Wyrażenie potrzeb i identyfikacja celów bezpieczeństwa – Wikipedia

Posted on by
before-content-x4

Artykuł w Wikipedii, Free L’Encyclopéi.

Syntetyczny wzór metody
after-content-x4

. Metoda ebios jest metodą oceny IT, opracowaną w 1995 r. Przez centralną Dyrekcję Bezpieczeństwa Systemów Informacyjnych (DCSSI) i prowadzona przez National Agency for Information Systems Systems (ANSI), która odniosła sukces w 2009 roku. W 2010 r. Doświadczyła ewolucji w 2010 r. [[[ Pierwszy ] Następnie został przemianowany na menedżera ryzyka Ebios [[[ 2 ] .

Metoda EBIOS umożliwia ocenę ryzyka bezpieczeństwa systemów informatycznych (podmiotów i podatności, metod ataku i elementów groźnych, podstawowych elementów i potrzeb bezpieczeństwa …), w celu przyczynienia się do ich leczenia poprzez określenie wymagań bezpieczeństwa, aby przygotować się, aby przygotować się Cały plik bezpieczeństwa niezbędny do zaakceptowania ryzyka i zapewnienia elementów przydatnych dla ryzyka związanego z ryzykiem. Jest kompatybilny z ISO 15408 (wspólne kryteria), ISO/CEI 27005 (ocena ryzyka systemu informacyjnego) i ISO 31000 (zarządzanie ryzykiem biznesowym), ponieważ umożliwia określenie wszystkich rodzajów ryzyka systemu informacyjnego (podstawy systemu informacyjnego (podstawy systemu informacyjnego (podstawy systemu informacyjnego (podstawy systemu informacyjnego (podstawy systemu informacyjnego (podstawy systemu informacyjnego (podstawy systemu informacyjnego (podstawy każda analiza ryzyka).

Ebios jest szeroko stosowany w sektorze publicznym (wszystkie ministerstwa i organizacje pod nadzorem), w sektorze prywatnym (firmy konsultingowe, małe i duże firmy), we Francji i za granicą (Unii Europejskiej, Quebec, Belgia, Tunezja, Luksemburg itp.) , przez wiele organizacji jako użytkowników lub beneficjentów analiz ryzyka SSI.
Jego sukces tłumaczy prostotę jego podejścia, co umożliwia zaangażowanie wszystkich podmiotów firmy lub organizacji. Ponadto metoda jest bezpłatna i dobrze udokumentowana przez ANSSI.

EBIOS zapewnia metodę budowania polityki bezpieczeństwa zgodnie z analizą ryzyka, która jest oparta na kontekście firmy i podatności związanych z jej IS. Podejście to jest zatem wspólne dla wszystkich firm i organizacji (to właśnie czyni go prawdziwą metodą), ale wyniki każdego kroku są spersonalizowane zgodnie ze specyficznością SI.

after-content-x4

Badanie kontekstowe [[[ modyfikator |. Modyfikator i kod ]

Celem tego niezbędnego etapu jest ogólnie zidentyfikowanie systemu docelowego i zlokalizowanie go w jego środowisku. W szczególności umożliwia określenie systemu wyzwań, kontekst jego użycia, misje lub usługi, które muszą dokonać oraz wykorzystane środki.

Scena jest podzielona na trzy działania:

  • Badanie organizacji: Działanie to polega na zdefiniowaniu ram badania. Konieczne jest gromadzenie danych dotyczących organizacji i jej systemu informacyjnego;
  • Badanie systemu docelowego: Ta aktywność ma na celu określenie kontekstu użycia systemu do zaprojektowania lub istniejących;
  • Określenie celu badania bezpieczeństwa: działanie to ma na celu określenie podmiotów (dobrze wsparcia), na których istotne elementy („niezbędne” lub „wrażliwe” towary będą oparte na systemie docelowym.

Studium obawnych wydarzeń [[[ modyfikator |. Modyfikator i kod ]

Ten krok przyczynia się do oszacowania ryzyka i definicji kryteriów ryzyka. Umożliwia użytkownikom systemu wyrażanie potrzeb bezpieczeństwa dla funkcji i informacji, które obsługują. Te potrzeby bezpieczeństwa są wyrażane zgodnie z różnymi kryteriami bezpieczeństwa, takimi jak dostępność, uczciwość i poufność. Ekspresja potrzeb opiera się na opracowaniu i wykorzystaniu skali potrzeb oraz wyróżniania niedopuszczalnych wpływów dla organizmu.

Scena jest podzielona na dwie działania:

  • Realizacja wymagań: Ta aktywność ma na celu stworzenie tabel niezbędnych do wyrażania potrzeb bezpieczeństwa przez użytkowników;
  • Podsumowanie potrzeb bezpieczeństwa: działanie to ma na celu przypisanie potrzeb bezpieczeństwa do każdego istotnego elementu.

Studium scenariuszy zagrożenia [[[ modyfikator |. Modyfikator i kod ]

Ten krok składa się ze spisu scenariuszy, który może zaszkodzić komponentom IS.
Zagrożenie można scharakteryzować zgodnie z jego typem (naturalnym, ludzkim lub środowiskowym) i/lub zgodnie z jego przyczyną (przypadkową lub celową).

Zagrożenia te są sformalizowane poprzez identyfikację ich komponentów: metody ataku, na które organizm jest narażony, groźne elementy, które mogą z nich korzystać, zwykłe luki na podmiotach systemu i ich poziomu.

