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.
• El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de riesgos.
• El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos inmersos para realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que rehacer el modelo ampliamente.
• El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o planes estratégicos.
• El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en producción, así como a la protección del propio proceso de desarrollo.
• El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de riesgos.

Eranskinen jasotzen kontsulta-materiala:

1. Glosarioa:
2. Metodologia hau garatzeko diren erreferentzia bibliografikoak.
3. Rreferencias al marco legal que encuadra las tareas de análisis y gestión en la Administración Pública Española,
4. Ebaluazioa eta zertifikazioa arau-esparrua
5. Las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos,
6. Una guía comparativa de cómo Magerit versión 1 ha evolucionado a la versión 2 y a esta versión 3

Elementuen zerrenda

Jarraibideak finkatzen ditu dagokienez:

• Aktibo mota
• Neurri aktiboak baloratzeko
• Aktiboak baloratzeko irizpideak
• Ohiko arriskuak buruzko informazio-sistemak
• Informazio-sistemak babesteko hartu beharreko baliabideak

Bi helburu lortu nahi dira:

1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
2. Bestetik, analisien emaitzak bateratu, irizpide uniformeak eta terminologia bat bultzatzen duten talde desberdinak aztertu eta konparatu ere integratu egin.

Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión.

Irakurleak, aztertzeko eta arriskuak kudeatzeko tresna bat erabiltzen du, eta hori da katalogo bereko kide; aztertu, eskuz egiten da, katalogo honetan jarraitzeko oinarria eta berehala arreta galdu gabe handia ematen du ahaztu.

Gida Teknikoak

Aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos:

• Berariazko arriskuak aztertzeko teknikak
• Taulen bidez analisia
• Algoritmikoa analisia
• Eraso Árboles
• Teknika orokorrak
• Serigrafia
• Lan-saioak: elkarrizketa, bilerak eta aurkezpenak

Valoración Delphi Se trata de una guía de consulta. Según el lector avance por la tareas del proyecto, se le recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias para que el lector profundice en las técnicas presentadas.

Aplikazio Magerit esperientziak

Ejemplo de aplicación de Magerit versión 2 junto con la herramienta Pilar:

• Arriskuen analisia, meteorologiako estatu agentzia

Erabilera-eskubideak

MAGERIT es una metodología de carácter público, puede ser utilizada libremente y no requiere autorización previa. En cualquier explotación de la obra se hará constar la autoría original.

(Produktuaren arduraduna

Administrazio digitalaren Idazkaritza Nagusia.