Académique Documents
Professionnel Documents
Culture Documents
Emiae Intro27001
Emiae Intro27001
Cabinet de Consultants en Scurit Informatique depuis 1989 Spcialis sur Unix, Windows, TCP/IP et Internet
Sommaire
Systme de management Scurit de l'information Systme de management de la scurit de l'information : SMSI Ensemble des normes ISO 27000 Historique ISO 27001 ISO 27002 (anciennement ISO 17799) ISO 27001 par rapport ISO 27002 Usages des normes
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite
2 / 35
Systme de management
Dfinition formelle de lISO 9000
Cest un systme permettant :
Dtablir une politique Dtablir des objectifs Datteindre ces objectifs
1/6
Situation actuelle
Politique
Objectifs
3 / 35
Systme de management
Dfinition plus empirique
Ensemble de mesures
Organisationnelles Techniques
2/6
Permettant
Datteindre un objectif Une fois atteint, dy rester dans la dure
Mesures techniques
Situation actuelle
Politique
Mesures organisationnelles
Objectifs
4 / 35
Systme de management
Organisation Systme de Management
3/6
Parties prenantes
Parties prenantes
Planification
Plan
Exigences Satisfaction
Action
Do
Correction
Act
Vrification
Check
5 / 35
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite
Systme de management
Proprits des systmes de management
Couvrent un large spectre de mtiers et de comptences Concernent tout le monde
De la direction gnrale Jusquen bas de lchelle
4/6
Sont auditables
Quelquun peut venir vrifier quil ny a pas dcart entre le systme de management et les rfrentiels
6 / 35
Systme de management
Particularits du travail sur un systme de management
Travail transversal Tout le monde est concern
De la direction gnrale A laccueil
5/6
Importance de lcrit
Passage de la tradition orale la tradition crite Dans certains cas, un effort culturel important
7 / 35
Systme de management
Apports dun systme de management
Oblige adopter de bonnes pratiques Augmente donc la fiabilit de lorganisme dans la dure
De faon prenne
6/6
8 / 35
Scurit de l'information
Scurit de linformation (information security) (IS 27001 3.4)
Confidentialit (confidentiality) Intgrit (integrity) Disponibilit (availability)
Authenticit (authenticity) = authentification + intgrit Imputabilit, auditabilit, traabilit (accountability) Non rpudiation (non-repudiation) Etc.
9 / 35
SMSI
SMSI (IS 27001 3.7)
Systme de Management de la Scurit de lInformation
SGSI
Systme de Gestion de la Scurit de lInformation
SGSSI
Systme de Gestion de la Scurit des Systmes d'Information
10 / 35
Vocabulaire
2005
ISO 27000
Guides
usage facultatif
2007
Mesures de scurit
Analyse de risque
2007 ou 2008
ISO 27005
ISO 27007
ISO 27004
ISO 27003
Historique
1995 BS7799
Dix mesures cl 100 mesures dtailles, potentiellement applicables
1/2
Historique
Juin 2005 ISO 17799:2005
Nouvelle version de lISO 17799: 2000
2/2
ISO 27001
4 chapitres introductifs : 0 3
6: Audits internes du SMSI
1/9
4: SMSI PDCA
8: Amlioration du SMSI
14 / 35
ISO 27001
Tout types d'organismes viss (IS 27001 1.1):
Socits commerciales Agences gouvernementales Associations, ONG
2/9
15 / 35
ISO 27001
Objectif gnral de la norme (1.1) :
Spcifier les exigences pour
Mettre en place Exploiter Amliorer
3/9
Un SMSI document
16 / 35
ISO 27001
Ceci doit fournir (1.1):
Une protection des actifs dinformation La confiance aux parties prenantes
4/9
ISO 27001
Attentes et exigences en terme de scurit Partenaires Fournisseurs Clients Pouvoirs publics Services
18 / 35
Planification
Plan
Action
Do
Vrification
Check
ISO 27001
Phase PLAN
Primtre du SMSI (4.2.1.a) Politique de scurit et/ou politique du SMSI Identification et valuation des risques Plan de gestion des risques
