Académique Documents
Professionnel Documents
Culture Documents
Solucom - ISO 27002 - Étude de La Nouvelle Norme 2013 - VF
Solucom - ISO 27002 - Étude de La Nouvelle Norme 2013 - VF
Scurit de la documentation systme Il convient de protger la documentation systme contre les accs non autoriss. Fuite dinformations Toute possibilit de fuite dinformations doit tre empche. Systme dautorisation concernant les moyens de traitement de linformation Il convient de dfinir et de mettre en uvre un systme de gestion des autorisations pour chaque nouveau moyen de traitement de linformation Mesures contre le code mobile Lorsque lutilisation de code mobile est autorise, la configuration doit garantir que le code mobile fonctionne selon une politique de scurit clairement dfinie et tout code mobile non autoris doit tre bloqu.
Avant / aprs
tude mene sur la version REVISED text for FDIS 27002
Le chapitre Information system acquisition, development and maintenance est scind en 2 pour mieux mettre en vidence la sujet de la cryptographie
Cryptography
Le chapitre Communications and Operations Management est coup en 3 chapitres, clarifiant les primtres de responsabilits dacteurs bien distincts
Operations security
Communications security
Supplier relationships
27002:2005
Responsibility for assets
Objective: To achieve and maintain appropriate protection of organizational assets. All assets should be accounted for and have a nominated owner. Owners should be identified for all assets and the responsibility for the maintenance of appropriate controls should be assigned. The implementation of specific controls may be delegated by the owner as appropriate but the owner remains responsible for the proper protection of the assets..
27002:2013
There should be controls to safeguard operational systems and audit tools during information systems audits.
Protection is also required to safeguard the integrity and prevent misuse of audit tools.
27002:2005
27002:2013
Learning from information security incidents Rduction des contraintes lies la mesure : les paramtres analyser lors dun incident de scurit ne sont pas spcifis
There should be mechanisms in place to enable the types, volumes, and costs of information security incidents to be quantified and monitored. Knowledge gained from analysing and resolving information security incidents should be used to reduce the likelihood or impact of future incidents.
Secure log-on procedures Modification du primtre de la mesure : la scurisation des accs est cadre par la politique de contrle des accs
Access to operating systems should be controlled by a secure logon procedure. Where required by the access control policy, access to systems and applications should be controlled by a secure log-on procedure.
Et sur le fond ?
14
suppression de lobjectif correct processing in applications (validation des donnes en entre et en sortie, intgrit des messages, etc.)
Les mesures font un focus sur les applications sensibles: sur les rseaux publics et grant des transactions Les bonnes pratiques de scurit applicative sont renforces Le sujet de la gestion des donnes de tests est abord dans ce chapitre et non plus dans operations et communication management
Scurit applicative
Secure system engineering principles
Outsourced developement
Et sur le fond ?
Objective: Information security continuity should be embedded in the organizations business continuity management systems
Planning
17
Un objectif de scurit complmentaire redundancies concerne la disponibilit des information processing facilities
Une unique mesure demande de mettre en place de la redondance des composants ou des architectures pour rpondre aux exigences de disponibilit
Une note indique que les informations sur le business continuity management sont disponibles dans les normes ISO 22301, 27301, 22313
Implementing
10
Et sur le fond ?
Access control
Le chapitre se concentre sur la gestion des accs des utilisateurs et sur laccs aux applications et aux systmes
Objective: to ensure authorized user access and to prevent unauthorized access to systems and services
User registration and de-registration Removal or adjustment of access rights Review of user access rights User access provisioning Management of secret authentication information of users
Suppression du contrle daccs rseau Suppression du contrle daccs lOS Suppression du tltravail
25 14 mesures Le cycle de vie des habilitations est plus complet La gestion du mot de passe est largie la gestion des secret authentication Un focus spcifique est fait sur laccs au code source
11
Et sur le fond ?
