Expresión de necesidades e identificación de objetivos de seguridad

El método EBIOS es un método de evaluación de riesgos de TI, desarrollado en 1995 por el Departamento Central de Seguridad de los Sistemas de Información (DCSSI) y mantenido por la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI), que lo reemplazó en 2009. Evolucionó en 2010 y fue luego renombrado a EBIOS Risk Manager.

Usos

El método EBIOS permite evaluar los riesgos de seguridad de los sistemas de información (entidades y vulnerabilidades, métodos de ataque y elementos amenazantes, elementos esenciales y necesidades de seguridad, etc.), para contribuir a su tratamiento especificando los requisitos de seguridad a implantar, Elaborar todo el expediente de seguridad necesario para la aceptación de los riesgos y proporcionar los elementos útiles para la comunicación relativa a los riesgos. Es compatible con las normas ISO 15408 ( criterios comunes ), ISO / CEI 27005 (evaluación de riesgos del sistema de información) e ISO 31000 (gestión de riesgos comerciales).

Usuarios

EBIOS es ampliamente utilizado en el sector público (todos los ministerios y organizaciones bajo supervisión), en el sector privado (empresas consultoras, pequeñas y grandes empresas), en Francia y en el extranjero (Unión Europea, Quebec, Bélgica, Túnez, Luxemburgo ...), por muchas organizaciones como usuarios o beneficiarios de los análisis de riesgo de ISS .

Pasos del proceso

EBIOS proporciona un método para construir una política de seguridad basada en un análisis de riesgo basado en el contexto empresarial y las vulnerabilidades relacionadas con su SI . Por tanto, el proceso es común a todos, pero los resultados de cada paso son personalizados.

Estudio de contexto

Este paso esencial tiene como objetivo identificar globalmente el sistema de destino y ubicarlo en su entorno. En particular, permite especificar para el sistema las cuestiones, el contexto de su uso, las misiones o servicios que debe prestar y los medios utilizados.

La etapa se divide en tres actividades:

• Estudio de organismos: esta actividad consiste en definir el marco del estudio. Se deben recopilar datos sobre la organización y su sistema de información;
• Estudio del Sistema Objetivo: esta actividad tiene como objetivo especificar el contexto de uso del sistema a diseñar o existente;
• Determinación del objetivo del estudio de seguridad: el objetivo de esta actividad es determinar las entidades (activo de soporte) en las que se basarán los elementos esenciales (activo esencial) del sistema objetivo.

Estudio de los eventos temidos

Este paso contribuye a la estimación de riesgos y a la definición de criterios de riesgo. Permite a los usuarios del sistema expresar sus necesidades de seguridad para las funciones y la información que manejan. Estas necesidades de seguridad se expresan de acuerdo con varios criterios de seguridad como la disponibilidad, la integridad y la confidencialidad. La expresión de necesidades se basa en el desarrollo y uso de una escala de necesidades y la identificación de impactos inaceptables para la organización.

La etapa se divide en dos actividades:

• Elaboración de hojas de necesidades: el propósito de esta actividad es crear las tablas necesarias para la expresión de las necesidades de seguridad por parte de los usuarios;
• Resumen de necesidades de seguridad: el propósito de esta actividad es asignar necesidades de seguridad a cada elemento esencial.

Estudio de escenarios de amenazas

Este paso consiste en un inventario de escenarios que podrían afectar los componentes del SI. Una amenaza puede caracterizarse según su tipo (natural, humana o ambiental) y / o según su causa (accidental o deliberada).

Estas amenazas se formalizan identificando sus componentes: los métodos de ataque a los que está expuesto el organismo, los elementos amenazantes que pueden utilizarlos, las vulnerabilidades que se pueden explotar en las entidades del sistema y su nivel.

• Estudio de los orígenes de las amenazas: esta actividad corresponde a la identificación de fuentes en el proceso de gestión de riesgos;
• Estudio de vulnerabilidades: el propósito de esta actividad es determinar las vulnerabilidades específicas del sistema objetivo;
• Formalización de amenazas: al final de esta actividad, será posible tener una visión objetiva de las amenazas que pesan sobre el sistema objetivo.

Estudio de riesgo

Un elemento amenazante puede afectar elementos esenciales explotando las vulnerabilidades de las entidades en las que se basan con un método de ataque particular. Los objetivos de seguridad son cubrir las vulnerabilidades.

• Enfrentamiento de amenazas con necesidades de seguridad: este enfrentamiento permite identificar y priorizar los riesgos que realmente pueden afectar los elementos esenciales;
• Formalización de los objetivos de seguridad: la finalidad de esta actividad es determinar los objetivos de seguridad que permitan cubrir los riesgos;
• Determinación de los niveles de seguridad: esta actividad se utiliza para determinar el nivel apropiado de resistencia para los objetivos de seguridad. También le permite elegir el nivel de requisitos de seguridad del seguro.

Estudio de medidas de seguridad

El equipo de implementación del enfoque debe especificar las características de seguridad esperadas. El equipo responsable de implementar el enfoque debe demostrar que los objetivos de seguridad están completamente cubiertos por los requisitos funcionales y los requisitos del seguro.

Herramientas

Software libre

Hasta la actualización de 2010, el software libre permitía registrar todos los resultados de un estudio y producir los documentos resumidos necesarios.

Ahora está obsoleto y ya no está disponible para descargar.

La formación

El CFSSI (centro de formación ANSSI) organiza cursos de formación en el método EBIOS para el sector público francés. Se está impartiendo formación en línea sobre gestión de riesgos.

La ANSSI también ofrece una formación de formadores para transferir conocimientos y evitar cualquier deriva en la difusión y uso del método.

El Club EBIOS

El club de grandes usuarios del método EBIOS se creó en 2003 con el fin de reunir a una comunidad de expertos, compartir experiencias y mejorar el método y sus herramientas.

Ventajas y desventajas

Ventajas

• Un método claro: define claramente a los actores, sus roles e interacciones.
• Un enfoque exhaustivo: a diferencia de los enfoques de análisis de riesgos por escenarios, el enfoque estructurado del método EBIOS permite identificar los elementos constitutivos de los riesgos.
• Un enfoque adaptativo: el método EBIOS puede adaptarse al contexto de cada individuo y ajustarse a sus herramientas y hábitos metodológicos gracias a una cierta flexibilidad.

Desventajas

• El método EBIOS no proporciona recomendaciones o soluciones inmediatas a problemas de seguridad.
• No hay auditoría ni evaluación del método.

Notas y referencias

1. ANSSI, EBIOS, Expresión de necesidades e identificación de objetivos de seguridad , París, ANSSI,2010
2. "  El método EBIOS Risk Manager  " , en ANSSI (consultado el 9 de diciembre de 2019 )
3. "  EBIOS - Expresión de necesidades e identificación de objetivos de seguridad  " , en ssi.gouv.fr (consultado el 27 de noviembre de 2019 )

Ver también

Artículos relacionados

• Seguridad del sistema de información
• Método armonizado de análisis de riesgos

enlaces externos

• ANSSI 2010 - La metodología EBIOS