Conseils en sécurité de l'information Maury Infosec ...

flippantmewlingΑσφάλεια

19 Ιουν 2012 (πριν από 5 χρόνια και 2 μήνες)

402 εμφανίσεις

©
Claude Maury
ISO 17799 –la norme de la
sécuritéde l'information
Maury Infosec
Conseils en sécuritéde l'information
Janvier 2006
©
Claude Maury
La sécuritéde l’information
L’information constitue le capital
intellectuel de chaque organisation.
C’est un élément important de l’activité
de l’organisation qui nécessite une
protection adéquate.
La norme ISO/CEI 17799
(International
Standard Organisation/Commission
Electronique Internationale)
établit des
lignes directrices et des principes
généraux dans la gestion de la
sécuritéde l’information
Elle a étéélaborée par le comité
technique ISO/TC JTC 1
Janvier 2006
©
Claude Maury
ISO/CEI 17799:2005
La norme ISO/CEI 17799:2005 a étépubliée en juin 2005
C’est un code de bonne pratique (référentiel) pour la
gestion de la sécuritéde l’information
Nouvelle numérotation en 2007: ISO/CEI 27002:2005
Cette norme contient 15 articles (chapitres):
Les 4 premiers chapitres définissent le cadre de la norme
Les 11 chapitres suivants composés de 39 rubriques et 133 mesures
définissent les objectifs de sécuritéet les mesures àprendre
Sites web:
www.iso-17799.com
www.iso17799software.com
www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS
1=35&ICS2=40&ICS3=(pour l’achat de la norme 200.-CHF)
Janvier 2006
©
Claude Maury
Périmètre couvert par la norme
ACTIFS D'INFORMATION
Bases et fichiers de données,
Méthodes de fabrication,
Procédures d'exploitation,
Manuels utilisateurs,
Archives,
etc…
ACTIFS D'INFORMATION
Bases et fichiers de données,
Méthodes de fabrication,
Procédures d'exploitation,
Manuels utilisateurs,
Archives,
etc…
ACTIFS PHYSIQUES
Salle informatique,
Serveurs, PC, imprimantes,
scanner, etc..
Portables,
Réseaux locaux, PABX,
etc…
ACTIFS PHYSIQUES
Salle informatique,
Serveurs, PC, imprimantes,
scanner, etc..
Portables,
Réseaux locaux, PABX,
etc…
ACTIFS APPLICATIFS
Systèmes d'exploitation,
Applications de métier,
Progiciels et logiciels,
Utilitaires,
Outils de développement,
etc…
ACTIFS APPLICATIFS
Systèmes d'exploitation,
Applications de métier,
Progiciels et logiciels,
Utilitaires,
Outils de développement,
etc…
FOURNITURES DE SERVICES
Services informatiques
Services de communication
Services généraux (alimentation
électrique, climatisation, etc..)
etc….
FOURNITURES DE SERVICES
Services informatiques
Services de communication
Services généraux (alimentation
électrique, climatisation, etc..)
etc….
L'information qu'elle soit sous forme écrite,
parlée, imagée, enregistrée, transmise, etc..
Janvier 2006
©
Claude Maury
ISO/CEI 17799:2005 n'est pas:
Une norme technique orientée produit ou logiciel.
Une méthode d'analyse et de gestion de risques, de
classification de l'information et des actifs, etc.
Une méthode est un moyen d'arriver efficacement àun objectif et un
résultat défini, c'est un outil utilisépour satisfaire une norme.
Un ISMS (Information Security Management System),système
de gestion de la sécuritéde l’information.
Une certification ISO de la sécuritéde l'information.
La norme «ISO/CEI 27001:2005 spécifications pour un ISMS»permet la
certification, elle utilise la norme ISO/CEI 17799:2005 comme référentiel.
Janvier 2006
©
Claude Maury
Domaine d'application
La norme ISO 17799 fournit des recommandationssur la
gestion de la sécuritéde l'information. C'est un référentiel
pour l'élaboration des normes de sécuritédes organisations
et une méthode de gestion efficace de la sécurité.
La norme ISO 17999 s'adresse aux responsables de la mise
en œuvre ou du maintien de la sécuritéde l'information.
Les recommandationsde cette norme sont àsélectionner et
àappliquer selon les besoins du métier et des affaires de
l’organisation et conformément aux lois et règlements en
vigueur.

