Les normes de scurit informatique

BS 7799 / ISO 17799, ISO 27002 , ISO 27001, BS 7799-2

Prsent par Dr. Ala Eddine Barouni

Plan
Scurit des informations, normes BS 7799, ISO 17799, ISO 27001 Normes BS 7799, ISO 17799 et ISO 27002 Qualits de BS 7799 / ISO 17799 Les dix contextes cls de ISO 17799 Normes ISO 27001, BS 7799-2 Approche de gestion (Modle PDCA)

Historique Pour qui ? Implantation Outils et logiciels

Les normes de Scurit Informatique

.

Scurit des informations, normes BS 7799, ISO 17799, ISO 27001 Plusieurs normes, mthodes et rfrentiels de bonnes pratiques en matire de scurit des systmes dinformation sont disponibles. Elles constituent des guides mthodologiques ainsi que le moyen de fournir l'assurance d'une dmarche de scurit cohrente.

Les normes de Scurit Informatique

LISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance la srie des ISO 27000. Certaines sont obligatoires pour obtenir une certification (27001 et 27006), les autres ne sont que des guides : l'ISO 17799 sera renomm en 27002, le 1er avril 2007. l'ISO 27006 est en cours de fabrication -sortie prvue fin novembre. l'ISO 27004 et l'ISO 27005 sont l'tat de drafts avancs.

Normes BS 7799, ISO 17799 et ISO 27002 ?

Un ensemble de contrles bass sur les meilleures pratiques en scurit des informations; Standard international qui couvre tous les aspects de la scurit informatique:
quipements; Politiques de gestion; Ressources humaines; Aspects juridiques.

Normes BS 7799, ISO 17799 et ISO 27002 ISO 17799 (partie 1) se veut un guide contenant des conseils et des recommandations permettant dassurer la scurit des informations dune entreprise.
.

La norme ISO 17799 (partie 2 :2005), prochainement renomme 27002, est directement tire de la BS 7799-1 (cre par le BSI British Standard Institute). Elle correspond un niveau de dtail plus fin que la 27001 et spcifie une Poltique de la Scurit des Systmes d'Information. C'est une liste dtaille et commente de mesures de scurit. Cette norme est un guide de Bonnes Pratiques (Best Practices)

Normes BS 7799, ISO 17799 et ISO 27002

Pour matriser la scurit d'un systme d'information. plusieurs versions de la BS 7799 ont t labores depuis le dbut des annes 1990 et la dernire est devenue la norme ISO/IEC 17799. Schmatiquement, la dmarche de scurisation du systme d'information doit passer par 4 tapes de dfinition : 1. primtre protger (liste des biens sensibles), 2. nature des menaces, 3. impact sur le systme d'information, 4. mesures de protection mettre en place.

Normes BS 7799, ISO 17799 et ISO 27002

L ISO 17799 donne des exemples et des indications sur les niveaux 1 3, mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant ce qui est ncessaire de mettre en place, sans toutefois prciser en dtail comment. La norme ISO 17799 comporte 39 catgories de contrle et 133 points de vrification rpartis en 11 domaines :

Normes BS 7799, ISO 17799 et ISO 27002

1. Politique de scurit 2. Organisation de la scurit : - organisation humaine, implication hirarchique, - notion de propritaire dune information et mode de classification, - valuation des nouvelles informations, - mode daccs aux informations par une tierce partie, - Rpartition des responsabilits, groupes de travail,

3. Classification et contrle des biens - Identifications des actifs, Classification de linformation

Normes BS 7799, ISO 17799 et ISO 27002

4. Scurit du personnel - contrats de travail, Sensibilisation la scurit, implication dans la scurit 5. Scurit physique - organisation des locaux et des accs, - protection contre les risques physiques (incendies, inondations...) - systmes de surveillance et dalerte, - scurit des locaux ouverts et des documents circulant.

