MAGERIT Libro I Metodo Publicacion Oficial 2012

  • Published on
    14-Feb-2015

  • View
    33

  • Download
    2

Transcript

<p>MAGERIT versin 3.0 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de InformacinLibro I - Mtodo</p> <p>TTULO: MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Libro I - Mtodo Elaboracin y coordinacin de contenidos: Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la Administracin Electrnica Equipo responsable del proyecto: Director, Miguel Angel Amutio Gmez, Ministerio de Hacienda y Administraciones Pblicas Javier Candau, Centro Criptolgico Nacional, Ministerio de la Presidencia Consultor externo: Jos Antonio Maas, Catedrtico de la Universidad Politcnica de Madrid Caractersticas: Adobe Acrobat 5.0 Responsable edicin digital: Subdireccin General de Informacin, Documentacin y Publicaciones (Jess Gonzlez Barroso) Madrid, octubre de 2012 Disponible esta publicacin en el Portal de Administracin Electrnica (PAe): http://administracionelectronica.gob.es/ Edita: Ministerio de Hacienda y Administraciones Pblicas Secretara General Tcnica Subdireccin General de Informacin, Documentacin y Publicaciones Centro de Publicaciones Coleccin: administracin electrnica NIPO: 630-12-171-8</p> <p>Magerit 3.0</p> <p>ndice1. Introduccin ...................................................................................................................6 1.1 Buen gobierno .........................................................................................................................6 1.2. Confianza ...............................................................................................................................6 1.3. Gestin ...................................................................................................................................7 1.4. Magerit ...................................................................................................................................7 1.5. Introduccin al anlisis y gestin de riesgos ..........................................................................8 1.6. El anlisis y el tratamiento de los riesgos en su contexto ....................................................10 1.6.1. Concienciacin y formacin..........................................................................................11 1.6.2. Incidencias y recuperacin ...........................................................................................11 1.7. Organizacin de las guas....................................................................................................12 1.7.1. Modo de empleo ...........................................................................................................12 1.7.2. El catlogo de elementos .............................................................................................13 1.7.3. La gua de tcnicas.......................................................................................................14 1.8. Evaluacin, certificacin, auditora y acreditacin................................................................14 1.9. Cundo procede analizar y gestionar los riesgos? ............................................................16 2. Visin de conjunto.......................................................................................................19 3. Mtodo de anlisis de riesgos....................................................................................22 3.1. Conceptos paso a paso........................................................................................................22 3.1.1. Paso 1: Activos .............................................................................................................22 3.1.2. Paso 2: Amenazas........................................................................................................27 3.1.3. Determinacin del impacto potencial............................................................................28 3.1.4. Determinacin del riesgo potencial...............................................................................29 3.1.5. Paso 3: Salvaguardas...................................................................................................31 3.1.6. Paso 4: impacto residual ..............................................................................................35 3.1.7. Paso 5: riesgo residual .................................................................................................35 3.2. Formalizacin de las actividades .........................................................................................35 3.2.1. Tarea MAR.1: Caracterizacin de los activos...............................................................37 3.2.2. Tarea MAR.2: Caracterizacin de las amenazas .........................................................40 3.2.3. Tarea MAR.3: Caracterizacin de las salvaguardas ....................................................42 3.2.4. Tarea MAR.4: Estimacin del estado de riesgo ...........................................................44 3.3. Documentacin ....................................................................................................................45 3.4. Lista de control .....................................................................................................................46 4. Proceso de gestin de riesgos...................................................................................47 4.1. Conceptos ............................................................................................................................48 4.1.1. Evaluacin: interpretacin de los valores de impacto y riesgo residuales....................48 4.1.2. Aceptacin del riesgo ...................................................................................................49 4.1.3. Tratamiento...................................................................................................................49 4.1.4. Estudio cuantitativo de costes / beneficios ...................................................................50 4.1.5. Estudio cualitativo de costes / beneficios .....................................................................53 4.1.6. Estudio mixto de costes / beneficios.............................................................................53 4.1.7. Opciones de tratamiento del riesgo: eliminacin ..........................................................53 4.1.8. Opciones de tratamiento del riesgo: mitigacin............................................................53 4.1.9. Opciones de tratamiento del riesgo: comparticin........................................................54 4.1.10. Opciones de tratamiento del riesgo: financiacin .......................................................54 4.2. Formalizacin de las actividades .........................................................................................54 4.2.1. Roles y funciones .........................................................................................................55 4.2.2. Contexto .......................................................................................................................57 4.2.3. Criterios ........................................................................................................................57 4.2.4. Evaluacin de los riesgos .............................................................................................58 4.2.5. Decisin de tratamiento ................................................................................................58 