Asset management
Tous les sujets relatifs la gestion des biens sont regroups au sein de ce chapitre, ce qui inclut :
Return of assets issu du chapitre human resource security Media handling issu du chapitre operations and communication management
16
Une phase de assessment of and decision on information security events pour dcider si les vnements sont considrs comme des incidents de scurit Une phase de traitement response to information security incidents
La phase dapprentissage suite lanalyse des incidents est assouplie : il nest plus ncessaire dvaluer le type, le volume et les cots des incidents
12
Et sur le fond ?
Communications Security
12
Operational procedures and responsibilities Protection from malware Back up Logging and monitoring
13
Celles issues du chapitre operation and communication management : network security management et exchange of information Celles issues du chapitre access control en ne conservant que la mesure segregation of networks
Control of operational software Technical vulnerability management Information systems audit considerations
Supplier relationships
Ce chapitre concentre toutes les mesures lies la gestion des fournisseurs, en remplaant la notion de third party par supplier Une nouvelle mesure est ajoute sur le report des exigences de scurit sur la chaine de sous-traitance La mesure sur identification of risks related to external parties a t supprime
15
13
Et sur le fond ?
Au lieu dune politique de scurit unique, la norme fait maintenant rfrence un ensemble de politiques plusieurs niveaux
Une Information security policy qui dcrit les objectifs et les principes de scurit Des topic-specific policies
Les sujets return of assets et removal of access rights sont maintenant traits respectivement dans les chapitres asset management et access control
Cryptography
Peu de modifications
10
Une prcision est apporte sur la gestion des cls tout au long du cycle de vie (gnration, stockage, archivage, etc.)
14
Et sur le fond ?
Compliance
Conservation de toutes les mesures, sauf de lobjectif information systems audits considerations , qui est repris dans le chapitre operation security
11
18
15
16
En synthse
Pas de rvolution, mais des volutions qui vont dans le bon sens
MAIS
17
system administrator and system operator activities should be logged and the logs protected and regularly reviewed 3 points de contrle en 1
Certaines mesures restent trop macroscopiques pour constituer des bonnes pratiques de scurit
networks should be managed and controlled to protect information in systems and applications groups of information services, users and information systems should be segregated on networks se dcline en nombreux sous-points
Durcissement des postes de travail / des terminaux Durcissement des socles Rseaux sans fil
18
Mme si ces sujets peuvent tre extrapols dans certaines mesures, pas de mentions explicites de : La surveillance / corrlation des vnements de scurit (logique SOC) La scurisation de ladministration (seulement la gestion des comptes privilge et les logs des actions des administrateurs) La scurisation des accs lentreprise, notamment depuis Internet Les dispositifs de raction en cas de cyber-attaques (logique CERT)
Les (r)volutions technologiques ne sont pas non plus explicitement prises en compte
La virtualisation nest pas traite explicitement Mme si on peut dcliner les mesures existantes dans un contexte virtualis Ex: mesures sur le cloisonnement, mesures sur la rsilience, etc. il manque peut-tre une mesure sur la dfinition des rgles de scurit dans un contexte virtualis Le cloud nest pas trait explicitement Mme si le sujet peut tre vu dans le chapitre supplier relationships
19
Plus global : traite les aspects dorganisation et de gouvernance, et de toutes les thmatiques scurit Ne traite pas de certaines mesures techniques assez prcises : scurisation des quipements terminaux, protection vis-vis dInternet, surveillance
Plus en lien avec limplmentation des mesures un instant T Ne traite pas des aspects de prise en compte de la scurit dans les projets (pas de logique damlioration lie la scurisation des projets)
20
21
Pour les certifications existantes, la migration vers ce nouveau rfrentiel devrait avoir un impact limit
Beaucoup de mesures restent identiques ou proches La norme ISO 27001:2013 incite complter la DDA avec des mesures complmentaires, ce qui permet de conserver les anciennes mesures si ncessaire Nanmoins, une mise jour de la DDA sera ncessaire
Le plus gros des efforts devrait porter sur le volet prise en compte de la scurit dans les projets et les dveloppements
et finalement, a tombe bien puisque a reste souvent le point noir des SMSI qui sont dj matures
22
Dmarche prenne
Sa stabilit dans le temps et son caractre indpendant des technologies en font un outil utile dans la dure
23
www.solucom.fr