Magerit v3 Libro1 Metodo

  • Published on
    20-Jan-2016

  • View
    20

  • Download
    0

Embed Size (px)

Transcript

<ul><li><p>MAGERIT versin 3.0 Metodologa de Anlisis y Gestin </p><p>de Riesgos de los Sistemas de InformacinLibro I - Mtodo</p></li><li><p>TTULO: MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Libro I - Mtodo</p><p>Elaboracin y coordinacin de contenidos: Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la Administracin Electrnica</p><p>Equipo responsable del proyecto: Director, Miguel Angel Amutio Gmez, Ministerio de Hacienda y Administraciones PblicasJavier Candau, Centro Criptolgico Nacional, Ministerio de la PresidenciaConsultor externo: Jos Antonio Maas, Catedrtico de la Universidad Politcnica de Madrid</p><p>Caractersticas: Adobe Acrobat 5.0Responsable edicin digital: Subdireccin General de Informacin, Documentacin y Publicaciones(Jess Gonzlez Barroso)</p><p>Madrid, octubre de 2012Disponible esta publicacin en el Portal de Administracin Electrnica (PAe):http://administracionelectronica.gob.es/ </p><p>Edita: Ministerio de Hacienda y Administraciones PblicasSecretara General TcnicaSubdireccin General de Informacin,Documentacin y PublicacionesCentro de Publicaciones</p><p>Coleccin: administracin electrnicaNIPO: 630-12-171-8</p></li><li><p>Magerit 3.0 </p><p>ndice 1. Introduccin ...................................................................................................................6</p><p>1.1 Buen gobierno .........................................................................................................................61.2. Confianza ...............................................................................................................................61.3. Gestin ...................................................................................................................................71.4. Magerit ...................................................................................................................................71.5. Introduccin al anlisis y gestin de riesgos ..........................................................................81.6. El anlisis y el tratamiento de los riesgos en su contexto ....................................................10</p><p>1.6.1. Concienciacin y formacin..........................................................................................111.6.2. Incidencias y recuperacin ...........................................................................................11</p><p>1.7. Organizacin de las guas....................................................................................................121.7.1. Modo de empleo ...........................................................................................................121.7.2. El catlogo de elementos .............................................................................................131.7.3. La gua de tcnicas.......................................................................................................14</p><p>1.8. Evaluacin, certificacin, auditora y acreditacin................................................................141.9. Cundo procede analizar y gestionar los riesgos? ............................................................16</p><p>2. Visin de conjunto.......................................................................................................193. Mtodo de anlisis de riesgos....................................................................................22</p><p>3.1. Conceptos paso a paso........................................................................................................223.1.1. Paso 1: Activos .............................................................................................................223.1.2. Paso 2: Amenazas........................................................................................................273.1.3. Determinacin del impacto potencial............................................................................283.1.4. Determinacin del riesgo potencial...............................................................................293.1.5. Paso 3: Salvaguardas...................................................................................................313.1.6. Paso 4: impacto residual ..............................................................................................353.1.7. Paso 5: riesgo residual .................................................................................................35</p><p>3.2. Formalizacin de las actividades .........................................................................................353.2.1. Tarea MAR.1: Caracterizacin de los activos...............................................................373.2.2. Tarea MAR.2: Caracterizacin de las amenazas .........................................................403.2.3. Tarea MAR.3: Caracterizacin de las salvaguardas ....................................................423.2.4. Tarea MAR.4: Estimacin del estado de riesgo ...........................................................44</p><p>3.3. Documentacin ....................................................................................................................453.4. Lista de control .....................................................................................................................46</p><p>4. Proceso de gestin de riesgos...................................................................................474.1. Conceptos ............................................................................................................................48</p><p>4.1.1. Evaluacin: interpretacin de los valores de impacto y riesgo residuales....................484.1.2. Aceptacin del riesgo ...................................................................................................494.1.3. Tratamiento...................................................................................................................494.1.4. Estudio cuantitativo de costes / beneficios ...................................................................504.1.5. Estudio cualitativo de costes / beneficios .....................................................................534.1.6. Estudio mixto de costes / beneficios.............................................................................534.1.7. Opciones de tratamiento del riesgo: eliminacin ..........................................................534.1.8. Opciones de tratamiento del riesgo: mitigacin............................................................534.1.9. Opciones de tratamiento del riesgo: comparticin........................................................544.1.10. Opciones de tratamiento del riesgo: financiacin .......................................................54</p><p>4.2. Formalizacin de las actividades .........................................................................................544.2.1. Roles y funciones .........................................................................................................554.2.2. Contexto .......................................................................................................................574.2.3. Criterios ........................................................................................................................574.2.4. Evaluacin de los riesgos .............................................................................................584.2.5. Decisin de tratamiento ................................................................................................584.2.6. Comunicacin