4.2.6. Comunicacin y consulta..............................................................................................59 4.2.7. Seguimiento y revisin..................................................................................................59 4.3. Documentacin del proceso.................................................................................................60 4.4. Indicadores de control del proceso de gestin de riesgos ...................................................60 Ministerio de Hacienda y Administraciones Pblicas pgina 3 (de 127)</p> <p>Magerit 3.0</p> <p>5. Proyectos de anlisis de riesgos ...............................................................................62 5.1. Roles y funciones .................................................................................................................62 5.2. PAR.1 Actividades preliminares ........................................................................................64 5.2.1. Tarea PAR.11: Estudio de oportunidad ........................................................................64 5.2.2. Tarea PAR.12: Determinacin del alcance del proyecto ..............................................66 5.2.3. Tarea PAR.13: Planificacin del proyecto ....................................................................69 5.2.4. Tarea PAR.14: Lanzamiento del proyecto....................................................................69 5.3. PAR.2 Elaboracin del anlisis de riesgos........................................................................70 5.4. PAR.3 Comunicacin de resultados..................................................................................71 5.5. Control del proyecto .............................................................................................................71 5.5.1. Hitos de control.............................................................................................................71 5.5.2. Documentacin resultante ............................................................................................71 6. Plan de seguridad ........................................................................................................73 6.1. Tarea PS.1: Identificacin de proyectos de seguridad.........................................................73 6.2. Tarea PS.2: Planificacin de los proyectos de seguridad ....................................................75 6.3. Tarea PS.3: Ejecucin del plan ............................................................................................76 6.4. Lista de control de los planes de seguridad .........................................................................76 7. Desarrollo de sistemas de informacin .....................................................................77 7.1. Inicializacin de los procesos...............................................................................................77 7.2. SSI Seguridad del sistema de informacin .......................................................................78 7.2.1. Ciclo de vida de las aplicaciones..................................................................................79 7.2.2. Contexto .......................................................................................................................80 7.2.3. Fase de especificacin: adquisicin de datos ..............................................................80 7.2.4. Fase de diseo: estudio de opciones ...........................................................................81 7.2.5. Soporte al desarrollo: puntos crticos ...........................................................................81 7.2.6. Aceptacin y puesta en marcha: puntos crticos ..........................................................82 7.2.7. Operacin: anlisis y gestin dinmicos.......................................................................83 7.2.8. Ciclos de mantenimiento: anlisis marginal..................................................................83 7.2.9 Terminacin ...................................................................................................................83 7.2.10 Documentacin de seguridad ......................................................................................84 7.3. SPD Seguridad del proceso de desarrollo ........................................................................84 7.4. Referencias ..........................................................................................................................85 8. Consejos prcticos......................................................................................................86 8.1. Alcance y profundidad..........................................................................................................86 8.2. Para identificar activos .........................................................................................................87 8.3. Para descubrir y modelar las dependencias entre activos...................................................88 8.4. Para valorar activos..............................................................................................................91 8.5. Para identificar amenazas....................................................................................................93 8.6. Para valorar amenazas ........................................................................................................93 8.7. Para seleccionar salvaguardas ............................................................................................94 8.8. Aproximaciones sucesivas ...................................................................................................94 8.8.1. Proteccin bsica .........................................................................................................95 Apndice 1. Glosario .......................................................................................................97 A1.1. Trminos en espaol .........................................................................................................97 A1.2. Trminos anglosajones....................................................................................................106 A1.3. ISO Gestin del riesgo..................................................................................................107 Apndice 2. Referencias ...............................................................................................108 Apndice 3. Marco legal ................................................................................................112 A3.1. Seguridad en el mbito de la Administracin electrnica ................................................112 A3.2. Proteccin de datos de carcter personal .......................................................................112 A3.3. Firma electrnica .............................................................................................................112 A3.4. Informacin clasificada ....................................................................................................112 A3.5. Seguridad de las redes y de la informacin.....................................................................113 Apndice 4. Marco de evaluacin y certificacin .......................................................114 A4.1. Sistemas de gestin de la seguridad de la informacin (SGSI).......................................114 Ministerio de Hacienda y Administraciones P...</p>

Recommended

View more >