(4.2.1.c) (4.2.1.b)
6/9
Mthodologie ou mthode choisie pour analyser les risques (4.2.1.d) (4.2.1.e) Traitement du risque (4.2.1.f)
Rduction du risque un niveau acceptable Acceptation des risques Transfert Refus ou vitement des risques
(4.2.1.g)
ISO 27001
Phase DO
Allocation et gestion de ressources
Personnes, temps, argent
(4.2.2.a) (4.2.2.b) (4.2.2.g)
7/9
Rdaction de la documentation et des procdures Formation du personnel concern (4.2.2.e) Gestion du risque (4.2.2.a) (4.2.2.b)
Pour les risques rduire : Implmenter les mesures de scurit identifies dans la phase prcdente (4.2.2.c) Assignation des responsabilits (4.2.2.b) Identifier des risques rsiduels Pour les risques transfrs : assurance, sous-traitance, etc Pour les risques accepts et refuss : rien faire
20 / 35
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite
ISO 27001
Phase CHECK
Vrification de routine (4.2.3.b) Apprendre des autres (4.2.3.b) Audit du SMSI (4.2.3.e)
Audits rguliers Sur la base de
Documents Traces ou enregistrements Tests techniques
8/9
Conduit
Constatation que les mesures de scurit ne rduisent pas de faon effective les risques pour lesquels elles ont t mises en place Identification de nouveaux risques non traits Tout autre type d'inadaptation de ce qui est mis en place
21 / 35
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite
ISO 27001
Phase ACT
9/9
Prendre les mesures rsultant des constatations faites lors de la phase de vrification Actions possibles
Passage la phase de planification Si de nouveaux risques ont t identifis Passage la phase d'action Si la phase de vrification en montre le besoin Si constatation de non conformit Actions correctives ou prventives
22 / 35
ISO 27002
11 chapitres 39 objectifs de scurit (control objectives) 133 mesures de scurit (security controls)
5: Politique du SMSI 6: Scurit organisationelle 7: Classification et contrle des actifs 15 Conformit 8: Scurit du personnel 14: Gestion de la continuit 13: Gestion des incidents 12: Maintenance et dveloppement 9: Scurit physique et environnementale
1/7
23 / 35
ISO 27002
Anciennement ISO 17799
Renumrotation en avril 2007
2/7
Vocabulaire
Control (IS 27002 2.2) Mesure de scurit "Contrle de scurit"
24 / 35
ISO 27002
Recommandations ou exigences en scurit
3/7
Slectionnes pour rduire un risque un niveau acceptable l'issue d'une analyse de risque
25 / 35
ISO 27002
Dfinition de la mesure de scurit pour satisfaire l'objectif de scurit Dtails afin d'aider l'implmentation de la mesure de scurit
Pas toujours applicables
4/7
Mesure de scurit
Guide d'implmentation
Autres informations
ISO 27002
5/7
Pas de classement des mesures de scurit dans ISO 27002 Mesures de scurit classes dans ISO 27006 (A.4)
Organisationnelles Organisationnelles et techniques Techniques
Audit diffrent
27 / 35
ISO 27002
Mesures de scurit organisationnelles plutt dans :
5 : politique de scurit 6 : organisation de la scurit 7 : gestion des actifs 8 : ressources humaines 9 : scurit physique 13 : gestion des incidents 14 : gestion de la continuit d'activit 15 : conformit
6/7
ISO 27002
7/7
Audites par :
Idem que les procdures organisationnelles Vrification par des tests rels sur les systmes :
Possibles Conseills Obligatoires
29 / 35
1/3
Articles
ou Clauses
ET
30 / 35
2/3
Articles Annexes
10 pages 23 pages
31 / 35
3/3
32 / 35
1/3
33 / 35
2/3
Constat objectif que vous adoptez les bonnes pratiques en matire de SSI Permet d'voluer, le moment venu, vers une certification Risque : non-conformit avec la norme
34 / 35
3/3
Questions ?
Herve.Schauer@hsc.fr www.hsc.fr
35 / 35
Copyright Herv Schauer Consultants 2000-2006 - Reproduction Interdite