Académique Documents
Professionnel Documents
Culture Documents
Exigences
Etablir un SMSI
Incidents de sécurité
1 |
2 |
1
Sommaire
Domaine d’application de l’ISO 27001:2005
Exigences
Le modèle PDCA
Etablissement d'un SMSI
Mesures de l'Annexe A
Incidents de sécurité
3 |
20 |
2
Le modèle PDCA
5 |
Le modèle PDCA
Sécuriser la maturité des processus
20 |
3
Sommaire
Domaine d’application de l’ISO 27001:2005
Le modèle PDCA
Mesures de l'Annexe A
Incidents de sécurité
7 |
20 |
4
Exigences relatives à la documentation (ISO/IEC
27001:2005, 4.3) - Suite
9 |
• Autre documentation
• Système de management pour la sécurité de l’information d’un
organisme.
• Documentation des objectifs et mesures de sécurité
• Documentation de la politique de sécurité
• Description de processus
• Autres enregistrements necessaires
20 |
5
Exigences : Sécurité organisationnelle
11 |
20 |
6
Sommaire.
13 |
Sommaire
Domaine d’application de l’ISO 27001:2005
Le modèle PDCA
Exigences
Incidents de sécurité
20 |
7
Etablissement d'un SMSI
15 |
20 |
8
Sommaire
Domaine d’application de l’ISO 27001:2005
Le modèle PDCA
Exigences
Mesures de l'Annexe A
Plan / Do / Check / Act
Incidents de sécurité
17 |
20 |
9
Management du Risque (Plan)
• Objectifs:
• Systématique d’identification des risques.
• Evaluation de ces risques par rapport à leur probabilité d’occurrence et
l’évaluation quantitative de l’impact.
• Problèmes:
• Risque identifiés de manière tardive
• Absence de mesures de détection.
• Processus complexe
• Temps de réaction réduit
• Pression des coûts
• Suivi et surveillance insuffisants
19 |
20 |
10
Planification du SMSI (Plan) – Standards / Lois (suite)
Standard Objectif / Domaine d’application
Common Criteria Common Criteria est une norme standard (ISO 15408). Elle permet de certifier les
niveaux de défense procurés par les composants de sécurité des systèmes d'information.
Elle provient de la convergence entre les normes de l'Orange Book de la NSA (aux
USA) et celles de l'ITSEC en Europe.
Sarbanes-Oxley Act (SOX) Aux États-Unis d’Amérique, la loi de 2002 sur la réforme de la comptabilité des
sociétés cotées et la protection des investisseurs est une loi fédérale imposant
de nouvelles règles sur la comptabilité et la transparence financière. Le texte est
couramment appelée loi Sarbanes-Oxley, du nom de ses promoteurs les sénateurs Paul
Sarbanes et Mike Oxley. Ce nom peut être abrégé en SOX, Sarbox
KonTRAG Loi pour la transparence et le contrôle dans les entreprises Allemande impose l’audit de la
sécurité de l’information et d’informé les actionnaires sur le niveau de risque.
21 |
20 |
11
Management du Risque (Plan) – Evaluation des risques = validation des coûts.
élev
D
Analyses et évaluation du risque
Probabiité
Probabilités sont réalistes A
faible
Calcul du montant des dommages l’est également.
Risque Total:
Somme de tous les risques
faiblesmoyensélevés
Domages DT
23 |
Réduction du risque en DT B
Critère pour la sélection de mesures
> D
élev
Notre expérience: A
L’utilisation de la règle
faible
faiblesmoyensélevés
Domages DT
20 |
12
Management du Risque (Plan) – Etablissement d’un mix de mesures
Risque Total
Acceptation du Risque
Risque résiduel
Assurance, SecLAs
Reaction
25 |
20 |
13
Réalisation (Do)
27 |
Risque A
Risque A 1
Probabilité d‘ooccurrence
Risque A 2
Risque A 3
...
Elevée Risque A 1 Mesure 1 Niveau de sécurité
Risque B
Risque B 1 Risque B 3
Risque B 2
Risque B 3 Risque B 4 Mesure 2 Niveau de sécurité
Risque B 4
... Risque C 2
Mesure 3 Niveau de sécurité
Risque C faible
Risque C 1 DT
Dommages
Risque C 2
...
20 |
14
Surveillance (Check)
29 |
20 |
15
Sommaire
Domaine d’application de l’ISO 27001:2005
Le modèle PDCA
Exigences
Incidents de sécurité
Mesures de l'Annexe A
31 |
Sommaire
• Articles de l‘Annexe A
• Politique de sécurité
• Organisation de la sécurité de l’information
• Gestion des actifs
• Sécurité liée aux ressources humaines
• Sécurité physique et environnementale
• Gestion de l’exploitation et des télécommunications
• Contrôle d'accès
• Acquisition, développement et maintenance des systèmes d’information
• Gestion des incidents liés à la sécurité de l’information
• Gestion de la continuité de l’activité
• Conformité
20 |
16
Article de l'Annexe A
Politique de SI (ISO/IEC 27002:2007, 5)
• A.5.1 Politique de sécurité de l'information
Objectif: Apporter à la sécurité de l’information une orientation et un
soutien de la part de la direction, conformément aux exigences métier et
aux lois et règlements en vigueur.
