Vous êtes sur la page 1sur 23

Normes et sécurité de l'information autour de l’ISO 17799

Mars 2005

ISO 17799:2000 - Historique

ORIGINE

A l’origine de cette norme, on trouve la BS 7799, standard britannique développé il y a sept ou huit ans. C’est un document en deux parties :

BS 7799 Part 1 : Code of Practice for information security management, BS 7799 Part 2 : Specification for information security management.

L’ISO 17799, qui ne reprend que la partie 1 de la BS 7799, a été voté en 2000 à l'issue d'une procédure de fast track. Cette norme est en cours de révision pratiquement depuis cette date.

ISO 17799:2000 - Champ

CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT

Champ : L’information est un actif important qu’il convient de protéger de façon appropriée quelle que soit sa forme (écrite ou orale, électronique ou visuelle,…) ou son support.

La sécurité de l’information traite trois aspects :

Confidentialité : L’information n’est accessible que par ceux qui y sont autorisés. Intégrité : Pertinence et complétude des informations et des moyens de traitement. Disponibilité : Les utilisateurs autorisés ont accès aux informations et aux supports associés quand il le faut.

ISO 17799:2000 – Principes (1/2)

LES PRINCIPES (1)

Définir les exigences de sécurité : Trois sources Environnement légal, réglementaire et contractuel, Évaluation des risques, Références internes à l’entreprise. Choisir les références des contrôles :

Au plan législatif (droits d’auteur, traces, protection des données et informations nominatives). En tant que documents internes de bonne pratique (politique de sécurité, définition des responsabilités, plans de formation et de sensibilisation, recensement des incidents de sécurité, plans de continuité de l’activité). Dix chapitres de recommandations.

ISO 17799:2000 – Principes (2/2)

LES PRINCIPES (2)

Les facteurs critiques de réussite issus de l’expérience (BS 7799) :

La politique de sécurité, les objectifs et les activités doivent refléter les objectifs de l’entreprise. La mise en place de la sécurité doit respecter la culture de l’entreprise. Implication et soutien visibles de l’encadrement. Bonne compréhension des exigences de sécurité, de l’évaluation et de la gestion du risque. «Marketing» efficace de la sécurité à tout le personnel. Distribution à tous de guides sur la politique et les normes de sécurité. Mise en place d’une formation et d’une sensibilisation appropriées. Supervision complète et équilibrée de la sécurité.

ISO 17799:2000 – Chapitre 1

CH. 1 – POLITIQUE DE SÉCURITÉ

Document issu de la Direction de l’entreprise.

- Définition de la sécurité de l’information, de son champ, de ses objectifs et du besoin de sécurité pour permettre l’accès partagé à l’information.

- Une déclaration de la Direction soutenant buts et principes du projet.

- Définition des responsabilités générales et spécifiques.

CH. 2 - ORGANISATION DE LA SÉCURITÉ

Existence d’un «forum de gestion de la sécurité». (mise à jour de la politique de sécurité, évolution significative des risques et menaces, incidents de sécurité). Dans une grande entreprise, une structure transverse permet de coordonner les mesures de sécurité (analyse des risques, sensibilité de l'information, incidents…). Traitement de l'organisation concernant les accès de tiers à l'information ou la sous-traitance

ISO 17799:2000 – Chapitres 3, 4 et 5

CH. 3 – CLASSIFICATION ET CONTRÔLE

Recensement et imputabilité des actifs. Classification de l'information en terme de sensibilité et de criticité.

CH. 4 - SÉCURITÉ DU PERSONNEL

Introduction de la sécurité dans les descriptions de postes. Contrôles lors du recrutement ou de l'affectation à un poste. Clauses de confidentialité, de sécurité, formation et sensibilisation. Traitement des incidents.

CH. 5 – SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE

Domaines de sécurité et périmètre de sécurité (contrôles, conditions de travail, cas des livraisons ou des expéditions). Équipement de sécurité. Contrôles généraux (bureau net, destruction ou enlèvement de produits).

ISO 17799:2000 – Chapitres 6 et 7

CH. 6 – GESTION DES TÂCHES ET DES COMMUNICATIONS

Procédures et responsabilités associées. Protection contre les logiciels "malicieux" (virus, vers, chevaux de Troie). Back-up, traces, traitement des incidents. Gestion du réseau. Échanges d'informations ou de logiciels (dispositions contractuelles, transport, courrier électronique).

