Exprimarea nevoilor și identificarea obiectivelor de siguranță

Această intrare sau secțiune pe tema Securității nu citează sursele necesare sau cei prezenți sunt insuficienți . Puteți îmbunătăți această intrare adăugând citări din surse de încredere în conformitate cu liniile directoare privind utilizarea surselor .

Acest articol sau secțiune despre subiectul informaticii nu este încă formatat conform standardelor . Contribuiți la îmbunătățirea acestuia în conformitate cu convențiile Wikipedia . Urmați sfaturile de proiectare de referință .

Acest articol sau secțiune are probleme cu structura și organizarea informațiilor . Motiv : articol lung și greu lizibil. El rearanjează structura expozitivă, logică și / sau bibliografică a conținutului. În discuție puteți colabora cu alți utilizatori la rearanjare.

Module ale metodologiei EBIOS

EBIOS înseamnă „Étude des Besoins et Identification des Objectifs de Sécurité”, adică în italiană „Studiul nevoilor și identificarea obiectivelor de securitate”. Metoda EBIOS este metoda utilizată pentru gestionarea riscurilor de securitate IT , dezvoltată de Agenția Națională de securitate a sistemelor de informații Agenția Națională pentru securitatea sistemelor informaționale din Franța ( ANSSI ).

Permite:

• definirea contextului (delimitarea perimetrului și încadrarea studiului);
• estimarea riscurilor (identificare, estimare și comparație);
• să planifice și să monitorizeze tratamentul riscurilor (măsuri și riscuri reziduale).

De asemenea, constituie un suport pentru comunicare și consultare cu privire la riscuri.

În cele din urmă, oferă toate elementele necesare:

• acceptarea riscului (validarea formală, de către manageri, a modului în care au fost gestionate riscurile și a riscurilor reziduale),
• la supravegherea și revizuirea riscurilor (control și îmbunătățire constantă).

Poziționarea în raport cu normele

Metoda EBIOS respectă cerințele ISO 27001 (standard pentru un sistem de management al securității informațiilor, SMSI ). Poate gestiona măsurile de securitate ale ISO 27002 (catalog de practici utile). Este compatibil cu ISO 31000 (cadrul general pentru toate standardele sectoriale de gestionare a riscurilor). Este metoda de implementare a cadrului definit în ISO 27005 (cadru specific pentru gestionarea riscurilor de securitate a informațiilor). Vă permite să gestionați indicațiile specificației ISO 15408 (Criterii comune).

Istorie și utilizare

EBIOS este utilizat în sectorul public (setul de ministere și organisme aflate sub protecție), în sectorul privat (consultanți, companii mici și mari, operatori de infrastructură de importanță vitală), în Franța și în străinătate (Uniunea Europeană, Algeria, Belgia, Luxemburg , Quebec, Tunisia ...) și de numeroase organizații care utilizează sau beneficiază de studii privind riscurile de securitate cibernetică .

O metodă creată inițial pentru a întocmi FEROS

Inițial, EBIOS a fost dezvoltat pentru a întocmi fișe de expresie raționale pentru obiectivele de siguranță „fiches d'expression rationnelle des objectifs de sécurité” (FEROS) . Este necesar un FEROS în dosarele de securitate ale tuturor sistemelor care tratează informații clasificate. Înainte, nu exista o metodă de scriere. Prin urmare, a fost dezvoltată o procedură bazată pe analiza riscurilor.

Utilizarea sa s-a extins și la alte scopuri: management, proiecte și produse

EBIOS a fost perfecționat și, în zilele noastre, este utilizat pentru numeroase alte utilizări.

Pentru management, permite elaborarea metodologiilor, strategiilor, politicilor, deciziilor și planurilor de acțiune.

Exemple: teoria Ministerului de Interne, schema de gestionare a Ministerului Infrastructurii, politica SSI a Primului Ministru, Direcția Jurnalului Oficial (DJO), Ministerele Sănătății, Internelor, Educației și Cercetării, deciziile SSI ale Ministerelor Infrastructurii și Internelor, planuri de acțiune pentru Minister al Apărării, al Internelor, pentru asociația franceză antidrog (AFLD), cartografia rețelelor sensibile ale ministerelor, rapoartele anuale ale ministerelor pentru primul ministru, certificarea ISO 27001 a Française des jeux ...

