Scribd Logo
Importer

Bienvenue sur Scribd !

  • Self-Assessment Tool26-09

    Transféré par

    Hamza EL Ghorefy
    8 vues31 pages

    Titre original

    Self-Assessment tool26-09

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    8 vues31 pages

    Self-Assessment Tool26-09

    Transféré par

    Hamza EL Ghorefy

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 31

    Outil d’Auto-évaluation du niveau de maturité de la

    sécurité des systèmes d'informations nationaux

    Awatef HOMRI
    Agence Nationale de la Sécurité Informatique
    Awatef.homri@ansit.tn

    1
    Pourquoi utiliser ce service?

    • On vous pose souvent la question « Est-ce que votre système


    d’information dispose du niveau adéquat de sécurité? »

    • Vous avez besoin de justifier /optimiser des investissements


    dans les projets de sécurité des systèmes d’information ?

    • Vous avez besoin d’évaluer le niveau de sécurité du système


    d’information actuel avant d’amorcer un projet de conformité
    par rapport aux standards e aux normes de bonnes pratiques ?

    2
    Utilisateurs du service

    • ANSI: Administration et exploitation des résultats


     Maintien du tableau de bord national
     Publication de rapports nationaux

    • Représentant d’un établissement (RSSI)*: mener une évaluation et


    exploitation des résultats.

    * Le RSSI peut faire appel aux structures spécialisées de son organisme pour répondre à des questions spécifiques du

    questionnaire (exemple : RH sur les questions qui concernent le recrutement, le responsable de sécurité physique sur les

    contrôles de sécurité sur le bâtiment et le data-center, le responsable juridique sur le cadre réglementaire applicable sur

    l’organisme en relation avec la sécurité de l’information, etc).

    3
    Comment utiliser ce service ?
    • Le représentant de l’organisme désirant faire une auto-évaluation de la sécurité de son
    système d’information envoie une demande par email à audit@ansi.tn en fournissant les
    informations relatives à son organisme.

    • Les services de l’ANSI répondent à la requête par la création d’un compte utilisateur et
    envoient les paramètres d’accès par mail au concerné.

    • Le représentant de l’organisme se connecte à travers son compte utilisateur, et crée un


    nouveau projet d’évaluation.

    • Le représentant de l’organisme répond aux questions répertoriées par domaine (Chapitres de


    la norme ISO 27002).

    • Une fois le représentant de l’organisme répond à l’ensemble des questions du questionnaire, il


    valide ses réponses. Il est toutefois possible de réaliser l’évaluation sur plusieurs fois.

    4
    Modules

    • Domaines • Choix du référentiel • Situation actuelle


    • Catégories • Réponses aux questions • Plan d’action
    • Mesures • Comparaison avec d’autres
    • Questions organismes
    • Actions
    • Recommandations

    Définition du Mesure du Exploitation et


    référentiel niveau de génération des
    d’évaluation maturité résultats

    5
    M1 Définition du référentiel d’évaluation

    – Permettre de définir une base des actions de sécurité organisée selon la structure suivante:

    • un ensemble de domaines de sécurité.

    • un ensemble de catégories de sécurité par domaine.

    • un ensemble de mesures par catégorie.

    • un ensemble de questions de diagnostic par mesure.

    Chaque question porte sur une action de sécurité.


    – A chaque question est associée une réponse qui représente une action de sécurité/
    recommandation pour la mesure de sécurité.

    – L’action objet de la question est caractérisée par son type (exemple : organisationnel,
    physique, technique).

    6
    M1 Définition du référentiel d’évaluation

    7
    M1 Définition du référentiel d’évaluation

    8
    M2 Mesure du niveau de maturité

    Un système de notation appliqué aux actions de sécurité selon le barème suivant :


    • 4 (couverture complète de l’action de sécurité): action mise en œuvre.

    • 3 (couverture assez complète de l’action de sécurité): action en cours de mise en œuvre.

    • 2 (couverture moyenne de l’action de sécurité): action Planifiée à court terme -dans une année :
    engagement clair et répartition des ressources nécessaires pour la mise en œuvre de l’action de sécurité.

    • 1 (couverture faible de l’action de sécurité): action Planifiée à moyen/long terme (plus qu’une année) :
    niveau initial/Déclenchement, l’entreprise a pris conscience de l’existence du problème et de la nécessité
    de l’étudier.

    • 0 (aucune couverture de l’action de sécurité): action non encore planifiée: inexistence/absence totale
    de l’action, l’entreprise n’a même pas pris conscience qu’il s’agissait d’un problème à étudier.