  • Badanie pochodzenia zagrożeń: Działanie to odpowiada identyfikacji źródeł w procesie zarządzania ryzykiem;
  • Badanie luk w zabezpieczeniach: Ta aktywność polega na określeniu określonych luk w systemie docelowym;
  • Sformalizowanie zagrożeń: Pod koniec tego działania możliwe będzie obiektywna wizja zagrożeń obciążających system docelowy.

Badanie ryzyka [[[ modyfikator |. Modyfikator i kod ]

Element groźny może wpływać na podstawowe elementy, wykorzystując luki podmiotów, na których spoczywają one konkretną metodą ataku. Celem bezpieczeństwa jest pokrycie luk w zabezpieczeniach.

  • Konfrontacja zagrożeń dla potrzeb w zakresie bezpieczeństwa: Ta konfrontacja umożliwia zachowanie i ustalanie priorytetów ryzyka, które naprawdę podważą podstawowe elementy;
  • Formalizacja celów bezpieczeństwa: Działanie to ma na celu ustalenie celów bezpieczeństwa w celu pokrycia ryzyka;
  • Określenie poziomów bezpieczeństwa: Ta aktywność służy do określenia odpowiedniego poziomu oporu dla celów bezpieczeństwa. Pozwala także wybrać poziom wymagań bezpieczeństwa ubezpieczenia.

Badanie środków bezpieczeństwa [[[ modyfikator |. Modyfikator i kod ]

Zespół wdrażania procesu musi określić oczekiwane funkcje bezpieczeństwa. Zespół odpowiedzialny za wdrożenie procesu musi następnie wykazać doskonałe ubezpieczenie celów bezpieczeństwa według wymagań funkcjonalnych i wymagań ubezpieczeniowych (macierz ubezpieczenia).
Wreszcie, tylko wtedy, gdy ryzyko nie zostanie wystarczająco objęte, będziemy mówić o lukach w IS.

Darmowe oprogramowanie [[[ modyfikator |. Modyfikator i kod ]

Do aktualizacji z 2010 r. Free Software umożliwiło zidentyfikowanie wszystkich rodzajów zagrożeń i rejestrowanie wszystkich wyników badania i opracowanie niezbędnych dokumentów podsumowujących.

Jest teraz przestarzały i nie jest już dostępny do pobrania [[[ 3 ] .

Szkolenie [[[ modyfikator |. Modyfikator i kod ]

CFSSI (ANSSI Training Center) organizuje kursy szkoleniowe w metodzie EBIOS dla francuskiego sektora publicznego.
Trwa szkolenie online w zakresie zarządzania ryzykiem.

ANSSI oferuje również szkolenie trenerów w celu przeniesienia wiedzy i uniknięcia dryfów rozpowszechniania i stosowania metody.

i Club Ebios [[[ modyfikator |. Modyfikator i kod ]

Klub głównych użytkowników metody EBIOS został utworzony w 2003 roku, aby zgromadzić społeczność ekspertów, dzielić się doświadczeniami i ulepszyć metodę i jej narzędzia.

Korzyści [[[ modyfikator |. Modyfikator i kod ]

  • Jasna i uniwersalna metoda: wyraźnie określa aktorów, ich role i interakcje. Metoda może dostosować się do wszystkiego, czy jakakolwiek firma lub organizacja.
  • Ryzyko jest przewidziane na poziomie 360 ​​stopni (techniczne, organizacyjne, ryzyko informacyjne, bezpieczeństwo witryn i lokalu, ale także środowiskowe …)
  • Wyczerpujące podejście: Wbrew podejściu do analizy ryzyka według scenariuszy ustrukturyzowane podejście metody EBIOS umożliwia identyfikację elementów składowych ryzyka. To sprawia, że ​​jest to prosta metoda stosowania wszystkich podmiotów firmy lub organizacji.
  • W szczególności metoda umożliwia skupienie się na „wrażliwych towarach” organizacji lub firmy.
  • Podejście adaptacyjne: Metodę EBIOS można dostosować do kontekstu każdego z nich i dostosować do ich narzędzi metodologicznych i nawyków dzięki pewnej elastyczności.

Niedogodności [[[ modyfikator |. Modyfikator i kod ]

  • Metoda EBIOS nie zawiera zaleceń ani natychmiastowych rozwiązań problemów bezpieczeństwa. Ponieważ jest to pierwsza metoda analizy ryzyka pod względem systemów informatycznych i że na początek ANSSI (wówczas zwany DCSSI) promowany równolegle metodą kontroli masii (metoda kontroli systemów informatycznych bezpieczeństwa uzbrojenia). Ministerstwo Obrony (1994).
  • Nie ma audytu i oceny metody (ponieważ była to jedyna metoda czasu w SSI). Ramy zastosowania tej metody są bardzo bezpłatne, obwód identyfikacji zagrożeń może zostać zniekształcony (według szacunków w przypadku zastosowania metody przez początkującego personelu).
  • Metoda identyfikuje rodzaje ryzyka, ale nie identyfikuje scenariuszy ataku, które należy opracować zgodnie z potrzebą (stąd jej obecna ewolucja w Ebios Risk Manager).
  • W odniesieniu do prawdziwej metody (długie wdrożenie, konieczność dostosowania do każdej firmy i organizacji), ponieważ Ebios w latach 2000. XX wieku utworzył wiele metod analizy szybkiego ryzyka i metod audytu SSI proponujące wstępnie ustalone kwestionariusze.

Powiązane artykuły [[[ modyfikator |. Modyfikator i kod ]

Linki zewnętrzne [[[ modyfikator |. Modyfikator i kod ]

after-content-x4