ISO 17799 - Introduction by NabilFullislam

VIEWS: 31 PAGES: 14

More Info
									ISO 17799 – la norme de la
 sécurité de l'information
               Maury Infosec
    Conseils en sécurité de l'information




                  © Claude Maury
                  La sécurité de l’information

   L’information constitue le capital
   intellectuel de chaque organisation.
          C’est un élément important de l’activité
          de l’organisation qui nécessite une
          protection adéquate.

   La norme ISO/CEI 17799 (International
   Standard Organisation/Commission
                           établit des
   Electronique Internationale)
   lignes directrices et des principes
   généraux dans la gestion de la
   sécurité de l’information
          Elle a été élaborée par le comité
          technique ISO/TC JTC 1




Janvier 2006                                  © Claude Maury
                        ISO/CEI 17799:2005

   La norme ISO/CEI 17799:2005 a été publiée en juin 2005
   C’est un code de bonne pratique (référentiel) pour la
   gestion de la sécurité de l’information
   Nouvelle numérotation en 2007: ISO/CEI 27002:2005
   Cette norme contient 15 articles (chapitres):
          Les 4 premiers chapitres définissent le cadre de la norme
          Les 11 chapitres suivants composés de 39 rubriques et 133 mesures
          définissent les objectifs de sécurité et les mesures à prendre

   Sites web:
          www.iso-17799.com
          www.iso17799software.com
          www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS
          1=35&ICS2=40&ICS3= (pour l’achat de la norme 200.-CHF)
Janvier 2006                           © Claude Maury
                Périmètre couvert par la norme

               L'information qu'elle soit sous forme écrite,
               parlée, imagée, enregistrée, transmise, etc..
               ACTIFS D'INFORMATION                        ACTIFS PHYSIQUES
                 ACTIFS D'INFORMATION
               Bases et fichiers de données,                 ACTIFS PHYSIQUES
                                                           Salle informatique,
                 Bases et fichiers de données,
               Méthodes de fabrication,                      Salle informatique,
                                                           Serveurs, PC, imprimantes,
                 Méthodes d'exploitation,
               Procédures de fabrication,                    Serveurs, PC,
                                                           scanner, etc.. imprimantes,
                 Procédures d'exploitation,
               Manuels utilisateurs,                         scanner,
                                                           Portables, etc..
                 Manuels
               Archives, utilisateurs,                       Portables,
                                                           Réseaux locaux, PABX,
                 Archives,
               etc…                                          Réseaux locaux, PABX,
                                                           etc…
                 etc…                                        etc…


               ACTIFS APPLICATIFS                          FOURNITURES DE SERVICES
                 ACTIFS d'exploitation,
               Systèmes APPLICATIFS                          FOURNITURES DE
                                                           Services informatiquesSERVICES
                 Systèmes de métier,
               Applicationsd'exploitation,                   Services informatiques
                                                           Services de communication
                 Applications de métier,
               Progiciels et logiciels,                      Services de communication
                                                           Services généraux (alimentation
                 Progiciels
               Utilitaires, et logiciels,                    Services climatisation, etc..)
                                                           électrique, généraux (alimentation
                 Utilitaires,
               Outils de développement,                      électrique, climatisation, etc..)
                                                           etc….
                 Outils
               etc… de développement,                        etc….
                 etc…


Janvier 2006                                     © Claude Maury
               ISO/CEI 17799:2005 n'est pas:

   Une norme technique orientée produit ou logiciel.
   Une méthode d'analyse et de gestion de risques, de
   classification de l'information et des actifs, etc.
          Une méthode est un moyen d'arriver efficacement à un objectif et un
          résultat défini, c'est un outil utilisé pour satisfaire une norme.

   Un ISMS (Information Security Management System), système
   de gestion de la sécurité de l’information.
   Une certification ISO de la sécurité de l'information.
          La norme « ISO/CEI 27001:2005 spécifications pour un ISMS » permet la
          certification, elle utilise la norme ISO/CEI 17799:2005 comme référentiel.




Janvier 2006                           © Claude Maury
                       Domaine d'application

    La norme ISO 17799 fournit des recommandations sur la
    gestion de la sécurité de l'information. C'est un référentiel
    pour l'élaboration des normes de sécurité des organisations
    et une méthode de gestion efficace de la sécurité.
    La norme ISO 17999 s'adresse aux responsables de la mise
    en œuvre ou du maintien de la sécurité de l'information.
    Les recommandations de cette norme sont à sélectionner et
    à appliquer selon les besoins du métier et des affaires de
    l’organisation et conformément aux lois et règlements en
    vigueur.
    Equivalence USA: NIST handbook – Introduction to
    computer security
           http://www.csrc.nist.gov/publications/nistpubs/


Janvier 2006                              © Claude Maury
  Définition de la sécurité de l’information

   La sécurité de l'information, c'est la préservation de:
         La Confidentialité
               Le fait que l'information n'est accessible qu'aux personnes qui sont
               autorisées à l'accéder.

