Get documents about "ISO 17799 - Introduction
Description
Les Guides de pr�paration sont con�us pour aider les formateurs � �laborer des cours et du mat�riel didactique qui r�pondent aux exigences d’EXIN. L’objectif principal du Guide de pr�paration est d’identifier les th�mes, exigences et sp�cifications de l’examen, ainsi que le public vis�, afin d’appuyer le d�veloppement de nouveaux cours de qualit�. La s�curit� de l’information ne cesse de gagner en importance. La mondialisation de l’�conomie entra�ne un �change croissant d’informations entre les organisations (leurs employ�s, clients et fournisseurs) et une augmentation de l’utilisation des r�seaux, tels que les r�seaux internes des soci�t�s, de leur connexion aux r�seaux d’autres soci�t�s et � Internet. Dans le module � Information Security Foundation bas� sur la norme ISO/IEC 27002 �, les concepts de base de la s�curit� de l’information et leurs relations sont test�s. Cette connaissance �l�mentaire contribue � reconna�tre que l’information est vuln�rable et que des mesures sont n�cessaires pour la prot�ger.
Document Sample
ISO 17799 – la norme de la
sécurité de l'information
Maury Infosec
Conseils en sécurité de l'information
© Claude Maury
La sécurité de l’information
L’information constitue le capital
intellectuel de chaque organisation.
C’est un élément important de l’activité
de l’organisation qui nécessite une
protection adéquate.
La norme ISO/CEI 17799 (International
Standard Organisation/Commission
établit des
Electronique Internationale)
lignes directrices et des principes
généraux dans la gestion de la
sécurité de l’information
Elle a été élaborée par le comité
technique ISO/TC JTC 1
Janvier 2006 © Claude Maury
ISO/CEI 17799:2005
La norme ISO/CEI 17799:2005 a été publiée en juin 2005
C’est un code de bonne pratique (référentiel) pour la
gestion de la sécurité de l’information
Nouvelle numérotation en 2007: ISO/CEI 27002:2005
Cette norme contient 15 articles (chapitres):
Les 4 premiers chapitres définissent le cadre de la norme
Les 11 chapitres suivants composés de 39 rubriques et 133 mesures
définissent les objectifs de sécurité et les mesures à prendre
Sites web:
www.iso-17799.com
www.iso17799software.com
www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS
1=35&ICS2=40&ICS3= (pour l’achat de la norme 200.-CHF)
Janvier 2006 © Claude Maury
Périmètre couvert par la norme
L'information qu'elle soit sous forme écrite,
parlée, imagée, enregistrée, transmise, etc..
ACTIFS D'INFORMATION ACTIFS PHYSIQUES
ACTIFS D'INFORMATION
Bases et fichiers de données, ACTIFS PHYSIQUES
Salle informatique,
Bases et fichiers de données,
Méthodes de fabrication, Salle informatique,
Serveurs, PC, imprimantes,
Méthodes d'exploitation,
Procédures de fabrication, Serveurs, PC,
scanner, etc.. imprimantes,
Procédures d'exploitation,
Manuels utilisateurs, scanner,
Portables, etc..
Manuels
Archives, utilisateurs, Portables,
Réseaux locaux, PABX,
Archives,
etc… Réseaux locaux, PABX,
etc…
etc… etc…
ACTIFS APPLICATIFS FOURNITURES DE SERVICES
ACTIFS d'exploitation,
Systèmes APPLICATIFS FOURNITURES DE
Services informatiquesSERVICES
Systèmes de métier,
Applicationsd'exploitation, Services informatiques
Services de communication
Applications de métier,
Progiciels et logiciels, Services de communication
Services généraux (alimentation
Progiciels
Utilitaires, et logiciels, Services climatisation, etc..)
électrique, généraux (alimentation
Utilitaires,
Outils de développement, électrique, climatisation, etc..)
etc….
Outils
etc… de développement, etc….
etc…
Janvier 2006 © Claude Maury
ISO/CEI 17799:2005 n'est pas:
Une norme technique orientée produit ou logiciel.
Une méthode d'analyse et de gestion de risques, de
classification de l'information et des actifs, etc.
Une méthode est un moyen d'arriver efficacement à un objectif et un
résultat défini, c'est un outil utilisé pour satisfaire une norme.
Un ISMS (Information Security Management System), système
de gestion de la sécurité de l’information.
Une certification ISO de la sécurité de l'information.
La norme « ISO/CEI 27001:2005 spécifications pour un ISMS » permet la
certification, elle utilise la norme ISO/CEI 17799:2005 comme référentiel.