y consulta..............................................................................................594.2.7. Seguimiento y revisin..................................................................................................59</p><p>4.3. Documentacin del proceso.................................................................................................604.4. Indicadores de control del proceso de gestin de riesgos ...................................................60</p><p> Ministerio de Hacienda y Administraciones Pblicas pgina 3 (de 127) </p></li><li><p>Magerit 3.0 </p><p>5. Proyectos de anlisis de riesgos ...............................................................................625.1. Roles y funciones .................................................................................................................625.2. PAR.1 Actividades preliminares ........................................................................................64</p><p>5.2.1. Tarea PAR.11: Estudio de oportunidad ........................................................................645.2.2. Tarea PAR.12: Determinacin del alcance del proyecto ..............................................665.2.3. Tarea PAR.13: Planificacin del proyecto ....................................................................695.2.4. Tarea PAR.14: Lanzamiento del proyecto....................................................................69</p><p>5.3. PAR.2 Elaboracin del anlisis de riesgos........................................................................705.4. PAR.3 Comunicacin de resultados..................................................................................715.5. Control del proyecto .............................................................................................................71</p><p>5.5.1. Hitos de control.............................................................................................................715.5.2. Documentacin resultante ............................................................................................71</p><p>6. Plan de seguridad........................................................................................................736.1. Tarea PS.1: Identificacin de proyectos de seguridad.........................................................736.2. Tarea PS.2: Planificacin de los proyectos de seguridad ....................................................756.3. Tarea PS.3: Ejecucin del plan ............................................................................................766.4. Lista de control de los planes de seguridad .........................................................................76</p><p>7. Desarrollo de sistemas de informacin .....................................................................777.1. Inicializacin de los procesos...............................................................................................777.2. SSI Seguridad del sistema de informacin .......................................................................78</p><p>7.2.1. Ciclo de vida de las aplicaciones..................................................................................797.2.2. Contexto .......................................................................................................................807.2.3. Fase de especificacin: adquisicin de datos ..............................................................807.2.4. Fase de diseo: estudio de opciones ...........................................................................817.2.5. Soporte al desarrollo: puntos crticos ...........................................................................817.2.6. Aceptacin y puesta en marcha: puntos crticos ..........................................................827.2.7. Operacin: anlisis y gestin dinmicos.......................................................................837.2.8. Ciclos de mantenimiento: anlisis marginal..................................................................837.2.9 Terminacin ...................................................................................................................837.2.10 Documentacin de seguridad ......................................................................................84</p><p>7.3. SPD Seguridad del proceso de desarrollo ........................................................................847.4. Referencias ..........................................................................................................................85</p><p>8. Consejos prcticos......................................................................................................868.1. Alcance y profundidad..........................................................................................................868.2. Para identificar activos .........................................................................................................878.3. Para descubrir y modelar las dependencias entre activos...................................................888.4. Para valorar activos..............................................................................................................918.5. Para identificar amenazas....................................................................................................938.6. Para valorar amenazas ........................................................................................................938.7. Para seleccionar salvaguardas ............................................................................................948.8. Aproximaciones sucesivas ...................................................................................................94</p><p>8.8.1. Proteccin bsica .........................................................................................................95Apndice 1. Glosario .......................................................................................................97</p><p>A1.1. Trminos en espaol .........................................................................................................97A1.2. Trminos anglosajones....................................................................................................106A1.3. ISO Gestin del riesgo..................................................................................................107</p><p>Apndice 2. Referencias ...............................................................................................108Apndice 3. Marco legal ................................................................................................112</p><p>A3.1. Seguridad en el mbito de la Administracin electrnica ................................................112A3.2. Proteccin de datos de carcter personal .......................................................................112A3.3. Firma electrnica .............................................................................................................112A3.4. Informacin clasificada ....................................................................................................112A3.5. Seguridad de las redes y de la informacin.....................................................................113</p><p>Apndice 4. Marco de evaluacin y certificacin .......................................................114A4.1. Sistemas de gestin de la seguridad de la informacin (SGSI).......................................114</p><p> Ministerio de Hacienda y Administraciones Pblicas pgina 4 (de 127) </p></li><li><p>Magerit 3.0 </p><p>A4.1.1. La certificacin ...........................................</p></li></ul>