Emiae Intro27001

HERV SCHAUER CONSULTANTS
Cabinet de Consultants en Scurit Informatique depuis 1989 Spcialis sur Unix, Windows, TCP/IP et Internet
Introduction l'ISO 27001

Sminaire sur la Scurit Informatique Casablanca, 1 novembre 2006 L'EMIAE Alexandre Fernandez Herv Schauer
Sommaire
Systme de management Scurit de l'information Systme de management de la scurit de l'information : SMSI Ensemble des normes ISO 27000 Historique ISO 27001 ISO 27002 (anciennement ISO 17799) ISO 27001 par rapport ISO 27002 Usages des normes
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite
2 / 35
Systme de management
Dfinition formelle de lISO 9000
Cest un systme permettant :
Dtablir une politique Dtablir des objectifs Datteindre ces objectifs
1/6
Situation actuelle
Politique
Objectifs
3 / 35
Dfinition plus empirique
Ensemble de mesures
Organisationnelles Techniques
2/6
Permettant
Datteindre un objectif Une fois atteint, dy rester dans la dure
Mesures techniques
Situation actuelle
Politique
Mesures organisationnelles
Objectifs
4 / 35
Organisation Systme de Management
3/6
Parties prenantes
Parties prenantes
Planification
Plan
Exigences Satisfaction
Action
Do
Correction
Act
Vrification
Check
5 / 35
Proprits des systmes de management
Couvrent un large spectre de mtiers et de comptences Concernent tout le monde
De la direction gnrale Jusquen bas de lchelle
4/6
Se basent sur des rfrentiels prcis

Importance du document crit
Sont auditables
Quelquun peut venir vrifier quil ny a pas dcart entre le systme de management et les rfrentiels
6 / 35
Particularits du travail sur un systme de management
Travail transversal Tout le monde est concern
De la direction gnrale A laccueil
5/6
Importance de lcrit
Passage de la tradition orale la tradition crite Dans certains cas, un effort culturel important
Peuvent tre audits

Les processus seront constamment valus
7 / 35
Apports dun systme de management
Oblige adopter de bonnes pratiques Augmente donc la fiabilit de lorganisme dans la dure
De faon prenne
6/6
Comme un systme de management est auditable

Il apporte la confiance aux parties prenantes
Qui dit confiance dit business
8 / 35
Scurit de l'information
Scurit de linformation (information security) (IS 27001 3.4)
Confidentialit (confidentiality) Intgrit (integrity) Disponibilit (availability)
Authenticit (authenticity) = authentification + intgrit Imputabilit, auditabilit, traabilit (accountability) Non rpudiation (non-repudiation) Etc.
9 / 35
SMSI
SMSI (IS 27001 3.7)
Systme de Management de la Scurit de lInformation
SGSI
Systme de Gestion de la Scurit de lInformation
SGSSI
Systme de Gestion de la Scurit des Systmes d'Information
ISMS (IS 27001 3.7)

Information Security Management System
10 / 35
Ensemble des normes ISO 27000

Exigences
usage obligatoire dans la certification 2005 2006
ISO 27001 SMSI
ISO 27006 Audit de SMSI
Vocabulaire
2005
ISO 27000
Guides
usage facultatif
2007
ISO 27002 (17799) ISO 27001 Mesures de scurit
Mesures de scurit
Analyse de risque
2007 ou 2008
ISO 27005
Mesures PCA Implmentation

11 / 35
ISO 27007
Mtrage & mtriques
ISO 27004
ISO 27003
Historique
1995 BS7799
Dix mesures cl 100 mesures dtailles, potentiellement applicables
1/2
1998 Ajout dune partie 2

Notion de SMSI Objectif : Crer un schma de certification
2000 ISO 17799: 2000

Correspond la BS7799-1 Pas de notion de SMSI Pas de certification possible
2002 BS7799-2: 2002

Seconde version de la BS 7799-2
12 / 35
Historique
Juin 2005 ISO 17799:2005
Nouvelle version de lISO 17799: 2000
2/2
Octobre 2005 ISO 27001:2005

Adoption par lISO de la BS 7799-2:2002 avec des amliorations Notion de SMSI Possibilit de certification
Fin 2006 / dbut 2007

ISO 27006 : audit de certification
Avril 2007 : ISO 27002

ISO 17799:2005 est renomme ISO 27002 Rentre dans la terminologie de la srie ISO 27000 sans changement
13 / 35
ISO 27001
4 chapitres introductifs : 0 3
6: Audits internes du SMSI
1/9
5 articles respecter : 4 8 Annexe A

Mesures de scurit dcrites dans ISO 27002
5: Engagement et responsabilit de la direction
4: SMSI PDCA
7: Rexamen du SMSI par la direction
8: Amlioration du SMSI
14 / 35
ISO 27001
Tout types d'organismes viss (IS 27001 1.1):
Socits commerciales Agences gouvernementales Associations, ONG
2/9
Indications de la norme gnriques (1.2):