CH. 7 – CONTRÔLE D'ACCÈS

Politique de contrôle d'accès. Gestion des accès utilisateurs (enregistrement, habilitation, authentifiant). Responsabilités des utilisateurs. Contrôle de l'accès aux réseaux et services, aux systèmes d'exploitation et aux applications. Cas des mobiles et du télétravail. Gestion des systèmes de contrôle et réactivité (traces, analyses, risques).

ISO 17799:2000 – Chapitre 8

CH. 8 – DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES

Spécifications et analyse des exigences de sécurité. Sécurité des applications (validation des données entrantes et sortantes, authentification des messages, contrôles de fonctionnement et d’intégrité). Contrôles basés sur la cryptographie (chiffrement, signature, non-répudiation, gestion des clés). Sécurité des fichiers et des données système. Sécurité du développement et procédures de soutien (dont contrôles d’évolution, recherche des canaux cachés et des chevaux de Troie).

ISO 17799:2000 – Chapitres 9 et 10

CH. 9 – GESTION DE LA CONTINUITÉ

Procédures de gestion. Exigences et analyses d’impact. Élaboration et mise en place des plans de continuité. Tests et mises à jour des plans.

CH. 10 - CONFORMITÉ

Exigences légales et réglementaires (copyright, traces et valeur probante, informations nominatives, cryptologie). Compatibilité avec la politique de sécurité. Contrôle des audits et protection des outils associés.

ISO 17799 – Révision en cours

Nouveau document plus étoffé (de 86 pages à plus de 120).

Analyse plus complète et plus cohérente.

Décomposition de chaque élément référencé de la manière suivante :

Description de l’objectif, Contrôle(s) à mettre en place.

Pour chaque contrôle, on indique :

Ce qui doit être fait, Éléments d’implémentation, Informations complémentaires (aspects légaux ou réglementaires, autres normes de référence,…).

ISO 17799 – Révision en cours

Deux nouveaux chapitres :

Évaluation et traitement des risques (analyse et évaluation des risques, renvoi aux MICTS).

Gestion des incidents de sécurité de l’information (remontée d’événements, connaissance des vulnérabilités, gestion des incidents, et améliorations).

apprentissage

Nouvelle version en 2005. Stade actuel FDIS (Final Draft international Standard).

ISO 17799 et normes associées

ISMS (Information Security management System) prévu pour 2006. Le seul document de base actuellement retenu pour les travaux est la BS 7799-2. Approche PDCA (Plan, Do, Check, Act) issue des normes sur la qualité.

Compatibilité avec les normes ISO 9001 (qualité) et ISO 14001 (environnement).

Annexe A, normative, sur les objectifs et les contrôles. Le plan suivi est celui de l'ISO 17799:2000.

Annexe B, informative, sur l'utilisation de la norme.

Annexe C, informative, sur la correspondance entre BS 7799-2, ISO 9001 et ISO 14001.

ISMS (1/4)

ISMS (Information Security management System) prévu comme norme internationale pour 2006. Le seul document de base actuellement retenu pour les travaux est la BS 7799-2.

En introduction, il fait référence au modèle PDCA (Plan, Do Check, Act)issu de l'approche qualité et connu aussi sous le nom de Roue de Deming.

Le document est déclaré compatible avec l'ISO 9001 (qualité) et l'ISO 14001 (environnement).

Il décrit ensuite comment développer, mettre en œuvre, entretenir et améliorer un ISMS au sein d'une organisation.

ISMS (2/4)

Principes de base pour l'ISMS Définir le champ d'application, la politique de l'ISMS, choisir une méthode d'évaluation du risque. Identifier et estimer les risques. Déterminer des options pour le traitement des risques (accepter, éviter, transférer, traiter) et les évaluer. Sélectionner des objectifs de mesure de sécurité et des mesures de traitement des risques (Annexe A), préparer un Statement of Applicability (SoA). Définir et mettre en œuvre l'ISMS. Superviser et contrôler l'ISMS. Entretenir et améliorer l'ISMS. Nécessité d'une forte implication managériale tout au long du cycle de vie de l'ISMS.