         L’Intégrité
               C'est la protection de l'exactitude et de l'intégrité de l'information et des
               méthodes de traitement.

         La Disponibilité
               Le fait que les utilisateurs autorisés ont un accès sécurisé à l'information et
               ses ressources associées.

         La Traçabilité
               La définition est donnée dans la norme ISO 8402 : Aptitude à retrouver
               l’historique, l’utilisation ou la localisation d’un produit ou d’un processus de
               délivrance d’un service au moyen d’identifications enregistrées.


Janvier 2006                                 © Claude Maury
                                                        Articles

         La norme contient 11 articles.
                    Ces 11 articles sont numérotés par les chapitres 5 à 15 de la norme

                                                                                               Nbre
                                                                                                            Nbre
               N°                       Articles (chapitres) ISO/CEI 17799:2005             objectifs de
                                                                                                           mesures
                                                                                             sécurité
               5     Politique de sécurité                                                       1            2
               6     Organisation de la sécurité de l’information                                2           11
               7     Gestion des biens                                                           2           5
               8     Sécurité liée aux ressources humaines                                       3           9
               9     Sécurité physique et environnementale                                       2           13
               10    Gestion de l’exploitation et des télécommunications                        10           32
               11    Contrôle d’accès                                                            7           25
               12    Acquisition, développement et maintenance des systèmes d’information        6           16
               13    Gestion des incidents liés à la sécurité de l’information                   2            5
               14    Continuité de l’activité                                                    1            5
               15    Conformité                                                                  3           10




Janvier 2006                                                 © Claude Maury
                                  Rubriques

   Les 11 articles (chapitres) contiennent:
          39 rubriques de sécurité qui sont structurées de la façon
          suivante:
               Un objectif de sécurité identifiant le but à atteindre
               Une ou plusieurs mesure(s) pouvant être appliquée en vue
               d’atteindre l’objectif de sécurité

          133 mesures contenues dans les 39 rubriques qui sont
          structurées de la façon suivante:
               Mesure: spécifie la mesure adaptée à l’objectif de sécurité
               Préconisation de mise en œuvre: propose des informations détaillées
               pour mettre en œuvre la mesure
               Information supplémentaires: présente des compléments
               d’information à considérer


Janvier 2006                           © Claude Maury
               Exemple de structure de la norme

                                             Objectif de sécurité




                                                     Mesure




Janvier 2006                © Claude Maury
                   Critères de succès

     Une bonne compréhension et évaluation des risques encourus
     Une mise en œuvre qui soit compatible avec la culture de
     l'entreprise
     Un soutien et un engagement visible de la direction
     Des compétences et des moyens pour mettre en œuvre la
     politique et les processus de sécurité
     Une présentation et une formation appropriée de la sécurité à
     tous les responsables et employés de l'organisation
     L'accès pour tous les employés aux normes et directives de
     sécurité de l'information


Janvier 2006                  © Claude Maury
                      Audit de situation

   Interview d’~ 540 questions                                             chap 5

   basées sur les 11 chapitres de
                                                                        100%
                                                                         90%
                                                    chap 15                                        chap 6
                                                                         80%
   la norme                                                              70%
                                                                         60%
                                                                         50%

   Pas de tests « in situ »            chap 14                           40%
                                                                         30%
                                                                                                                chap 7


                                                                         20%

   Ce n’est pas un jugement de                                           10%
                                                                          0%

   valeur ou de compétences          chap 13                                                                         chap 8




   Donne une « photo » de l’état
   actuel de la SSI par rapport à          chap 12                                                          chap 9



   la norme                                                   chap 11                    chap 10



                                               ISO 17799:2005   Mesures existantes et prévues   Mesures existantes




Janvier 2006                     © Claude Maury
                                      Barrières

         Résistance humaine
               Atteinte à la liberté (cyberflics)
               Frein au business

         Moyens financier et humain
         Culture de l’entreprise
         Culture du pays
               Us et coutumes, lois différentes

         Besoins du business
         Moyens coercitifs à disposition
               Qui peut obliger?

         Coupes budgétaire

Janvier 2006                               © Claude Maury
                 Quelques liens intéressants

   http://www.quesaco.org/process.php?targt=question_securite
          Questionnaire du risque en français



   http://www.humanfirewall.org
          The security management index




Janvier 2006                                © Claude Maury

								
To top