Equivalence USA: NIST handbook–Introduction to
computer security
http://www.csrc.nist.gov/publications/nistpubs/
Janvier 2006
©
Claude Maury
Définition de la sécuritéde l’information
La sécuritéde l'information, c'est la préservation de:
La Confidentialité

Le fait que l'information n'est accessible qu'aux personnes qui sont
autorisées àl'accéder.
L’Intégrité

C'est la protection de l'exactitude et de l'intégritéde l'information et des
méthodes de traitement.
La Disponibilité

Le fait que les utilisateurs autorisés ont un accès sécuriséàl'information et
ses ressources associées.
La Traçabilité

La définition est donnée dans la norme ISO 8402 : Aptitude àretrouver
l’historique, l’utilisation ou la localisation d’un produit ou d’un processus de
délivrance d’un service au moyen d’identifications enregistrées.
Janvier 2006
©
Claude Maury
Articles
La norme contient 11 articles.
Ces 11 articles sont numérotés par les chapitres 5 à15 de la norme
N°Articles (chapitres) ISO/CEI 17799:2005
Nbre
objectifs de
sécurité
Nbre
mesures
5Politique de sécurité12
6Organisation de la sécurité de l’information211
7Gestion des biens25
8Sécurité liée aux ressources humaines39
9Sécurité physique et environnementale213
10Gestion de l’exploitation et des télécommunications1032
11Contrôle d’accès725
12Acquisition, développement et maintenance des systèmes d’information616
13Gestion des incidents liés à la sécurité de l’information25
14Continuité de l’activité15
15Conformité310
Janvier 2006
©
Claude Maury
Rubriques
Les 11 articles (chapitres) contiennent:
39 rubriques de sécuritéqui sont structurées de la façon
suivante:
Un objectif de sécuritéidentifiant le but àatteindre
Une ou plusieurs mesure(s) pouvant être appliquée en vue
d’atteindre l’objectif de sécurité
133 mesures contenues dans les 39 rubriques qui sont
structurées de la façon suivante:
Mesure:spécifie la mesure adaptée àl’objectif de sécurité
Préconisation de mise en œuvre:propose des informations détaillées
pour mettre en œuvre la mesure
Information supplémentaires:présente des compléments
d’information àconsidérer
Janvier 2006
©
Claude Maury
Exemple de structure de la norme
Objectif de sécurité
Mesure
Janvier 2006
©
Claude Maury
Critères de succès
Une bonne compréhension et évaluation des risques encourus
Une mise en œuvre qui soit compatible avec la culture de
l'entreprise
Un soutien et un engagement visible de la direction
Des compétences et des moyens pour mettre en œuvre la
politique et les processus de sécurité
Une présentation et une formation appropriée de la sécuritéà
tous les responsables et employés de l'organisation
L'accès pour tous les employés aux normes et directives de
sécuritéde l'information
Janvier 2006
©
Claude Maury
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
chap 5
chap 6
chap 7
chap 8
chap 9
chap 10chap 11
chap 12
chap 13
chap 14
chap 15
ISO 17799:2005
Mesures existantes et prévues
Mesures existantes
Audit de situation
Interview d’~ 540 questions
basées sur les 11 chapitres de
la norme
Pas de tests «in situ»
Ce n’est pas un jugement de
valeur ou de compétences
Donne une «photo»de l’état
actuel de la SSI par rapport à
la norme
Janvier 2006
©
Claude Maury
Barrières
Résistance humaine
Atteinte àla liberté(cyberflics)
Frein au business
Moyens financier et humain
Culture de l’entreprise
Culture du pays
Us et coutumes, lois différentes
Besoins du business
Moyens coercitifs àdisposition
Qui peut obliger?
Coupes budgétaire
Janvier 2006
©
Claude Maury
Quelques liens intéressants
http://www.quesaco.org/process.php?targt=question_securite
Questionnaire du risque en français
http://www.humanfirewall.org
The securitymanagement index