dans les coulisses des normes iso
Post on 15-Jun-2015
1.094 Views
Preview:
DESCRIPTION
TRANSCRIPT
Dans les coulisses des normes ISODans les coulisses des normes ISO
Bruno Guay17 octobre 2011Bruno Guay17 octobre 2011
Plan de la présentation
Introduction
Les normes, pourquoi?
Une norme, c’est quoi?
Les normes, c’est qui?
Le processus ISO, c’est quoi?
Être membre de ISO, c’est quoi?
Être rédacteur d’une norme ISO, c’est quoi?
Introduction
Nairobi, Kenya, 10 au 14 octobre 2011
11e rencontre du comité ISO/IEC JTC1/SC27
200+ délégués de 46 pays
5 délégués canadiens
Qui sont ces gens?
Pourquoi sont-ils ici?
Introduction
Les normes, pourquoi?
Les normes, pourquoi?
Les normes sont une réponse à un besoin exprimé par l’industrie pour:
Permettre l’interopérabilité
Faciliter la communication
Faciliter la démonstration
Faciliter la certification
Améliorer l’efficacité et l’efficience
Simplifier l’acceptation
Réduire la maintenance
Les normes, c’est quoi?
Les normes, c’est quoi?
Une norme est:
un document qui fournit des lignes directrices sur les processus, les produits, les résultats;
réaliste;
vérifiable;
acceptable pour toutes les parties;
établie par voie de consensus entre experts du domaine;
approuvée par un organisme de normalisation reconnu.
Les normes, c’est quoi?
Quelques exemples de Normes en sécurité de l’information publiées par ISO/IEC JTC1/SC27
ISO/IEC 27001: Systèmes de management de la sécurité de l'information -- Exigences
ISO/IEC 27002: Code de bonne pratique pour le management de la sécurité de l'information
ISO/IEC 27005: Gestion des risques liés à la sécurité de l'information (remplace ISO/IEC 13335)
ISO/IEC 27031: Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires
ISO/IEC 27033: Sécurité de réseau
Les normes, c’est quoi?
Quelques exemples de Normes en sécurité de l’information en rédaction par ISO/IEC JTC1/SC27
ISO/IEC 27032: Lignes directrices pour la cybersécurité
ISO/IEC 27034: Sécurité des applications
ISO/IEC 24760: Cadre pour la gestion de l'identité
ISO/IEC 29100: Cadre du domaine privé (A privacy framework)
ISO/IEC 29115: Cadre d'assurance de l'authentification d'entité
ISO/IEC 29146: Cadre pour gestion d'accès
ISO/IEC 29147: Divulgation de vulnérabilité
Les normes, c’est qui?
Les normes, c’est qui?
ANSI BSI
DIN
JISC
SCC
BNQ
NIST
CEN
ETSI
COPANTUPU IEEE
W3CIETF SAE
ITU
IEC
CENELEC
ISO
Les normes, c’est qui?
ISO IECJTC 1
SC 27
WG 1 WG 2 WG 3 WG 4 WG 5
Les normes, c’est qui?
ISO/IEC JTC1/SC27 Techniques de sécurité des technologies de l'information
WG 1 Systèmes de management de la sécurité de l'information
WG 2 Cryptographie et mécanismes de sécurité
WG 3 Critères d'évaluation de la sécurité
WG 4 Contrôles et services de sécurité
WG 5 Gestion d'identité et technologies de domaine privé
Les normes, c’est qui?
ISO/IEC JTC1/SC27
46 pays votants
200+ experts
5 groupes de travail
97 normes publiées
2 rencontres/an
1 plénière/an
Les normes, c’est qui?
200 délégués
600 chapeaux!
J’ai mon opinion et mon expertise personnelle
Je représente mon pays
Je défends les intérêts de mon bailleur de fonds
Le processus ISO, c’est quoi?
Le processus ISO, c’est quoi?