Ca parte a proiectelor, permite crearea de note-cadru, specificații de licitație, FEROS, obiective de siguranță a sistemului și proceduri de gestionare.

Exemple: dosare de securitate pentru toate aprobările pentru sistemele Ministerului Apărării și NATO, cazare de supraveghere electronică (PSE), control automatizat al rezultatelor (CSA, radar automat), mașini de vot, sisteme interministeriale de comunicații de securitate, pașapoarte biometrice, servicii telematice pentru administrare , legi și decrete pe internet, videoconferințe pentru Ministerul Justiției, telefonie securizată pentru autorități, integrarea SSI în toate proiectele noi ale fondului național de asigurări de sănătate (CNAM). ..

Pentru produsele de securitate, vă permite să formalizați profiluri de protecție, profiluri de securitate ale produselor, comparații cu soluții și studii privind vulnerabilitatea.

Exemple: studiul unui defect al protocolului SSL, protecția confidențialității în schimburile de e-mail, gestionarea certificatelor cu cheie publică (PKI) ...

Utilizarea sa s-a extins la toate tipurile de organisme

EBIOS este folosit în prezent de întregul sector public (ministere, organisme sub protecție, alte administrații ...), de companii private (operatori de infrastructuri vitale, industriale ...) și de creditori privați (companii sau auditori de conturi din SSI) ).

Utilizarea sa s-a extins la toate sectoarele de activitate

EBIOS este utilizat și în multe alte sectoare, altele decât apărarea: securitate internă, sănătate, finanțe, educație, cercetare, energie, justiție, echipamente, cultură, agricultură, auto, social, informație ...

Formulare de procedură

EBIOS este un „vehicul off-road” pentru gestionarea riscurilor: este foarte adaptabil la diferite contexte. Într-adevăr, este folosit pentru a da răspunsuri concrete și pentru a produce lucruri utile pentru management, în cadrul proiectelor și pentru a studia produsele. Procedura este comună tuturor acestor situații. Prin urmare, este recomandabil să utilizați EBIOS ca o „cutie de instrumente” autentică, ale cărei acțiuni și modul de utilizare a acestora vor depinde de subiectul studiat, așteptările și starea proiectului.

Metoda EBIOS formalizează un proces de gestionare a riscurilor împărțit în cinci module:

1. Studiul contextului: cum și de ce sunt gestionate riscurile și care este obiectul studiului?
2. Studiul evenimentelor interesante: care sunt evenimentele temute de muncitori și care ar fi cele mai grave?
3. Studiul scenariului de risc: care sunt toate scenariile posibile și care sunt cele mai probabile?
4. Analiza riscurilor: care este evaluarea riscurilor și cum decideți să vă comportați?
5. Studiul măsurilor de siguranță: ce măsuri ar trebui aplicate și riscurile reziduale sunt acceptabile?

Modulul 1 - Studiul contextului

Acest modul își propune să colecteze elementele necesare gestionării riscurilor, astfel încât acestea să poată fi puse în aplicare în bune condiții, să fie adaptate la realitatea contextului studiului și că rezultatele acestuia sunt relevante și utilizabile de către părțile interesate.

În special, permite formalizarea cadrului de gestionare a riscurilor în care urmează să fie realizat studiul. Permite, în același timp, să identifice, să delimiteze și să descrie perimetrul studioului, precum și problemele acestuia, contextul său de utilizare, limitele sale specifice ...

La sfârșitul acestui modul, domeniul de investigație al studiului este, prin urmare, clar circumscris și descris, precum și setul de parametri care trebuie luați în considerare în celelalte modele.

Modulul include următoarele activități:

• Activitatea 1.1 - Definirea cadrului de gestionare a riscurilor
• Activitatea 1.2 - Pregătiți activitățile care trebuie desfășurate
• Activitatea 1.3 - Identificarea părților interesate

Modulul 2 - Studiul evenimentelor temute

Acest modul își propune să identifice în mod sistematic scenarii generale pe care vrem să le evităm de-a lungul perimetrului studiului: evenimentele temute. Reflecțiile sunt efectuate la un nivel mai funcțional decât unul tehnic (asupra bunurilor esențiale și nu asupra bunurilor - suport).