Normes BS 7799, ISO 17799 et ISO 27002

6. Communication et exploitation: - Gestion des incidents, - Gestion du rseau - prise en compte de la scurit dans les procdures de lentreprise, - mise en oeuvre des systmes de scurisation (antivirus, alarmes..), 7. Contrle d'accs: - Utilisateurs - Dfinition des niveaux dutilisateurs et de leur droit daccs,

Normes BS 7799, ISO 17799 et ISO 27002

- Gestion dans le temps des droits, - Rseau - Systme dexploitation - Application 8. Acquisition, dveloppement et maintenance des systmes - Contrles cryptographiques - Scurit des fichiers - Chevaux de Troie 9. Gestion des incidents

Normes BS 7799, ISO 17799 et ISO 27002

10. Management de la continuit de service -Planification , test, rvaluation 11. Conformit: - dispositions rglementaires - dispositions lgales - dispositions internes (Politique) La norme n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de scurit au fil du temps. Elle est oriente processus et dborde de ce fait des simples aspects de technique informatique. Elle s'intresse l'organisation du personnel ainsi qu'aux problmes de scurit physique (accs, locaux...).

Qualits de BS 7799 / ISO 17799

Couverture de la norme; prouve; Publique; Internationale; Image de marque associ la qualit volutive et souplesse (sadapter aux contextes); Disponibilit doutils et de support.

Les dix contextes cls de ISO 17799

Politique de scurit Conformit Scurit de Lorganisation Classification et contrle des actifs

Gestion de la continuit

Intgrit

Confidentialit

Information
Dveloppement et maintenance Contrle des accs
Disponibilit

Scurit du personnel

Scurit physique et environnementale Gestion des Communications et oprations

Les dix contextes cls de ISO 17799

Organisationnel

1. Politique de scurit 2. Scurit de lorganisation 3. Classification et contrle des actifs 7. Contrle des accs

10. Conformit

4. Scurit du personnel

5. Scurit physique et environnementale

8. Dveloppement et maintenance

6. Gestion des communications et oprations

9. Gestion de la continuit

Oprationnel

Normes ISO 27001, BS 7799-2

La norme ISO 27001, publie en Novembre 2005, dfinit la Politique du Management de la Scurit des SI au sein d'une entreprise. Elle est issue de la BS 7799-2:1999 Specification for information security management systems qui dfinit les exigences respecter pour crer un ISMS (Information Security Management System). Elle spcifie en annexe certains contrles de scurit, tirs de la 17799, dont la mise en oeuvre est obligatoire.

Normes ISO 27001, BS 7799-2

La norme ISO 27001 comprend 6 domaines de processus : 1. Dfinir une politique de la scurit des informations, 2. Dfinir le primtre du Systme de Management de la scurit de l'information, 3. Raliser une valuation des risques lis la scurit, 4. Grer les risques identifis, 5. Choisir et mettre en oeuvre les contrles. Prparer un SoA ( "statement of applicability").

Normes ISO 27001, BS 7799-2

Comme ISO 9000, lISO 27001 porte moins sur lefficacit des dispositions mises en place, que sur leur existence, et la mise en place dune boucle damlioration (PDCA). BS 7799 (partie 2) propose des recommandations afin dtablir un cadre de gestion de la scurit de l'information efficace. BS 7799-2 permet dtablir un systme de gestion de scurit de linformation (SGSI).

Approche de gestion (Modle PDCA)

Approche de gestion (Modle PDCA)

Approche de gestion (Modle PDCA)

Approche de gestion (Modle PDCA)

Approche de gestion (Modle PDCA)

Complmentarit avec dautres normes ISO Complmentarit avec dautres normes ISO
Code de bonnes pratiques pour la gestion de la scurit de linformation ISO 17799 Produits et systmes certifis par ISO 15408(CC) Guide de gestion de la scurit de la technologie de linformation ISO13335 (GMITS)

History and Historique of ISMS Development Avril 2007 La norme ISO 17799 (partie 2), ISO 27001 Novembre 2005 Septembre 2002 Nouvelle version de BS 7799-2 2001 Dcembre 2000 1999 1998 1995
revue et corrige Rvision de BS 7799-2 ISO/IEC 17799:2000
La norme ISO 17799 (partie 2 :2005) renomme 27002

Standards sudois SS 62 77 99 Partie 1 et 2 Nouvelle version de BS 7799 Partie 1 et 2 BS 7799 Partie 2

BS 7799 Partie 1

Pour qui les normes?

