FEROS

Anuncio
PREMIER MINISTRE
Secrétariat général de la défense nationale
Direction centrale de la sécurité des systèmes d’information
Sous-direction des opérations
Bureau conseil
MEJORES PRÁCTICAS PARA LA
GESTIÓN DE LOS RIESGOS DE SSI
Utilización de los resultados del método EBIOS®
para redactar una FEROS
Versión del 21 de marzo de 2003
51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP – Tel. 01 71 75 84 15 - Fax 01 71 75 84 00
Documento editado por la oficina de consultoría de la DCSSI
¿Qué es una FEROS?
La Ficha de Expresión Racional de los Objetivos de Seguridad (FEROS)1 es un documento de
carácter obligatorio para los sistemas que tratan información clasificada de defensa2, y
recomendado para los demás sistemas3.
Este documento se basa en formalizar todos los elementos necesarios para la aprobación de la
implementación de un sistema por parte de una autoridad. Por lo tanto, presenta no sólo todos
los objetivos de seguridad del sistema estudiado y los riesgos residuales, sino también el
procedimiento y los fundamentos que permitieron identificarlos.
¿Cuáles son las ventajas del método EBIOS en
la redacción de una FEROS?
El método EBIOS es conocido como “la herramienta ideal para redactar FEROS”. Fue
diseñado con este fin y permite, por lo tanto, redactar una FEROS de manera casi integral.
Ofrece además varias ventajas:
-
la pertinencia de los objetivos de seguridad, que cubren los riesgos que afectan
realmente al organismo,
la justificación de los objetivos de seguridad mediante la apreciación de los riesgos de
SSI,
la exhaustividad del estudio gracias a un procedimiento estructurado,
la implicación de las partes involucradas, especialmente de la autoridad que deberá
validar la FEROS.
¿Cómo redactar una FEROS utilizando EBIOS?
Una solución eficaz para redactar una FEROS consiste en:
-
realizar un estudio EBIOS sobre el perímetro de alcance de la FEROS,
extraer los datos necesarios de dicho estudio (una gran parte del mismo),
reorganizar los objetivos de seguridad (por ejemplo, para clasificarlos por ámbito
técnico o no técnico),
redactar la introducción (definición de las responsabilidades, aprobación o garantía,
evaluación, homologación, relación entre los documentos, interconexión de los
sistemas).
1
Ficha de Expresión Racional de los Objetivos de Seguridad de los sistemas de información (FEROS) –
SGDN/SCSSI (1991).
2
La seguridad de los sistemas de información que son objeto de una clasificación de defensa para ellos mismos o
para la información que procesan – SGDN y DISSI (1993).
3
Recomendación para la protección de los sistemas de información que procesan datos sensibles no clasificados
de defensa – SGDN y DISSI (1994).
Página 2 de 3
Documento editado por la oficina de consultoría de la DCSSI
Observación: La FEROS es, ante todo, un documento destinado a ser aprobado por una
autoridad, su contenido puede variar en función de lo que dicha autoridad desee incorporar en
esta ficha que compromete su responsabilidad.
Para ello pueden utilizarse los siguientes datos:
EBIOS
FEROS
Estudio del contexto
Contexto general
Estudio del organismo
Sistema estudiado
Estudio del sistema
correspondiente
Descripción del sistema
Determinación del objetivo
del estudio
Restricciones
Expresión de las necesidades de seguridad
Realización de las fichas de
necesidades
Síntesis de las necesidades
de seguridad
Determinación del modo de
explotación
Estudio de las amenazas
Estudio de los orígenes de
las amenazas
Estudio de las
vulnerabilidades
Determinación de las
amenazas
Identificación de los objetivos de seguridad
Marco legal y reglamentario
Necesidades de seguridad
Criterios de sensibilidad
Escala de niveles de
sensibilidad
Necesidades de seguridad
Modos de explotación
de seguridad
Amenazas y riesgos
Amenazas
Riesgos
Confrontación de las
amenazas con las
necesidades
Objetivos de seguridad
Determinación de los
objetivos de seguridad
Determinación de los
niveles de seguridad
Determinación de las
exigencias de seguridad
Determinación de las
exigencias funcionales
Objetivos de seguridad
referidos al entorno
Objetivos de seguridad
propios del sistema
Objetivos de seguridad
técnicos
Determinación de las
exigencias de seguridad
(Para mayor información, escribir a: ebios.dcssi@sgdn.pm.gouv.fr)
Página 3 de 3
Descargar