    • NA : l’action/la mesure/la catégorie de sécurité invoquée ne s'applique pas pour l’établissement.

    9
    M2 Mesure du niveau de maturité

    10
    M2 Mesure du niveau de maturité

    – Un système de pondération des réponses aux questions

     pour mettre en évidence le degré d’importance/indispensabilité de l’action de


    sécurité sur laquelle porte chaque question.

     Certaines actions contribuent à la qualité de mesure sans que leur mise en œuvre
    soit indispensable.

    Exemple: Système de pondération par secteur d’activité/ catégorie/ classe de criticité.

     Chaque question a un poids de 0 à 4.

     Possibilité d’associer à certaines questions un seuil maximal (notion d’actions


    indispensables).

     Possibilité d’associer à certaines questions un seuil minimal (notion d’actions


    suffisantes).
    11
    M2 Mesure du niveau de maturité
    Tableau d’appréciation des niveaux de maturité paramétrable

    12
    M3 Exploitation et génération des résultats
    Profil Etablissement
    – Mener et gérer un projet d’évaluation

    13
    M3 Exploitation et génération des résultats
    Profil Etablissement
    – Mener et gérer un projet d’évaluation

    14
    M3 Exploitation et génération des résultats
    Profil Etablissement
    – Dashboard:

    15
    M3 Exploitation et génération des résultats
    Profil Etablissement
    Dashboard:
    • Présentation du portrait global de la situation actuelle ainsi que pour
    chacun(e) des domaines ou des catégories de sécurité avec les détails
    nécessaires.

    • Comparaison entre le niveau de maturité de l’établissement par rapport au


    niveau de maturité:
     global
     de son secteur d’activité
     de sa catégorie d’établissements
     de sa classe de criticité

    • Mettre en évidence la situation à court/moyen terme de l’établissement.

    • Mettre en évidence le progrès effectué par l’établissement dans le cas


    16
    d’évaluations successives.
    M3 Exploitation et génération des résultats
    Profil Etablissement
    – Dashboard:
    • Répertorier, pour chaque situation, les bonnes pratiques et les
    insuffisances répartis par type d’action de sécurité.

    • Proposer des recommandations de tout ou d’un domaine ou d’une


    catégorie visé(e) réparties par type d’action de sécurité: assister
    l’établissement à élaborer son plan d’action de sécurité tout en mettant en
    relief celles ayant des pondérations importantes.

    17
    M3 Exploitation et génération des résultats
    Profil Etablissement
    – Dashboard: Situation actuelle:

    18
    M3 Exploitation et génération des résultats
    Profil Etablissement
    – Dashboard: Situation actuelle: Exemple:

    19
    M3 Exploitation et génération des résultats
    Profil Etablissement
    M3 Exploitation et génération des résultats
    Profil Etablissement
    M3 Exploitation et génération des résultats
    Profil Etablissement

    22
    M3 Exploitation et génération des résultats
    Profil Etablissement

    23
    M3 Exploitation et génération des résultats
    Profil Etablissement
    M3 Exploitation et génération des résultats
    Profil Etablissement
    M3 Exploitation et génération des résultats
    Profil Etablissement

    26
    M3 Exploitation et génération des résultats
    Profil Etablissement

    27
    M3 Exploitation et génération des résultats
    Profil ANSI
    – Administration

    • Gestion du référentiel
    • Gestion des systèmes de pondération
    • Gestion des évaluations
    • Autres:
     Gestion des établissements
     Gestion des utilisateurs
     Gestion des paramètres:
    • Echelle d’appréciation des niveaux de maturité
    • Paramètres de questions (types des questions, profils
    répondants)
    • Délai d'expiration des projets d’évaluation
    • Délai d'expiration des codes d'accès, etc.

    28
    M3 Exploitation et génération des résultats

    Profil ANSI

    Dashboard:
    • Situation actuelle/à court terme/ à moyen terme
    • du niveau de maturité global
    • par secteur d’activité
    • par catégorie d’établissements
    • par classe d’établissement
    • Répertorier les bonnes pratiques et les vulnérabilités les plus répandues,
    • de tout ou d’un domaine
    • d’une catégorie
    • répartis par type d’action de sécurité
    Highlight des pondérations importantes
    • Comparer le niveau moyen de maturité d’une classe, d’un secteur d’activité
    ou d’une catégorie d’établissements par rapport au niveau de maturité
    global.
    29
    M3 Exploitation et génération des résultats
    Profil ANSI
    Dashboard: Exemple: Situation à moyen terme

    30
    Questions
    ?

    Vous aimerez peut-être aussi