Permite, în primul rând, să scoată la iveală toate evenimentele temute (amenințări) prin identificarea și combinarea fiecăreia dintre componentele lor: în acest fel se estimează valoarea a ceea ce doriți să protejați (siguranța activelor esențiale), sursele amenințarea este evidențiată.cu cine am fost confruntați și consecințele (impacturile) revendicărilor. În acest moment este posibil să se estimeze nivelul fiecărui eveniment în cauză (gravitatea și probabilitatea acestuia).

De asemenea, face posibilă inventarierea oricăror măsuri de securitate existente și estimarea efectului acestora prin reestimarea gravității evenimentelor implicate, odată ce măsurile de securitate au fost aplicate.

La sfârșitul acestui modul, evenimentele temute sunt identificate, explicate și poziționate unul în raport cu celălalt, în ceea ce privește severitatea și probabilitatea.

Modulul include o activitate:

• Activitatea 2.1 - Estimarea evenimentelor temute

Modulul 3 - Studiul scenariului de pericol

Acest modul își propune să identifice în mod sistematic modurile de operare generice care pot compromite securitatea informațiilor din perimetrul studiului: scenariul de pericol. Estimările sunt efectuate la un nivel mai tehnic decât nefuncțional (pe bunuri - sprijin și nu mai pe bunuri esențiale).

Permite, în primul rând, să scoată în evidență scenariul de pericol identificând și combinând fiecare dintre componente: evidențiind astfel diferitele pericole care afectează perimetrul studiului, defectele care pot fi gestionate pentru a le produce (vulnerabilitatea activelor - suport) și sursele de pericol susceptibile de a fi utilizate. Astfel, este posibil să se estimeze nivelul fiecărui scenariu de pericol (probabilitatea acestuia).

De asemenea, face posibilă inventarierea oricăror măsuri de siguranță existente și estimarea efectului acestora prin reestimarea probabilității scenariului de pericol, odată ce măsurile de siguranță au fost aplicate.

La sfârșitul acestui modul, scenariile de pericol sunt identificate, explicate și poziționate unul în raport cu celălalt în termeni de probabilitate.

Modulul include o activitate:

• Activitatea 3.1 - Estimarea scenariilor de pericol

Modulul 4 - Analiza riscurilor

Acest modul își propune să evidențieze în mod sistematic riscurile care pot afecta perimetrul studiului, apoi să aleagă modalitatea de a le trata ținând cont de specificitățile contextului. Reflecțiile sunt realizate la un nivel mai funcțional decât unul tehnic.

Prin corelarea evenimentelor implicate cu scenariile de pericol susceptibile de a le genera, acest modul vă permite să identificați doar scenariile cu adevărat relevante ale perimetrului studiului. De asemenea, vă permite să le calificați în mod explicit pentru a face o ierarhie și pentru a alege opțiunile de tratament adecvate.

La sfârșitul acestui modul, riscurile sunt estimate și evaluate și se fac alegeri de tratament.

Modulul include următoarele activități:

• Activitatea 4.1 - Estimarea riscurilor
• Activitatea 4.2 - Identificarea obiectivelor de siguranță

Modulul 5 - Studiul măsurilor de securitate

Acest modul își propune să determine mijloacele de tratare a riscurilor și să urmărească implementarea acestora, în mod coerent cu contextul studiului. Reflecțiile sunt, de preferință, efectuate împreună între nivelurile funcționale și tehnice.

Permite găsirea unui consens asupra măsurilor de securitate destinate să facă față riscurilor, în conformitate cu obiectivele identificate anterior, pentru a demonstra acoperirea adecvată a acestora și, în cele din urmă, pentru a efectua planificarea, implementarea și validarea tratamentului.

La sfârșitul acestui modul, măsurile de securitate sunt determinate și punctele cheie sunt validate formal. Continuarea implementării poate fi, în același mod, realizată.