Janvier 2006 © Claude Maury
Domaine d'application
La norme ISO 17799 fournit des recommandations sur la
gestion de la sécurité de l'information. C'est un référentiel
pour l'élaboration des normes de sécurité des organisations
et une méthode de gestion efficace de la sécurité.
La norme ISO 17999 s'adresse aux responsables de la mise
en œuvre ou du maintien de la sécurité de l'information.
Les recommandations de cette norme sont à sélectionner et
à appliquer selon les besoins du métier et des affaires de
l’organisation et conformément aux lois et règlements en
vigueur.
Equivalence USA: NIST handbook – Introduction to
computer security
http://www.csrc.nist.gov/publications/nistpubs/
Janvier 2006 © Claude Maury
Définition de la sécurité de l’information
La sécurité de l'information, c'est la préservation de:
La Confidentialité
Le fait que l'information n'est accessible qu'aux personnes qui sont
autorisées à l'accéder.
L’Intégrité
C'est la protection de l'exactitude et de l'intégrité de l'information et des
méthodes de traitement.
La Disponibilité
Le fait que les utilisateurs autorisés ont un accès sécurisé à l'information et
ses ressources associées.
La Traçabilité
La définition est donnée dans la norme ISO 8402 : Aptitude à retrouver
l’historique, l’utilisation ou la localisation d’un produit ou d’un processus de
délivrance d’un service au moyen d’identifications enregistrées.
Janvier 2006 © Claude Maury
Articles
La norme contient 11 articles.
Ces 11 articles sont numérotés par les chapitres 5 à 15 de la norme
Nbre
Nbre
N° Articles (chapitres) ISO/CEI 17799:2005 objectifs de
mesures
sécurité
5 Politique de sécurité 1 2
6 Organisation de la sécurité de l’information 2 11
7 Gestion des biens 2 5
8 Sécurité liée aux ressources humaines 3 9
9 Sécurité physique et environnementale 2 13
10 Gestion de l’exploitation et des télécommunications 10 32
11 Contrôle d’accès 7 25
12 Acquisition, développement et maintenance des systèmes d’information 6 16
13 Gestion des incidents liés à la sécurité de l’information 2 5
14 Continuité de l’activité 1 5
15 Conformité 3 10
Janvier 2006 © Claude Maury
Rubriques
Les 11 articles (chapitres) contiennent:
39 rubriques de sécurité qui sont structurées de la façon
suivante:
Un objectif de sécurité identifiant le but à atteindre
Une ou plusieurs mesure(s) pouvant être appliquée en vue
d’atteindre l’objectif de sécurité
133 mesures contenues dans les 39 rubriques qui sont
structurées de la façon suivante:
Mesure: spécifie la mesure adaptée à l’objectif de sécurité
Préconisation de mise en œuvre: propose des informations détaillées
pour mettre en œuvre la mesure
Information supplémentaires: présente des compléments
d’information à considérer
Janvier 2006 © Claude Maury
Exemple de structure de la norme
Objectif de sécurité
Mesure
Janvier 2006 © Claude Maury
Critères de succès
Une bonne compréhension et évaluation des risques encourus
Une mise en œuvre qui soit compatible avec la culture de
l'entreprise
Un soutien et un engagement visible de la direction
Des compétences et des moyens pour mettre en œuvre la
politique et les processus de sécurité
Une présentation et une formation appropriée de la sécurité à
tous les responsables et employés de l'organisation
L'accès pour tous les employés aux normes et directives de
sécurité de l'information
Janvier 2006 © Claude Maury
Audit de situation
Interview d’~ 540 questions chap 5
basées sur les 11 chapitres de
100%
90%
chap 15 chap 6
80%
la norme 70%
60%
50%
Pas de tests « in situ » chap 14 40%
30%
chap 7
20%
Ce n’est pas un jugement de 10%
0%
valeur ou de compétences chap 13 chap 8
Donne une « photo » de l’état
actuel de la SSI par rapport à chap 12 chap 9
la norme chap 11 chap 10
ISO 17799:2005 Mesures existantes et prévues Mesures existantes
Janvier 2006 © Claude Maury
Barrières
Résistance humaine
Atteinte à la liberté (cyberflics)
Frein au business
Moyens financier et humain
Culture de l’entreprise
Culture du pays
Us et coutumes, lois différentes
Besoins du business
Moyens coercitifs à disposition
Qui peut obliger?
Coupes budgétaire
Janvier 2006 © Claude Maury
Quelques liens intéressants
http://www.quesaco.org/process.php?targt=question_securite
Questionnaire du risque en français
http://www.humanfirewall.org
The security management index
Janvier 2006 © Claude Maury
