Ebios este un instrument dezvoltat de Central Information System Security

Division, Franta, care reflecta metodologia cu acelasi nume , EBIOS.

Instrumentul ajuta utilizatorii sa analizeze toate riscurile si sa le gestioneze
conform celor 5 faze a metodologiei Ebios in ceea ce priveste analiza si prevenirea
riscurilor, deasemenea rezultatele analizei pot fi stocate sub forma a unor
documente speciale. Ebios este un instrument Open Source si gratuit.

EBIOS este alcatuit dintr-un ciclu cu 5 faze:

Faza 1 realizeaza contextul analizei in termenii specifici afacerilor in
sistemul informatic. La aceasta faza se defineste perimetrul de activitate.Att cerin ele
analizei securitii ct i cerinele analizei ameninrilor sint conturate in faza 2
respectiv faza 3. n faza 4 i 5, acest conflict, odata ce a fost deja analizat, necesita o
diagnostica obiectiva asupra riscurilor posibile. Obiectivele necesare si suficiente sint
apoi furnizate cu scopul evidentierii riscului intr-un mod explicit.
1) Studiul contextului
4) Studiul riscurilor, diagnosticare
2) Studiul evenimentelor nedorite
5) Studiul masurilor de securitate
3) Studiul ameninrilor
EBIOS este de asemenea un instrument foarte flexibil, el poate produce un
numar vast de sfaturi n ceea ce privete scopurile securitii, protecia profilurilor,
planurilor de aciune.
Ca instrument , EBIOS proceseaza urmatoarea informaie:
- prezentarea organizaiei
- lista ameninrilor
- lista elementelor organizaiei
- lista ameninrilor ramase neexplicate
- lista regulilor de securitate
- lista riscurilor
- necesitile securitii
Sectorul privat organizational cuprinde: Club EBIOS, circa 60 intreprinderi ,
ministerul francez si experti independenti.Aceasta metodologie a aparut in 1995,
ultima modificare apartine datei 2 iunie 2004

Particularitati generale ale metodologiei EBIOS:

1) Reprezinta un set de ghiduri impreuna cu pachetul software gratuit cu acelasi nume,
dedicate managementului riscurilor sistemelor informationale. EBIOS este
utilizat atit in sectorul privat cit si in sectorul public, atit in Franta cit si in
intreaga lume.
2) Este bazat pe multe standarte a managementului securitatii informationale.
3) Ofera suport in ceea ce priveste managementul riscului, bazindu-se pe viziunea si
hotaririle managerilor de top a proiectelor globale asa ca ,,planul continuitatii
afacerii , ,,planul principal de securitate , ,,politici de securitate , dar de
asemenea aceasta metodologie ofera solutii pentru aplanarea riscurilor in cadrul
unor sisteme mai concrete asa ca ,,mesageria electronica , ,,retele si ,,siteuri.
4) Ofera o claritate a dialogului intre detinatorul unui proiect si managerii de securitate
a acestui proiect.
5) Este un instrument inclus in cadrul standartului ISO27001:2005

Analiza comparativa
EBIOS
-Publicat n 1997, creat n 1995

MEHARI
-n dezvoltare din 1995

Structura
-Studiul contextului
-Studiul evenimentelor nedorite
-Studiul ameninrilor
-Studiul riscurilor
-Studiul masurilor de securitate
-Ghid practic
-Software-ul gratuit si liber
-Formare si pregatire
-Studii de caz
-Clubul EBIOS
softwareului
-Interfata relativ simpla
(Risicare)

-Identificarea riscurilor
-Estimarea riscurilor
-Gestionarea si managementul riscului

Instrumente
-Documente practice (de practica)
-Software ce necesita licenta-Risicare
-Prezentari video
-Instumente de calcul Excel in cadrul
-Interfata relativ complicata

n cele din urm, ne dm seama c aceste dou metode abordeaz acelea i probleme,
dar poate fi considerata metodologia EBIOS puin mai funcional n ceea ce priveste
analiza riscurilor si propunerea metodelor de evitare a lor, iar metoda MEHARI are
putin prioritate cind vine vorba in special de gestionarea doar a riscurilor.

1
2
3
4
5
6
1) Conduct an EBIOS study (Conducerea/dirijarea unei studieri EBIOS)
Inregistreaza rezultatele studierii pentru a crea diferite tabele si a efectua
diferite calcule in mod automat. In cadrul acestui compartiment vom fi nevoiti sa
deschidem o baza de cunostinta , dupa care sa acceptam sau nu conditiile puse de
baza de cunostinta in cauza, la necesitate, putem adauga specificatiile noastre
(Add)

2) Create summary documents (Crearea documentelor sumare/de sinteza)

Crearea unor inregistrari de studiu. Pregatirea si elaborarea documentelor
ce reflecta un rezumat a sintezei. Pentru a vizualiza un rezultat , este nevoie sa
alegem la baza un fisier EBIOS Studies .esy

3) Case study (Studiu de caz)

Descoperirea partilor logice prin studierea unor cazuri / comentarii.

4) Administration of the knowledge bases (Administrarea bazelor de cunostinta)

Introducerea, utilizarea si explorarea unor baze de cunostinta. Prin
administrarea unei baze de cunostinta, in cazul dat se intelege vizualizarea
tuturor compartimentelor ei cu posibilitatea de editare a descrieriei ei.

5) System administration (Administrarea de sistem)

Administrarea atit a utilizatorilor cit si a documentelor in vigoare din
cadrul organizatiei. Acest compartiment este dedicat obtinerii unui tablou in ceea
ce priveste personalul din cadrul organizatiei, specificind toate personele, rolul
acestora, categoria si o descriere a lor, ceea ce ne va putea oferi acces rapid la
oricare din persoana ce activeaza in cadrul organizatiei, indiferent de statutul
acesteea.