Modulul include următoarele activități:

• Activitatea 5.1 - Formalizarea măsurilor de securitate care urmează să fie implementate
• Activitatea 5.2 - Implementarea măsurilor de securitate

Instrumente

Ghiduri practice pentru implementarea metodei

Metoda EBIOS este publicată sub forma unui ghid și cu cunoștințe de bază bogate și adaptabile (tipuri de active, impacturi, surse de pericole, pericole, puncte vulnerabile și măsuri de siguranță).

Software gratuit și gratuit

Software-ul metodei EBIOS permite oamenilor care efectuează un studiu să economisească timp adaptând prezentarea instrumentelor la conținut și însoțind dezvoltarea procedurii. O nouă versiune a software-ului este dezvoltată în cadrul Clubului EBIOS.

Instruire

Centrul de instruire al ANSSI (CFSSI) și mai multe companii oferă instruire regulată, de obicei pe parcursul a două zile, pentru a învăța cum să utilizați EBIOS. Mai multe organizații și școli predă, de asemenea, principiile de bază ale metodei în contextul cursurilor de informare mai scurte. Instruirea online pentru gestionarea riscurilor este, de asemenea, o bună inițiere în acest subiect.

ANSSI propune instruirea instructorilor pentru a transfera cunoștințe și a evita orice deriva în diseminarea și utilizarea metodei.

Studiul cazurilor ilustrative

Studiul unor cazuri este de asemenea furnizat pentru a ilustra aplicarea metodei.

Clubul EBIOS

Clubul EBIOS este o asociație independentă non-profit (Legea 1901), formată din aproximativ șaizeci de membri (experți individuali și organizații) pentru un total de aproximativ 130 de persoane. Reunește o comunitate de membri ai sectoarelor public și privat, atât francezi, cât și străini (Quebec, Belgia, Luxemburg, Algeria și Maroc).

Organizează întâlniri la fiecare două luni pentru a încuraja schimbul de experiențe, omogenizarea practicilor și satisfacerea nevoilor utilizatorilor. De asemenea, constituie un spațiu pentru definirea pozițiilor și exercitarea unui rol de influență în dezbaterile naționale și internaționale.

Comunitatea utilizatorilor EBIOS îmbogățește în mod regulat sistemul francez de gestionare a riscurilor din 2003, în colaborare cu ANSSI (tehnici de implementare, cunoștințe de bază, ghiduri specifice pentru utilizarea metodei, documente referitoare la comunicare, instruire, certificare, software ...) .

Avantaje și limitări

Beneficii

• O metodă clară: definește în mod clar actorii, rolurile și interacțiunile acestora.
• O abordare cuprinzătoare: spre deosebire de abordările de analiză a riscurilor pentru catalogul de scenarii predefinite, procedura structurată a metodei EBIOS permite identificarea și combinarea elementelor constitutive ale riscurilor.
• Un proces adaptiv: metoda EBIOS poate fi adaptată contextului fiecăruia și adaptată instrumentelor și obiceiurilor lor metodologice datorită unei anumite flexibilități.
• O metodă optimizată: durata unui studiu EBIOS este optimizată, deoarece permite obținerea elementelor necesare și suficiente în funcție de rezultatul obținut.

Limite

• Metoda EBIOS nu oferă soluții imediate la problemele de securitate; constituie un suport pentru reflecție.
• Include toate instrumentele necesare pentru toate reflecțiile SSI; de aceea este necesar să-și aleagă instrumentele în funcție de obiectivul studiului și de așteptări.

Elemente conexe

• ENISA
• ISO 27001
• ISO 27005
• Securitate IT

linkuri externe

• ( FR ) Méthode EBIOS pe site-ul oficial al ANSSI (metoda EBIOS pe site-ul oficial ANSSI)
• ( FR ) ANSSI - Module de formation en ligne (Modul de instruire online)
• ( FR ) Le site du Club EBIOS (Site-ul EBIOS Club)
• ( FR ) Informații de securitate EBIOS (Informații de securitate EBIOS)

Portal de securitate cibernetică : Accesați intrările Wikipedia care se ocupă de securitatea cibernetică