• Documenter et mettre à jour les principes fondamentaux de la sécurité de
l’information (Politique de sécurité)
• Par les personnes responsable
• Lors de changement qui affecte le « paysage » des risques, par
exemple
• Incidents de sécurité
• Nouvelles vulnérabilités
• Changement organisationnels et techniques
• À des intervalles appropriés afin de vérifier:
• L’efficacité (sur la base de l’expérience et des incidents)
• Coûts et effets sur les opérations.
• Effets des changement technologiques.
33 |
Article de l'Annexe A
Organisation Interne (ISO/IEC 27002:2007, 6.1)
Objectif: Gérer la sécurité de l’information au sein de l’organisme.
34 |
17
Article de l'Annexe A
Tiers (ISO/IEC 27002:2007, 6.2)
Objectif: Assurer la sécurité de l'information et des moyens de
traitement de l'information appartenant à l'organisme et consultés,
traités, communiqués ou gérés par des tiers.
35 |
Article de l'Annexe A
Gesion des actifs (ISO/IEC 27002:2007, 7)
Objectif: Mettre en place et maintenir une protection appropriée des
actifs de l’organisme.
Objectif: Garantir un niveau de protection approprié aux informations.
36 |
18
Article de l'Annexe A
Sécurité liée aux ressources humaines (ISO/IEC 27002:2007, 8)
Objectif: Réduire les risques liés aux erreurs humaines, erreurs
inattention, fraudes, fausse manipulation des installation par les
employés, fournisseurs et parties tierces.
• Avant le recrutement
• Compréhension des responsabilité, sélection adéquat du personnel
vérification des CV, engagement de confidentialité, condition
d’emploies et clause relative à la fin de l’emploie.
37 |
Article de l'Annexe A
9 Sécurité physique et environnementale
(ISO/IEC 27002:2007, 9)
Objective: Prévention des accès non autorisés, destruction ou
interférence dans les affaires.
• Zones de sécurité
• Délimitation physique, contrôle d’accès, protection physique des bureaux
et des équipement, instruction de travail spécifique pour les zones
sécurisée, zones de livraison et zone de chargement.
38 |
19
Article de l'Annexe A
Gestion de l’exploitation et des télécommunications
(ISO/IEC 27002:2007, 10)
Objectif: Sécuriser les opérations de traitement de donnés et les installations de traitement
de données.
39 |
Article de l'Annexe A
Contrôle d'accès (ISO/IEC 27002:2007, 11)
Objective: Contrôle d’accès (accès, autorisation) à l’information.
38 |
20
Article de l'Annexe A
Acquisition, développement et maintenance des
systèmes d’information (ISO/IEC 27002:2007, 12)
Objectif: Assurer que la sécurité et une partie intégrante des systèmes d’information
41 |
Article de l'Annexe A
Gestion des incidents liés à la sécurité de l’information
(ISO/IEC 27002:2007, 13)
Objective: Identification et réaction lors d’incident pertinents.
• Notification des
• Evénements et
• vulnérabilités identifiés
38 |
21
Article de l'Annexe A
Gestion de la continuité de l’activité (ISO/IEC 27002:2007, 14)
43 |
Article de l'Annexe A
Conformité (ISO/IEC 27002:2007, 15)
Objectif: Maintenir la conformité aux règlementations, standards de
sécurité.
38 |
22
Mesures de l'Annexe A
Note
• Attention
• Toutes les mesures ne sont pas applicable à toutes les situations.
• Les mesures doivent être adapté à la culture de l’organisme.
45 |
Sommaire
Domaine d’application de l’ISO 27001:2005
Le modèle PDCA
Exigences
Mesures de l'Annexe A
Incidents de sécurité
46 |
23
Incidents de sécurité
ISO/IEC TR 18044:2004
Evénement lié à la sécurité de l'information
• occurrence identifiée d'un état d'un système, d'un service ou d'un réseau
indiquant une faille possible dans la politique de sécurité de l'information
ou un échec des moyens de protection, ou encore une situation inconnue
jusqu'alors et pouvant relever de la sécurité
Incident lié à la sécurité de l'information
• un ou plusieurs événements intéressant la sécurité de l'information
indésirable(s) ou inattendu(s) présentant une probabilité forte de
compromettre les opérations liées à l'activité de l'organisme et de
menacer la sécurité de l'information
47 |
Incidents de sécurité
ISO/IEC TR 18044:2004
• La méthode de gestion des incidents de sécurité est comparable au
modèle PDCA
• Planifier et préparer: définir des politiques et schéma pour les
incidents de sécurité, obtenir l’implication et l’appui necessaire,
réaliser des formations de sensibilisation.
• Utiliser: Les processus clé, comment detecter et rapporter les
incident de sécurité, aprécier les évenements / incidents, décision et
réponses.
• Revoir: investigation légale ultérieure (incidents/events as
evidence), lessons learnt, identify opportunities for improvement
• Améliorer: analyser les risques de sécurité, améliorer la gestion,
mise en oeuvre des amélioration
• Cette norme fournit des exemples de formulaire (Annexe A) et un exemple
de ligne directrice pour l’appréciation des incidents de sécurité de
l’information.
48 |
24