ISMS (3/4)

Annexe A - Objectifs et mesures de sécurité

Le plan de cette annexe suit celui de la norme ISO 17799:2000 et chaque mesure renvoie à sa référence dans cette norme. Par exemple, A.4.1.2 a pour thème la coordination de la sécurité de l'information. La mesure proposée est "dans les grandes organisations , un forum transverse de représentants managériaux issus des entités pertinentes de l'organisation coordonnera la mise en place des mesures de sécurité de l'information". Il correspond à l'alinéa 4.1.2 de l'ISO 17799:2000. Chaque alinéa de l'ISO 17799:2000 correspond ainsi à une mesure dans la BS

7799-2.

Cela facilite l'identification et surtout l'audit de ces mesures. Toutefois, celles-ci sont surtout qualitatives.

ISMS (4/4)

Annexe B – Guide d'utilisation Description de l'approche PDCA (model, Plan and Do, Check and Act). Résumé des mesures dans un SoC (Summary of Controls), distinct du SoA. Résumé du contenu des différentes phases :

Plan : Contexte et champ de l'ISMS. Politique de sécurité de l'information, champ de l'ISMS, identification et évaluation des risques, plan de traitement des risques. Do : Mise en œuvre des mesures et gestion des risques. Allocation des ressources, formation et sensibilisation, traitement des risques. Check : Contrôle des mesures. Contrôles divers, auto-apprentissage, veille externe, audit interne, audit interne et managérial, analyse tendancielle. Act : Amélioration. Analyse de non-conformité, actions préventives et correctives, OCDE.

ISO 13335

ISO 13335 Issue des TR 13335 (prévu en 5 parties), l'ISO 13335 est une norme en 2 parties. Partie 1 : Concepts and models for information and communications technology security management (reprend les parties 1 et 2 des TR). Montre les différents types de politiques de sécurité et les aspects organisationnels dont l'ICT security forum et le CSO. Actuellement au stade de FDIS. Partie 2 : Techniques for information and communications technology security risk management (reprend les parties 3 et 4 des TR). Informations techniques sur les mesures de protection dans le domaine ICT. Tableaux de correspondance avec divers travaux de référence. Document en cours d'élaboration.

ISO 17799 – Normes associées

Principales normes ou projets de norme associés à l'ISO 17799 :

18028 (Parties 1 à 5) : IT Network Architecture (Network Security Management,

Network Security Architecture, Securing communications between networks using security gateways, Remote Access, Securing communications across networks using Virtual Private Networks).

15947

: Intrusion detection framework

18043

: Guidelines for the implementation, operation and management of

Intrusion Detection System.

18044 : Incident security management

Normes liées à l'évaluation

15408 : Evaluation criteria for IT Security (Introduction and general model, Security functional requirements, Security assurance requirements)

15443 : A framework for IT security assurance (Overview and framework,

Assurance methods, Analysis of assurance methods).

19790 : Security requirements for cryptographic modules

19791 : Security assessment for operational systems

19792 : A framework for security evaluation and testing of biometric

technology

CMM-SSE

21827 : System Security Engineering – Capability Maturity Model (SSE-CMM)

Norme initialement développée pour évaluer, sous l'angle de la qualité, la maturité de la sécurité dans les processus de développement de logiciels.

Elle permet de définir, toujours sous l'angle de la qualité, le niveau de maturité souhaitable pour la sécurité dans des processus informationnels.

Certification – Contexte (1/2)

La certification est en évolution. A l’origine, on trouve essentiellement une approche qualité et la vérification par un tiers de confiance de la conformité à un référentiel, lequel tiers certifie ensuite cette conformité.

Avec l’évaluation de type ISO 15408, on a évaluation par un tiers mais la certification est gouvernementale avec des schémas nationaux. L‘approche, le plus souvent produits, est longue et coûteuse.

Des accords de reconnaissance mutuelle ont été passés entre différents pays pour des schémas et des niveaux de certification prédéfinis ce qui limite les procédures de certification et les coûts associés. Toutefois, cela ne satisfait pas l'ensemble des besoins.

Certification – Contexte (2/2)

Les nouvelles normes font passer de la sécurité informatique à la sécurité de l’information et donc la responsabilité passe de la direction informatique à la direction générale (globalité, transversalité).

Elles posent aussi la question des « propriétaires » de l’information.

L’ISO 17799 fait apparaître un schéma (et une approche) voisin de la qualité et plusieurs pays ont bâti une approche de certification à partir de cette norme . Elle correspond à de nombreux besoins, en particulier sur la communication en matière de sécurité et peut se révéler suffisamment rapide et d’un coût modéré.

Enfin, la certification tend à pouvoir porter sur des produits, des systèmes, des organisations ou des individus.