ISO 17799 – la norme de la sécurité de l'information

©Claude Maury ISO 17799 – la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information...

21 downloads 253 Views 470KB Size
ISO 17799 – la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information

© Claude Maury

La sécurité de l’information ƒ L’information constitue le capital intellectuel de chaque organisation. ƒ C’est un élément important de l’activité de l’organisation qui nécessite une protection adéquate.

ƒ La norme ISO/CEI 17799 (International Standard Organisation/Commission

établit des lignes directrices et des principes généraux dans la gestion de la sécurité de l’information Electronique Internationale)

ƒ Elle a été élaborée par le comité technique ISO/TC JTC 1

Janvier 2006

© Claude Maury

ISO/CEI 17799:2005 ƒ La norme ISO/CEI 17799:2005 a été publiée en juin 2005 ƒ C’est un code de bonne pratique (référentiel) pour la gestion de la sécurité de l’information ƒ Nouvelle numérotation en 2007: ISO/CEI 27002:2005 ƒ Cette norme contient 15 articles (chapitres): ƒ Les 4 premiers chapitres définissent le cadre de la norme ƒ Les 11 chapitres suivants composés de 39 rubriques et 133 mesures définissent les objectifs de sécurité et les mesures à prendre

ƒ Sites web: ƒ www.iso-17799.com ƒ www.iso17799software.com ƒ www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS 1=35&ICS2=40&ICS3= (pour l’achat de la norme 200.-CHF) Janvier 2006

© Claude Maury

Périmètre couvert par la norme L'information qu'elle soit sous forme écrite, parlée, imagée, enregistrée, transmise, etc..

Janvier 2006

ACTIFS D'INFORMATION ACTIFS D'INFORMATION Bases et fichiers de données, Bases et fichiers de données, Méthodes de fabrication, Méthodes de fabrication, Procédures d'exploitation, Procédures d'exploitation, Manuels utilisateurs, Manuels utilisateurs, Archives, Archives, etc… etc…

ACTIFS PHYSIQUES ACTIFS PHYSIQUES Salle informatique, Salle informatique, Serveurs, PC, imprimantes, Serveurs, PC, imprimantes, scanner, etc.. scanner, etc.. Portables, Portables, Réseaux locaux, PABX, Réseaux locaux, PABX, etc… etc…

ACTIFS APPLICATIFS ACTIFS APPLICATIFS Systèmes d'exploitation, Systèmes Applicationsd'exploitation, de métier, Applications de métier, Progiciels et logiciels, Progiciels et logiciels, Utilitaires, Utilitaires, Outils de développement, Outils etc… de développement, etc…

FOURNITURES DE SERVICES FOURNITURES DE SERVICES Services informatiques Servicesdeinformatiques Services communication Services de communication Services généraux (alimentation Services généraux (alimentation électrique, climatisation, etc..) électrique, climatisation, etc..) etc…. etc….

© Claude Maury

ISO/CEI 17799:2005 n'est pas: ƒ Une norme technique orientée produit ou logiciel. ƒ Une méthode d'analyse et de gestion de risques, de classification de l'information et des actifs, etc. ƒ Une méthode est un moyen d'arriver efficacement à un objectif et un résultat défini, c'est un outil utilisé pour satisfaire une norme.

ƒ Un ISMS (Information Security Management System), système de gestion de la sécurité de l’information. ƒ Une certification ISO de la sécurité de l'information. ƒ La norme « ISO/CEI 27001:2005 spécifications pour un ISMS » permet la certification, elle utilise la norme ISO/CEI 17799:2005 comme référentiel.

Janvier 2006

© Claude Maury

Domaine d'application ƒ La norme ISO 17799 fournit des recommandations sur la gestion de la sécurité de l'information. C'est un référentiel pour l'élaboration des normes de sécurité des organisations et une méthode de gestion efficace de la sécurité. ƒ La norme ISO 17999 s'adresse aux responsables de la mise en œuvre ou du maintien de la sécurité de l'information. ƒ Les recommandations de cette norme sont à sélectionner et à appliquer selon les besoins du métier et des affaires de l’organisation et conformément aux lois et règlements en vigueur. ƒ Equivalence USA: NIST handbook – Introduction to

computer security

ƒ http://www.csrc.nist.gov/publications/nistpubs/

Janvier 2006

© Claude Maury

Définition de la sécurité de l’information La sécurité de l'information, c'est la préservation de: ƒ La Confidentialité ƒ Le fait que l'information n'est accessible qu'aux personnes qui sont

autorisées à l'accéder.

