Die 1995 ins Leben gerufene EBIOS-Methode steht für "Expression des Besoins et Identification des Objectifs de Sécurité" (deutsch: "Äußerung der Bedürfnisse und Erkennung der Sicherheitsziele"). Begründer der Methode ist die Generaldirektion der Informationssystem-Sicherheit DCSSI ("Direction Centrale de la Sécurité des Systèmes d'Information"). Die EBIOS-Methode erlaubt es, Risiken, die mit Informationssystemen einhergehen, zu ermessen und zu behandeln. Sie fundiert auf bewährten Erfahrungswerten aus dem Bereich der Beratung für Informationssystem-Sicherheit (ISS) und Unterstützung bei der Planumsetzung. Die EBIOS-Methode ist im öffentlichen Sektor (in den Ministerien und deren Unterorganisationen) genau so verbreitet wie in der Privatindustrie (Beratungsstellen, kleine und große Unternehmen). In Luxemburg und im Ausland (Europäische Union, Quebec, Belgien, Tunesien, Frankreich, usw.) wird sie in zahlreichen Organismen von Benutzern oder Empfängern der ISS-Risikoanalysen angewandt.

EBIOS® kann für zahlreiche Finalitäten und sicherheitsbezogene Vorgehensweisen, wie zum Beispiel die Ausarbeitung von Leitlinien, ISS-Armaturentafeln oder verschiedenen Spezifizierungstypen benutzt werden. Sie garantiert auch die globale Kohärenz der methodologischen ISS-Werkzeuge und ist kompatibel mit den internationalen Normen ISO 13335 (GMITS) und ISO 17799.

Die Methode kann sowohl zum Untersuchen von geplanten, als auch von bereits bestehenden Systemen benutzt werden. Im ersten Fall erlaubt sie es, Sicherheitsvorschriften progressiv zu ermitteln, indem sie Teil des Projektmanagements wird. Bei bereits bestehenden Systemen berücksichtigt sie vorhandene Sicherheitsvorkehrungen und integriert Sicherheit in den laufenden Prozess.

Die EBIOS-Methode kann an die Bedürfnisse, Werkzeuge und methodologischen Gewohnheiten eines jeden angepasst werden. Diese Flexibilität macht sie zu einem richtigen Werkzeugkasten für alle ISS-Akteure. So ist eine Globalstudie des kompletten Informationssystems eines Organismus genau so durchführbar, wie eine Detailstudie eines spezifischen Systems (Webseite, Mailbox, Wettbewerbsverwaltung, usw.). Es ist auch möglich, lediglich einzelne Teile der Methode zu benutzen, wenn man zum Beispiel eine Schwachstellenanalyse durchführen will (nur Untersuchung auf Bedrohungen), oder eine Sammlung von strategischen Elementen (Kontextstudie, nicht-detaillierte Aufstellung der Bedürfnisse, nicht-detaillierte Untersuchung der Bedrohungen) erstellen möchte. Die Kenntnis-Grundlagen von EBIOS beschreiben und stellen Einheitstypen vor sowie Angriffsmethoden, Schwachstellen, Sicherheitsziele und -anforderungen. Sie sind direkt auf die Mehrheit der Sektore anwendbar, wenn auch jeder Sektor sie seinen spezifischen Anforderungen anpassen kann. Außerdem verfügt die Methode über ein freies Assistenz-Programm.

Die gesamte Methode, ihre besten Anwendungsmöglichkeiten und ihr Programm zum Download finden Sie in den unten stehenden Links.

Dieser Teil (auf französisch) erlaubt Ihnen, sich mit EBIOS bekannt zu machen und die verschiedenen Funktionalitäten zu entdecken (Aufstellung der Bedürfnisse und Identifizierung der Sicherheitsziele):

DECOUVRIR EBIOS

• La plaquette de gestion des risques SSI (V.2006-03-01)

• Présentation de la méthode aux décideurs (V.2006-11-27)

• La plaquette de la méthode (V.2003-09-01)

• Le memento de la méthode (V.2004-02-04)

• La plaquette du logiciel (V.2003-06-30)

SE FORMER A EBIOS

• L'étude de cas (V.2004-07-16)

• L'étude de cas (V.2004-07-16)

PRATIQUER EBIOS
LE GUIDE

• Introduction (V.2004-02-05)

• Démarche (V.2004-02-05)

• Techniques (V.2004-02-05)

• Outillage pour l'appréciation des risques SSI (V.2004-02-05)

• Outillage pour le traitement des risques SSI (V.2004-02-05)

LES MEILLEURES PRATIQUES

• Étude d'un système à concevoir (V.2005-02-08)

• Étude d'un système existant (V.2005-02-07)

• Élaboration d'un schéma directeur de sécurité des systèmes d'information (SDSSI) (V.2003-03-21)

• Élaboration d'une politique de sécurité des systèmes d'information (PSSI) (V.2004-11-10)

• Réaction d'une fiche d'expression rationnelle des objectifs de sécurité (FEROS) (V.2005-04-18)

• Réaction d'un SSRS (System-specific Security Requirement Statement, OTAN) (V.2006-11-21)

• Réaction d'un profil de protection (PP) (V.2005-02-08)

• Réaction d'une cible de sécurité pour un produit (V.2004-11-10)

• Réaction d'une cible de sécurité pour un système d'information (V.2005-01-25)

• Élaboration d'une politique de certification (PC) (V.2003-03-21)

• Mise en oeuvre dans le cadre d'une démarche ISO 27001 (V.2005-11-10)

• Mise en place d'un système de gestion de la sécurité des systèmes d'information à l'aide de la méthode EBIOS (V.2005-11-10)

• Gestion des risques SSI - Précis de réaction et exercices (V.2006-01-17)

LE LOGICIEL

• Version téléchargeable pour Windows (V.2005-06-07)

• Version téléchargeable pour Windows (V.2005-06-07)

• Version téléchargeable pour Linux PPC (V.2005-06-07)

• Version téléchargeable pour Solaris (V.2005-06-07)

• Première utilisation du logiciel (V.2004-10-27)