bsides algiers - normes iso 2700x - badis remli
DESCRIPTION
TRANSCRIPT
Les normes ISO 2700X Une pierre angulaire pour la
sécurité de l’information…
Programme
• Introduction
• Un peu d’histoire
• Famille ISO/IEC 2700x
• Roue de Deming
• ISO 27000… ISO 27007
• Conclusion
2
Introduction Les normes partout et pour tous …
4
Les normes partout et pour tous …
• Référentiels pour notre activité professionnelle, mais aussi dans la vie personnelle.
• Dans les produits que nous consommons et les services dont nous bénéficions.
• Une aide non négligeable pour tout utilisateur
5
Norme et normalisation
La normalisation a pour objet de fournir des documents de référence, comportant des solutions à des problèmes techniques et commerciaux concernant les produits, biens et services qui se posent de façon répétée
Une norme désigne un état habituellement répandu ou moyen considéré le plus souvent comme une règle à suivre. C’est l’ensemble de caractéristiques décrivant un objet, un être, qui peut être virtuel ou non.
Norme et normalisation
• Types de normes :
Les normes de bases, de portée générale, de terminologie, d’essai, de produit, de processus, de service, d’interface ou encore portant sur des données.
• Catégories des normes :
« Normes internationales », les « Normes européennes », et les « Normes nationales »
• Doit être approuvée par un organisme reconnu.
6
Un peu d’histoire Les normes à travers le temps
Les normes à travers le temps
BSI (British Standard Institut)
1901
ASA (American Standard Association) 1928
AFNOR (Association Française de NORmalisation) 1926
ISA (International Standard Association) 1930
ISO (International Standard Organisation) 1946
Ex AESC
(American
Engineering
Standards
Committee)
1918
23 Fev 1947
International Standard Organisation
9
Cette organisation a pour missions : • L’élaboration de normes applicables; • La promotion du développement de la standardisation
et activités annexes. • Le développement des coopérations dans les sphères
des différentes activités.
A ce jour, face à la mondialisation des échanges, à l’évolution des besoin métiers et à la diversification des menaces, l’ISO demeure un des organismes de normalisation les plus avancés dans le domaine de la sécurité de l’information.
La Famille ISO 2700x Pour la sécurité de l’information
Quelques conventions …
• La dénomination officielle des normes est du type
« ISO/IEC numéro de la norme : année de dernière
version ».
• ISO/IEC (Commission Electrotechnique Internationale)
Ex: ISO/IEC 27001 : 2005
• On adoptera une appellation plus commune :
« ISO 27001 » et pour généraliser « ISO 2700x »
11
Où est la sécurité de l’information ?
• JTC 1 (Joint Technical Committee) : instance traitant spécifiquement le domaine des TI (Technologie de l’Information).
• JTC 1 est subdivisé en 17 SC (Sous Comités).
• JTC1/SC27 traite « IT Security Techniques » et est composé de 5 WG « Working Group ».
WG1 et les normes ISO 2700x
13
ISO 27000
Overview and
vocabulary ISO 27007
Auditor guidelines
ISO 27006
Accreditations bodies
ISO 27005
Risk management
ISO 27004
Measurment
ISO 27003
Implementation guidance
ISO 27002
Code of practice
ISO 27001
ISMS requirements
ISO 2700X
La roue de Deming Le cercle de base
Roue de Deming : Concept PDCA
15
P
D
C
A
Plan , Planifier
Do , Développer
Check, Contrôler
Act, Agir
(Adjust) (Ajuster)
Ce que l’on va faire
De faire ce que l’on a dit
De contrôler ce que l’on a fait
De corriger et d’améliorer dans le
temps
De la 27000 à la 27007 Toute une famille
ISO 27000
• Cette première norme définit les fondamentaux et le vocabulaire propres à la série.
• Elle rendit obsolète la première partie d’ISO 13335, traitant des concepts et modèles relatifs à la gestion de la sécurité des TI.
• A noter également que, suite aux résolutions d’une réunion plénière du SC27 tenue en Afrique du Sud (novembre 2006), il a été décidé de rendre disponible la norme ISO 27000 à titre gratuit.