Applicables tout type dorganisation indpendamment du
Type Taille Nature de l'activit
15 / 35
ISO 27001
Objectif gnral de la norme (1.1) :
Spcifier les exigences pour
Mettre en place Exploiter Amliorer
3/9
Un SMSI document
Spcifier les exigences pour la mise en place de mesures de scurit

Adaptes aux besoins de lorganisation Adquates Proportionnes
16 / 35
ISO 27001
Ceci doit fournir (1.1):
Une protection des actifs dinformation La confiance aux parties prenantes
4/9
Maintenir et amliorer (BS 7799-2:2002 1.1)

Prcision prsente dans la BS 7799-2:2002 mais a disparu dans l'ISO 27001:2005 Comptitivit Cash flow (cash flow) Profitabilit Respect de la rglementation Image de marque
17 / 35
ISO 27001
Attentes et exigences en terme de scurit Partenaires Fournisseurs Clients Pouvoirs publics Services
18 / 35
5/9 Scurit effective fournie Partenaires Fournisseurs

Correction
Act
Modle PDCA : Plan-Do-Check-Act
Planification
Plan
Action
Do
Clients Pouvoirs publics Services
Vrification
Check
ISO 27001
Phase PLAN
Primtre du SMSI (4.2.1.a) Politique de scurit et/ou politique du SMSI Identification et valuation des risques Plan de gestion des risques
(4.2.1.c) (4.2.1.b)
6/9
Mthodologie ou mthode choisie pour analyser les risques (4.2.1.d) (4.2.1.e) Traitement du risque (4.2.1.f)
Rduction du risque un niveau acceptable Acceptation des risques Transfert Refus ou vitement des risques
Objectifs de scurit et mesures de scurit

(4.2.1.j)
(4.2.1.g)
Dclaration d'applicabilit : DDA (Statement of applicability ou SoA)

19 / 35
ISO 27001
Phase DO
Allocation et gestion de ressources
Personnes, temps, argent
(4.2.2.a) (4.2.2.b) (4.2.2.g)
7/9
Rdaction de la documentation et des procdures Formation du personnel concern (4.2.2.e) Gestion du risque (4.2.2.a) (4.2.2.b)
Pour les risques rduire : Implmenter les mesures de scurit identifies dans la phase prcdente (4.2.2.c) Assignation des responsabilits (4.2.2.b) Identifier des risques rsiduels Pour les risques transfrs : assurance, sous-traitance, etc Pour les risques accepts et refuss : rien faire
20 / 35
ISO 27001
Phase CHECK
Vrification de routine (4.2.3.b) Apprendre des autres (4.2.3.b) Audit du SMSI (4.2.3.e)
Audits rguliers Sur la base de
Documents Traces ou enregistrements Tests techniques
8/9
Conduit
Constatation que les mesures de scurit ne rduisent pas de faon effective les risques pour lesquels elles ont t mises en place Identification de nouveaux risques non traits Tout autre type d'inadaptation de ce qui est mis en place
21 / 35
ISO 27001
Phase ACT
9/9
Prendre les mesures rsultant des constatations faites lors de la phase de vrification Actions possibles
Passage la phase de planification Si de nouveaux risques ont t identifis Passage la phase d'action Si la phase de vrification en montre le besoin Si constatation de non conformit Actions correctives ou prventives
22 / 35
ISO 27002
11 chapitres 39 objectifs de scurit (control objectives) 133 mesures de scurit (security controls)
5: Politique du SMSI 6: Scurit organisationelle 7: Classification et contrle des actifs 15 Conformit 8: Scurit du personnel 14: Gestion de la continuit 13: Gestion des incidents 12: Maintenance et dveloppement 9: Scurit physique et environnementale
1/7
10: Gestion des communications et de lexploitation
11: Contrle d'accs
23 / 35
ISO 27002
Anciennement ISO 17799
Renumrotation en avril 2007
2/7
Traductions et nouvelles normes utilisent dj la nouvelle numrotation
Vocabulaire
Control (IS 27002 2.2) Mesure de scurit "Contrle de scurit"
Ensemble des mesures de scurit pouvant tre appliqus

Description de la mesure Description de lindication de cette mesure
24 / 35
ISO 27002
Recommandations ou exigences en scurit
3/7
Reprennent les recommandations classiques des experts en scurit

Certaines mesures de scurit sont trs gnrales, d'autres trs prcises Certaines mesures sont applicables tout l'organisme, d'autres un serveur ou une application particulire Donnent des recommandations parfois trs larges pouvant inclure d'autres mesures de scurit
Slectionnes pour rduire un risque un niveau acceptable l'issue d'une analyse de risque
25 / 35
ISO 27002
Dfinition de la mesure de scurit pour satisfaire l'objectif de scurit Dtails afin d'aider l'implmentation de la mesure de scurit
Pas toujours applicables
4/7
Mesure de scurit
Guide d'implmentation
Explications complmentaires sur le guide d'implmentation