Stade Document
Préliminaire Proposition de nouveau projet (NWIP)
Proposition Nouveau projet (NP)
Préparatoire Avant-projet (WD)
Comité Projet de comité (CD)
Enquête Projet de Norme internationale (DIS)
Approbation Projet final de Norme internationale (FDIS)
Publication Norme internationale (IS)
19
Experts de ce groupe de travail
Délèguent
Responsable Éditeur(s)
(60)Stade
Publication
Pays membres de ce sous-comité ISO
Amélioration
(50)Stade
Approbation
Amélioration
(40)Stade
Enquête
(30)Stade
Comité
Amélioration
(20)Stade
Préparation
Recommendent
(10)Stade
Proposition
Participent et commentent
(00)Stade
Préliminaire
Approuvent
Le processus ISO, c’est quoi?
Le processus ISO, c’est quoi?
Exemple: l’infonuagique (cloud computing)
En octobre 2010, SC27 lance l’étape préliminaire pour une norme sur la sécurité et la PRP dans l’infonuagique
L’étude d’opportunité est confiée aux groupes de travail 1, 4 et 5 (gouvernance, contrôles et PRP)
Les délégués sont invités à soumettre suggestions et matériel
On lance aussi l’invitation à des groupes externes: SC38, ISACA, NIST et ITU-T
3 responsables (rapporteurs) sont désignés pour recevoir les contributions et produire un rapport avant la prochaine rencontre
Le processus ISO, c’est quoi?
21
WG1:Yamasaki
WG5:ColinWG4:Andreas
Rapporteur
WG4 NB WG1 NB WG5 NB
ITU-TNIST
SC38ISACA
Liaisons Liaisons
Co-rapporteur Co-rapporteur
NBs NBs
Create Study report
Comments & Contribution
NBs NBs NBsNBs
Comments & Contribution Comments & Contribution
Le processus ISO, c’est quoi?
22
Liaison statement to ITU-T FG Cloud on Identity Management,
Privacy Technology, and Biometrics
ISO/IEC JTC 1/SC 27/WG 5 would like to thank ITU-T FG Cloud for their continued interest in the work
of ISO/IEC JTC 1/SC 27/WG 5.
ISO/IEC JTC 1/SC 27/WG 5 would like to inform the ITU-T Focus Group Cloud Computing about the
output of our WG 1, WG 4 and WG 5 Study Period on “Cloud computing security and privacy”. This
Study Period recommended text for a WG 5 New Work Item Proposal (NWIP) for Cloud data
protection controls. The proposed New Work Item is considered to be built based on the ISO/IEC
27000 series and is intended to establish commonly accepted data protection control objectives,
controls, and guidelines for implementing controls to meet the requirements identified by a risk
assessment. In particular, it will provide guidelines based on ISO/IEC 27001, taking also into
consideration the regulatory requirements for data protection which may be applicable within the
context of the organization's information security risk environment(s).
ISO/IEC JTC 1/SC 27/WG 5 also acknowledges receipt of the ITU-T Deliverable on "Cloud Security"
that will be studied in ITU-T with collaboration with related SDOs.
Le processus ISO, c’est quoi?
Exemple: cloud computing (suite)
En avril 2011, SC27 décide qu’il est opportun de produire une telle norme et de continuer l’étude d’opportunité sur les détails du projet
En octobre 2011, SC27 décide de proposer trois projets et désigne des éditeurs qui doivent préparer un premier avant-projet (preliminary working draft)
Les pays membres de SC27 doivent se prononcer par vote avant la prochaine rencontre
Si le vote est positif, le travail en comités commencera à la prochaine rencontre à l’étape préparatoire
Le processus ISO, c’est quoi?
24
Être membre de ISO, c’est quoi?
Être membre de ISO, c’est quoi?
Être invité en tant qu’expert par son organisme national
Au Canada c’est le Conseil canadien des normes
Participer aux rencontres nationales
4 rencontres par année à Ottawa (ou téléconférence)
Participer aux discussions en ligne nationales et internationales
Listes de courriels, forums, Skype
Lire et commenter des normes en rédaction
Être membre de ISO, c’est quoi?
Commentaire Proposition de changement
“Such identity-based decisions may concern access to applications or other resources.”Both “concern” and “access” are vague. Also access control ultimately applies to information or data.
Replace with “Such identity-based decisions may involve allowing or denying access to information or other resources.”
