Click here to load reader

MAGERIT v2 Metodologia de Analisis y Gestion de Riesgos

  • View
    192

  • Download
    7

Embed Size (px)

Text of MAGERIT v2 Metodologia de Analisis y Gestion de Riesgos

  • MINISTERIO DE

    ADMINISTRACIONES PBLICAS

    MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos

    de los Sistemas de Informacin

    I - Mtodo

    MINISTERIO DE ADMINISTRACIONES PBLICAS Madrid, 20 de junio de 2006 (v 1.1) NIPO 326-05-047-X Catlogo general de publicaciones oficiales http://publicaciones.administracion.es

  • Magerit versin 2

    Ministerio de Administraciones Pblicas pgina 3 (de 154)

    ndice 1. Introduccin a Magerit ..................................................................................................6

    1.1. Objetivos de Magerit ..............................................................................................................6 1.2. Introduccin al anlisis y gestin de riesgos ..........................................................................7 1.3. El anlisis y gestin de riesgos en su contexto......................................................................8

    1.3.1. Concienciacin y formacin............................................................................................9 1.3.2. Incidencias y recuperacin .............................................................................................9

    1.4. Organizacin de las guas......................................................................................................9 1.4.1. Modo de empleo ...........................................................................................................10 1.4.2. El catlogo de elementos .............................................................................................11 1.4.3. La gua de tcnicas.......................................................................................................11

    1.5. Para los que han trabajado con Magerit v1.0.......................................................................12 1.6. Evaluacin, certificacin, auditora y acreditacin................................................................12 1.7. Cundo procede analizar y gestionar los riesgos? ............................................................14

    2. Realizacin del anlisis y de la gestin .....................................................................16 2.1. Anlisis de Riesgos ..............................................................................................................16

    2.1.1. Paso 1: Activos .............................................................................................................17 2.1.2. Paso 2: Amenazas........................................................................................................22 2.1.3. Paso 4: Determinacin del impacto ..............................................................................23 2.1.4. Paso 5: Determinacin del riesgo.................................................................................24 2.1.5. Paso 3: Salvaguardas...................................................................................................24 2.1.6. Revisin del paso 4: impacto residual ..........................................................................26 2.1.7. Revisin del paso 5: riesgo residual .............................................................................26

    2.2. Gestin de Riesgos ..............................................................................................................26 2.2.1. La interpretacin de los valores de impacto y riesgo residuales ..................................26 2.2.2. Seleccin de salvaguardas...........................................................................................27 2.2.3. Prdidas y ganancias ...................................................................................................28 2.2.4. La actitud de la Direccin .............................................................................................30 2.2.5. Revisin del paso 1: activos .........................................................................................31

    3. Estructuracin del proyecto .......................................................................................32 3.1. Participantes.........................................................................................................................33 3.2. Desarrollo del proyecto ........................................................................................................34

    3.2.1. Visin global .................................................................................................................37 3.3. Proceso P1: Planificacin.....................................................................................................38

    3.3.1. Actividad A1.1: Estudio de oportunidad........................................................................40 3.3.2. Actividad A1.2: Determinacin del alcance del proyecto..............................................42 3.3.3. Actividad A1.3: Planificacin del proyecto ....................................................................47 3.3.4. Actividad A1.4: Lanzamiento del proyecto....................................................................50 3.3.5. Sntesis del proceso P1 ................................................................................................54 3.3.6. Lista de control del proceso P1 ....................................................................................54

    3.4. Proceso P2: Anlisis de riesgos...........................................................................................56 3.4.1. Actividad A2.1: Caracterizacin de los activos .............................................................58 3.4.2. Actividad A2.2: Caracterizacin de las amenazas........................................................63 3.4.3. Actividad A2.3: Caracterizacin de las salvaguardas...................................................65 3.4.4. Actividad A2.4: Estimacin del estado de riesgo..........................................................67 3.4.5. Sntesis del proceso P2 ................................................................................................70 3.4.6. Lista de control del proceso P2 ....................................................................................71

    3.5. Proceso P3: Gestin de riesgos...........................................................................................72 3.5.1. Actividad A3.1: Toma de decisiones.............................................................................73 3.5.2. Actividad A3.2: Elaboracin del plan seguridad de la informacin ...............................75 3.5.3. Actividad A3.3: Ejecucin del plan................................................................................78 3.5.4. Sntesis del proceso P3 ................................................................................................79 3.5.5. Lista de control del proceso P3 ....................................................................................79

    4. Desarrollo de sistemas de informacin .....................................................................80 4.1. Inicializacin de los procesos...............................................................................................80

  • Magerit versin 2

    Ministerio de Administraciones Pblicas pgina 4 (de 154)

    4.2. Ciclo de vida de las aplicaciones .........................................................................................81 4.2.1. Plan de sistemas ..........................................................................................................81

    4.3. Anlisis de riesgos ...............................................................................................................82 4.4. Gestin de riesgos ...............................................................................................................82 4.5. MTRICA versin 3..............................................................................................................84

    4.5.1. SPD Seguridad del proceso de desarrollo.................................................................86 4.5.2. SSI Seguridad del sistema de informacin................................................................88

    4.6. Referencias ..........................................................................................................................92 5. Consejos prcticos......................................................................................................94

    5.1. Para identificar activos .........................................................................................................94 5.2. Para descubrir y modelar las dependencias entre activos...................................................95 5.3. Para valorar activos..............................................................................................................97 5.4. Para identificar amenazas....................................................................................................98 5.5. Para valorar amenazas ........................................................................................................98 5.6. Para seleccionar salvaguardas ............................................................................................99 5.7. Aproximaciones sucesivas ...................................................................................................99

    5.7.1. Proteccin bsica .......................................................................................................100 5.8. Referencias ........................................................................................................................101

    Apndice 1. Glosario .....................................................................................................102 1.1. Trminos en espaol......................................................

Search related