Aspects complmentaires Autres facteurs prendre en compte
26 / 35
Autres informations
ISO 27002
5/7
Pas de classement des mesures de scurit dans ISO 27002 Mesures de scurit classes dans ISO 27006 (A.4)
Organisationnelles Organisationnelles et techniques Techniques
Audit diffrent
27 / 35
ISO 27002
Mesures de scurit organisationnelles plutt dans :
5 : politique de scurit 6 : organisation de la scurit 7 : gestion des actifs 8 : ressources humaines 9 : scurit physique 13 : gestion des incidents 14 : gestion de la continuit d'activit 15 : conformit
6/7
Audites par : (IS 27006 A 4.2)

Revue de la documentation des processus, interviews, observation et inspection physique
28 / 35
ISO 27002
7/7
Mesures de scurit techniques ou en partie techniques plutt dans les chapitres :

10 : gestion de l'exploitation 11 : contrle d'accs 12 : acquisition, dveloppement et maintenance du systme d'information
Audites par :
(IS 27006 A 4.2)
Idem que les procdures organisationnelles Vrification par des tests rels sur les systmes :
Possibles Conseills Obligatoires
29 / 35
mesures de scurit tudier plus particulirement
ISO 27001 par rapport ISO 27002

ISO 27001 ISO 27002
(anciennement ISO 17799)
1/3
Articles
ou Clauses
ET
Mesures de scurit Controls

(Annexe A)
Description dtaille des mesures de scurit
30 / 35

ISO 27001
Traite des systmes de management Volumtrie
Nombre total de pages
33
2/3
ISO 27002 (ISO 17799)

Ne traite pas des systmes de management Volumtrie
Nombre total de pages
115
Articles Annexes
10 pages 23 pages
Notes prliminaires 6 pages Liste des mesures de scurit 109 pages
31 / 35

ISO 27001
Traite des systmes de management Modle PDCA Usage du verbe
SHALL
3/3
ISO 27002 (ISO 17799)

Ne traite pas des systmes de management Pas de modle PDCA Usage du verbe
SHOULD
Certification possible Application de tous les articles 4, 5, 6, 7 et 8 obligatoire (1.2)
Aucune obligation dapplication Pas de certification
32 / 35
Utilisation des normes

Pour les audits
ISO 27002 (ISO 17799) Les conclusions font rfrence la norme Espranto de la scurit
1/3
Pour les tableaux de bord

ISO 27002 (ISO 17799) Approche pragmatique
33 / 35
Utilisations des normes

Pour adopter les bonnes pratiques
ISO 27001 + ISO 27002
2/3
Constat objectif que vous adoptez les bonnes pratiques en matire de SSI Permet d'voluer, le moment venu, vers une certification Risque : non-conformit avec la norme
Pour donner une image de srieux aux partenaires

ISO 27001 Constat, extrieur et objectif que vous adoptez les bonnes pratiques en matire de SSI Permet d'voluer, le moment venu, vers une certification
34 / 35
Utilisation des normes

Pour tre certifi
ISO 27001 Constat impartial, objectif et officiel que "vous adoptez les bonnes pratique en matire de SSI" Engagement dans la dure
3/3
Questions ?
Herve.Schauer@hsc.fr www.hsc.fr
35 / 35

Emiae Intro27001

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Emiae Intro27001

Transféré par

Droits d'auteur :

Formats disponibles

HERV SCHAUER CONSULTANTS

Introduction l'ISO 27001

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Se basent sur des rfrentiels prcis

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Peuvent tre audits

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Comme un systme de management est auditable

Qui dit confiance dit business

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

ISMS (IS 27001 3.7)

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Ensemble des normes ISO 27000

ISO 27001 SMSI

ISO 27006 Audit de SMSI

ISO 27002 (17799) ISO 27001 Mesures de scurit

Mesures PCA Implmentation

Mtrage & mtriques

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

1998 Ajout dune partie 2

2000 ISO 17799: 2000

2002 BS7799-2: 2002

Octobre 2005 ISO 27001:2005

Fin 2006 / dbut 2007

Avril 2007 : ISO 27002

5 articles respecter : 4 8 Annexe A

7: Rexamen du SMSI par la direction

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Indications de la norme gnriques (1.2):

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Spcifier les exigences pour la mise en place de mesures de scurit

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Maintenir et amliorer (BS 7799-2:2002 1.1)

5/9 Scurit effective fournie Partenaires Fournisseurs

Modle PDCA : Plan-Do-Check-Act

Clients Pouvoirs publics Services

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Objectifs de scurit et mesures de scurit

Dclaration d'applicabilit : DDA (Statement of applicability ou SoA)

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

10: Gestion des communications et de lexploitation

11: Contrle d'accs

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Traductions et nouvelles normes utilisent dj la nouvelle numrotation

Ensemble des mesures de scurit pouvant tre appliqus

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Reprennent les recommandations classiques des experts en scurit

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Explications complmentaires sur le guide d'implmentation

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

Audites par : (IS 27006 A 4.2)

Mesures de scurit techniques ou en partie techniques plutt dans les chapitres :

(IS 27006 A 4.2)

mesures de scurit tudier plus particulirement

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

ISO 27001 par rapport ISO 27002

Mesures de scurit Controls

Description dtaille des mesures de scurit

Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite

ISO 27001 par rapport ISO 27002

ISO 27002 (ISO 17799)