Les normes BS 7799/ISO 17799, peuvent tre utilise par tout organisme ou entreprise. Il suffit quune organisation utilise des systmes informatiques, linterne ou lexterne, quelle possde des donnes confidentielles, quelle dpende de systmes dinformations dans le cadre de ses activits commerciales ou encore quelle dsire adopter un niveau lev de scurit tout en se conformant une norme.

Achat en ligne du standard ISO 17799

(% par rgion)
9% 18 % 23 %

35 %

6%

Autres : 9 %

Audit et certification BS 7799 / ISO 17799

Il nexiste pas de certification ISO 17799 pour le moment. Une entreprise peut se conformer ISO 17799 et ensuite se certifier BS 7799-2 : 2002, ISO 27001. Une dmarche daudit peut tre appuye:
Vrification interne Vrification externe (lettre dopinion) Bureau de registraire du BSI (certification officielle)

Liste dentreprises certifis

Plus de 80 000 entreprises se conforment BS 7799/ISO 17799 travers le monde dont:
Fujitsu Limited; Insight Consulting Limited; KPMG ; Marconi Secure Systems ; Samsung Electronics Co Ltd; Sony Bank inc. ; Symantec Security Services ; Toshiba IS Corporate

Avantages
Se conformer aux rgles de gouvernance en matire de gestion du risque. Une meilleure protection de linformation confidentielle de lentreprise ; Une rduction des risques dattaques ; Une rcupration des oprations plus rapidement et plus facilement lors dattaques ;

Avantages (suite)
Une mthodologie de scurit structure et reconnue internationalement ; Une confiance mutuelle accrue entre partenaires ; Une diminution potentielle des primes dassurance contre les risques informatiques ; Une amlioration des pratiques sur la vie prive et une conformit aux lois sur les renseignements personnels.

Mthodologie et cycle dimplantation

tape de la mthodologie du cycle dimplantation de la norme Initiation du projet Description

Inciter lengagement de la haute direction; Slectionner et former les membres de lquipe initiale du projet. Lidentification de la porte et des limites du cadre de gestion de la scurit de linformation est dterminante pour la bonne conduite du projet. Identifier et valuer les menaces et vulnrabilits; Calculer une valeur de risque associe; Diagnostiquer le niveau de conformit ISO 17799; Inventorier et valuer les actifs protger.

Dfinition du SGSI

(Systme de gestion de la scurit de linformation)

valuation des risques

Mthodologie et cycle dimplantation (suite)

tape de la mthodologie du cycle dimplantation de la norme Traitement de risque Description

Vous comprendrez comment la slection et limplantation des contrles vous permettront de rduire les risques un niveau acceptable pour lorganisation. Vos employs peuvent tre le maillon faible dans la chane de scurit de votre organisation. Apprenez comment valider votre cadre de gestion et ce quil faut faire avant la venue dun auditeur externe pour la certification BS 7799-2 ou ISO27000. Apprenez-en davantage sur les tapes ralises par les auditeurs externes et sur les organismes de certification accrdits BS 7799-2 ou ou ISO27000.

Formation et sensibilisation

Prparation laudit

Audit

Amlioration continue

Livrables ISO 17799

Obstacles potentiels
Crainte, rsistance au changement; Augmentation des cots; Connaissances inadquates pour lapproche slectionne; Tche apparemment insurmontable.

Facteur de succs
Ressources et personnel ddis; Expertise externe; Bonne comprhension des fonctionnements (gestion) et des processus (oprations) de gestion du risque; Communications frquentes; Sensibilisation des gestionnaires et des employs Engagement de la direction suprieure; Structure de lapproche.

Implantation ISO 17799

Rfrences
Documents BSI (www.bsi.org.uk/index.xhtml) Information Security Management: An Introduction (PD3000) Fournit une vue d'ensemble du fonctionnement pour la certification accrdite et forme une prface utile aux autres guides. Guide to BS7799 Risk Assessment and Risk Management (PD3002) Dcrit les concepts sous-jacents l'valuation de risque de BS 7799, y compris la terminologie, le processus d'valuation et la gestion de risque. ISO/IEC Guidelines for the Management of IT Security (GMITS) Selecting BS7799 Controls (PD3005) Dcrit le processus de slection des commandes appropries.