17
ISO 27001 est …
• Une norme correspond à la révision de la norme BS 7799-2. Elle a été publiée en octobre 2005.
• Destinée à tout type de société
• Elle a pour but de décrire un objectif à atteindre et non la manière concrète d'y arriver,
• Est à la base de la certification d’un SMSI ( System Management Security of Information) à l’instar de ces homologues ISO 9001 pour la qualité et ISO 14001 pour l’environnement.
• Une norme élaborée pour fournir un modèle d'établissement, de mise en œuvre, de fonctionnement, de surveillance, de réexamen, de mise à jour et d'amélioration d'un SMSI.
18
ISO 27001
Plan
Etablir un SMSI
Act
Maintenir et améliorer le SMSI
Check
Controller et réviser le SMSI
Do
Implanter et exploiter le SMSI
19
•Définition du périmètre,
des enjeux, méthode
d’analyse de risques
•Mesures de sécurité à
mettre en place
•Plan de traitement de risque
•Sensibilisation et
communication
•Gestion des ressources
•Déployer les mesures de
sécurité
•Archivage des incidents
•Audits internes
•Révision de l’analyse de
risque
•Mesure de l’efficacité du
SMSI.
Actions correctives
Actions préventives
Actions d’amélioration
ISO 27002
• La norme ISO 27002 est un ensemble de 133 mesures (best practices), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un SMSI.
• Mesures sont issues de principes de sécurité.
• Principes sont regroupés en 11 domaines.
20
ISO 27002
21
Politique de
sécurité de
l’information Organisation
de la
sécurité
Gestion
des actifs
Sécurité
liée aux
RH
Sécurité
physique et
environ-
nementale
Contrôle
d’accès
Exploitation
et gestion
des com
Gestion de
la continuité
d’activité
Conformité Gestion
des
incidents
Acquisition
développement
et maintenance
des SI
• 11 domaines
• 39 principes de
sécurité
• 133 règles de
sécurité
ISO 27003
• La norme ISO 27003 a pour objectif de fournir un guide d’aide à l’implémentation des exigences d’un SMSI.
• Cette norme est plus particulièrement orientée sur l’utilisation du cycle PDCA.
• Elle définit les différentes exigences requises à chaque étape du cycle notamment de la phase de cadrage au déploiement du SMSI.
22
ISO 27004
• Cette norme a pour but d’aider les organisations à mesurer et à rapporter l’efficacité de l’implémentation de leur SGSI.
• Guidelines pour mettre en place des indicateurs d’efficacité et de niveau de sécurité : Dashboard (Tableau de bord de la sécurité des SI)
• Méthode de la mesure
• Mesures de base
• Indicateurs
• Critères de décision
• Résultats de mesure
23
ISO 27005
• Comment conduire l'appréciation des risques et le traitement des risques.
24
Traitement
du
risque
Etablissement
du contexte
Surveillance
et réexamen
du risque
Acceptation
du risque
Appréciation
des
risques
Communica-
tion du
risque
ISO 27005
25
Utilisable de manière autonome.
Pour entreprise soumise à de fréquents
changements
Méthodologies d’analyse de risque conforme à
l’ISO 27005 (MEHARI, EBIOS).
ISO 27006 & ISO 27007
• L’ISO 27006 a pour but de de fournir les pré-requis pour les organismes d'audit et de certification afin de les guider sur les exigences nécessaires à atteindre pour être accrédités en tant qu’organisme de certification d’un SMSI.
• L’ ISO 27007 propose les lignes directrices composant un guide spécifique pour les audits d’SMSI , notamment en support à l’ISO 27006.
26
Conclusion
• Sans véritable soutien à partir du haut un échec
• Sans mise en œuvre correcte - un fardeau
• Avec un support complet, la mise en œuvre correcte et engagement continu - un avantage majeur
27
28 http://w
ww
.iso27001cert
ific
ate
s.c
om
/
MERCI [email protected]
« Le monde revient toujours à la norme. Le problème est de savoir à la norme de qui. »
D’après Stanislaw Jerzy Lec (philosophe polonais)