Panorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection

Dimension: px

Commencer à balayer dès la page:

Download "Panorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection"

Oscar Marin
il y a 8 ans
Total affichages :

1 Jean-ierre Lacombe Animateur Afnor CN SSI GE1-2 anorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection jean-pierre.lacombe@fidens.fr

2 Travaux normatifs en matière de SSI! GE1 «Besoins généraux et méthodes» " Code de bonne pratique " Système de gestion de la sécurité de l information " Gestion de la sécurité / Gestion des risques " Sécurité réseau! GE2 «Techniques et mécanismes de sécurité»! GE3 «Critères d évaluation» " Critères communs " Security requirements for crypto modules " Security assessment of operational system

l information " Gestion de la sécurité / Gestion des risques " Sécurité réseau!

3 GE1 : ISO Fast track BS BS ISO ISO art art 1 ISO : Code de bonne pratique pour la gestion de la sécurité Recommandations pour mieux gérer la sécurité de l information Base commune de références, reconnue.mais pas une base de certification

sécurité Recommandations pour mieux gérer la sécurité de l

4 GE1 : ISO 17799! ISO : base d élaboration de lignes directrices " olitique de sécurité " Organisation " Classification et contrôle des actifs " Sécurité du personnel " Sécurité physique, sécurité de l environnement " Gestion des communications et des opérations " Contrôle des accès " Développement et maintenance des systèmes " Gestion de la continuité des activités de l entreprise " Conformité Intérêts : #check list # comparaison des pratiques des entreprises

contrôle des actifs " Sécurité du personnel " Sécurité physique, sécurité de l environnement " Gestion des

5 GE1 : ISMS ISMS Nouveau sujet de travail : Information Security Management System BS BS Quèsaco? «ISO guide 72» Management System : système pour établir la politique et les objectifs, et pour atteindre ces objectifs (organisation, processus et ressources, méthode d évaluation de l atteinte des objectifs)

«ISO guide 72» Management System : système pour établir la politique et les

6 GE1 : ISMS! BS «IS Management art 2 : Specification for IS Management systems» " Objectif : Juger de la capacité des organisations à répondre aux besoins de sécurité " Identifie l ensemble des actions à réaliser sur chaque phase " Modèle DCA " lan : établir les objectifs conformément aux risques / exigences (correspondances objectifs / lignes directrices ISO 17799) " Do : implémenter et opérer les fonctionnalités et procédures " Check : gérer les incidents, les erreurs, auditer " Act : faire évoluer la politique et les moyens conformément aux besoins

besoins de sécurité " Identifie l ensemble des actions à réaliser sur chaque phase " Modèle DCA " lan : établir les objectifs conformément

7 GE1 : des GMITS à MICTS Rapport technique : Guidelines for the management of IT Security (13335) GMITS GMITS art art 1 à art art 5 MICTS MICTS art art 1 et et art art 2 GMITS GMITS art art 4 à art art 5 Standard International : Management of Information and Communications Technology Security art 1 : Concept and Models art 2 : Techniques for Information and Communications Technology Security risks

art 5 Standard International : Management of Information and Communications Technology Security art

8 MICTS artie 2 High level risk assessment vs Detailed risk assessment Eléments sensibles Caractéristiques Menaces Vraisemblance Vulnérabilité des entités Faisabilité des menaces Impact Risques à retenir en priorité

Menaces Vraisemblance Vulnérabilité des entités

9 GE1 : Sécurité réseau! Sécurité réseau (rapports techniques) Concepts / Besoins de sécurité / Techniques / Orientations en terme de solutions et de configuration " Security communications between networks using security gateways " Guidelines for the implementation, operation and management of Intrusion Detection Systems " Information security incident management " Securing remote access Base en terme de mode opératoire et de fonctionnalités pour les projets présentés ce matin Base de la partie «do» dans ISMS?

configuration " Security communications between networks using security gateways " Guidelines for the implementation, operation

10 GE1 : Supports de ISMS ISMS ISO Bonnes pratiques IT Network security MICTS art 1 Concepts MICTS art 2 Analyse de Risques

11 GE2 : Techniques et mécanismes de sécurité! Sujets en révision "Non répudiation, authentification, modes opératoires des algorithmes de chiffrement,! Nouveaux sujets " Normalisation des algorithmes de chiffrement "Techniques asymétriques " Techniques symétriques (block cipher, stream cipher) " Générateur de pseudo alea et nombres premiers " Services d horodatage "Signature

12 Nouveaux thèmes nationaux! Thèmes de prospection français " En cours : reuve électronique "A venir : $ olitique d horodatage "Besoin important (archivage, preuve électronique, ) "Base ETSI % olitique de certification?

13 Un constat! Vers une reconnaissance des standards de sécurité "Critères communs, " ISO 17799, ISMS, Analyse de risques "Module cryptologique, " Techniques de chiffrement "reuve électronique "olitique d horodatage, Standard spécialisé à impact limité (outils) Standard répondant à des besoins du marché

17799, ISMS, Analyse de risques "Module cryptologique, " Techniques de

Documents pareils

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002