ƒ L’Intégrité ƒ C'est la protection de l'exactitude et de l'intégrité de l'information et des

méthodes de traitement.

ƒ La Disponibilité ƒ Le fait que les utilisateurs autorisés ont un accès sécurisé à l'information et

ses ressources associées.

ƒ La Traçabilité ƒ La définition est donnée dans la norme ISO 8402 : Aptitude à retrouver

l’historique, l’utilisation ou la localisation d’un produit ou d’un processus de délivrance d’un service au moyen d’identifications enregistrées.

Janvier 2006

© Claude Maury

Articles ƒ La norme contient 11 articles. ƒ Ces 11 articles sont numérotés par les chapitres 5 à 15 de la norme N°

Janvier 2006

Articles (chapitres) ISO/CEI 17799:2005

Nbre objectifs de sécurité

Nbre mesures

5

Politique de sécurité

1

2

6

Organisation de la sécurité de l’information

2

11

7

Gestion des biens

2

5

8

Sécurité liée aux ressources humaines

3

9

9

Sécurité physique et environnementale

2

13

10

Gestion de l’exploitation et des télécommunications

10

32

11

Contrôle d’accès

7

25

12

Acquisition, développement et maintenance des systèmes d’information

6

16

13

Gestion des incidents liés à la sécurité de l’information

2

5

14

Continuité de l’activité

1

5

15

Conformité

3

10

© Claude Maury

Rubriques ƒ Les 11 articles (chapitres) contiennent: ƒ 39 rubriques de sécurité qui sont structurées de la façon suivante: ƒ Un objectif de sécurité identifiant le but à atteindre ƒ Une ou plusieurs mesure(s) pouvant être appliquée en vue d’atteindre l’objectif de sécurité

ƒ 133 mesures contenues dans les 39 rubriques qui sont structurées de la façon suivante: ƒ Mesure: spécifie la mesure adaptée à l’objectif de sécurité ƒ Préconisation de mise en œuvre: propose des informations détaillées pour mettre en œuvre la mesure ƒ Information supplémentaires: présente des compléments d’information à considérer

Janvier 2006

© Claude Maury

Exemple de structure de la norme Objectif de sécurité

Mesure

Janvier 2006

© Claude Maury

Critères de succès ƒ Une bonne compréhension et évaluation des risques encourus ƒ Une mise en œuvre qui soit compatible avec la culture de l'entreprise ƒ Un soutien et un engagement visible de la direction ƒ Des compétences et des moyens pour mettre en œuvre la politique et les processus de sécurité ƒ Une présentation et une formation appropriée de la sécurité à tous les responsables et employés de l'organisation ƒ L'accès pour tous les employés aux normes et directives de sécurité de l'information

Janvier 2006

© Claude Maury

Audit de situation ƒ Interview d’~ 540 questions basées sur les 11 chapitres de la norme ƒ Pas de tests « in situ »

chap 5 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

chap 15

chap 14

ƒ Ce n’est pas un jugement de valeur ou de compétences

chap 7

chap 13

ƒ Donne une « photo » de l’état actuel de la SSI par rapport à la norme

chap 8

chap 12

chap 9

chap 11

ISO 17799:2005

Janvier 2006

chap 6

© Claude Maury

chap 10

Mesures existantes et prévues

Mesures existantes

Barrières ƒ Résistance humaine ƒ Atteinte à la liberté (cyberflics) ƒ Frein au business

ƒ Moyens financier et humain ƒ Culture de l’entreprise ƒ Culture du pays ƒ Us et coutumes, lois différentes

ƒ Besoins du business ƒ Moyens coercitifs à disposition ƒ Qui peut obliger?

ƒ Coupes budgétaire Janvier 2006

© Claude Maury

Quelques liens intéressants ƒ

http://www.quesaco.org/process.php?targt=question_securite ƒ

ƒ

Questionnaire du risque en français

http://www.humanfirewall.org ƒ

The security management index

Janvier 2006

© Claude Maury