Proposition “which operate on behalf of individuals or organizations” applies only to information technology components.
Remove comma after “components”
Être membre de ISO, c’est quoi?
Être membre de ISO, c’est quoi?
Participer aux rencontres internationales
5 jours en octobre , 7 jours en avril/mai
L’hôte est un pays membredont la candidature est approuvée
Organisée par un comité de bénévoles qui doit:
• trouver des fonds (parrains, annonceurs) et• organiser la logistique (locaux, hébergement, transport,
pauses, réseau, électricité…)
Dernière au Canada: 2003 à Québec
Le CCN nous reconnaît comme délégué officiel du Canada
• sans statut diplomatique
Être membre de ISO, c’est quoi?
Être membre de ISO, c’est quoi?
Participer aux rencontres internationales
Coût: 20 jours d’absence + avion, hôtel, repas
Chaque délégué doit financer son voyage• de sa poche, ou• par son employeur, ou• par une association ou groupe d’intérêt
Le Canada ne fournit que l’assurance (vie, médicale, enlèvement) en voyage
Présence accrue et influence croissante des géants de l’industrie
• pas grave pour les normes sur les vis et les boulons• préoccupant pour les normes sur la sécurité et la PRP
Être membre de ISO, c’est quoi?
Les rencontres internationales sont essentielles
Ateliers de travail• On y façonne les normes en
discutant du contenu et des commentaires
Plénières de groupes de travail• On y valide les recommandations
des groupes de travail• On y prend les décisions pour le
contenu des normes
Plénières de SC27• On y approuve les recommandations des groupes de travail• On y prend les décisions pour la gestion du cycle de vie des
normes
Être membre de ISO, c’est quoi?
Les rencontres internationales sont essentielles
Rencontres de délégation• On y décide la stratégie nationale
Réseautage d’experts• On y retrouve un bagage
d’expertise impressionnant
Politique, conciliabules, magouilles• On prend plus de décisions dans
les corridors que dans les auditoriums
Un évènement social officiel• Qui détermine la réputation du pays hôte!• (et parfois, celle des délégués..)
Être membre de ISO, c’est quoi?
Être membre de ISO, c’est quoi?
Être membre de ISO, c’est quoi?
Défis et avantages
Être membre de ISO, c’est quoi?
Défis
Absences prolongées – il faut gérer le travail qui s’accumule, les perceptions
Inconfort – ex: 36 heures de vol, 12 heures de décalage
Problèmes logistiques – réservations, électricité, internet, volcans, tsunamis
Enjeux culturels – langue, coutumes, lois différentes
C’est un crime de photographier un soldat au Kenya
Risques pour la santé – eau, nourriture, maladies tropicales
Milieux hostiles – instabilité politique, économique et sociale
Être membre de ISO, c’est quoi?
Avantages
Réseautage avec des experts internationaux
Formation – vision élargie, expérience variéeÊtre sénior ne veut pas dire faire la même chose pendant 20 ans
Bonification du CV personnel et d’entreprise
Liens d’amitié avec des gens de provenances diverses
Voyages – occasion de sortir des sentiers battus
Économie – bonne occasion pour des vacances éloignées!
Pour la firme, c’est l’occasion d’être un acteur plutôt qu’un spectateur
démontrer qu’elle est prête à investir dans la croissance et la maturité du domaine
Être rédacteur d’une norme ISO, c’est quoi?
Être rédacteur d’une norme ISO, c’est quoi?
Rédiger le document
Le déposer avant l’échéance
Recevoir les commentaires
Traiter les commentaires
Présider les ateliers de travail
Intégrer les commentaires dans une nouvelle version du document
Recommencer pour chaque itération tous les 6 mois
200 à 300 heures par année
En conclusion
Les normes élaborées par le SC27 sont d’une importance croissante pour la sécurité de l’information
Elles sont de plus en plus reconnues dans l’industrie
Ces normes sont le résultat d’un consensus entre experts internationaux
Ces experts effectuent un travail énorme en coulisses
Pour le bien de tous, davantage de partenaires doivent s’impliquer dans le processus
top related