ISO/CEI 27001:2005 ISMS -Information Security Management System

Transcription

1 ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information

2 ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI :2002 ISMS publiée initialement par le BSI (British Standards Institution) C est une norme définissant le processus d un système de gestion de sécurité de l information (ISMS Information Security Management System) ISMS International user group - Regroupe les utilisateurs des normes ISO/IEC et BSI

3 Objectifs de la norme ISO 27001:2005 Evaluer et définir les besoins de protection et définir les objectifs et directives de sécurité de l information Implémenter et gérer des contrôles permettant de réduire les risques de perte, de vol, ou de compromission de l information Surveiller et réviser les performances et l efficacité des mesures de sécurité gérées avec l ISMS Mesurer objectivement et améliorer continuellement le processus ISMS

4 Périmètre de la norme Elle est harmonisé avec les normes de systèmes de gestion tels que ISO 9011:2000 (QMS) et ISO 1401:1996 (EMS). Elle permet la certification (dans certains pays) de la sécurité de l information. Cette certification est valide sur un cycle de 3 ans. L exclusion des clauses 4, 5, 6, 7 et 8 de l annexe A invalide la certification. L annexe A de la norme définit les objectifs de contrôle et les contrôles à mettre en œuvre, elle est normative, les objectifs et points de contrôle spécifiés dans cette norme sont alignés avec les chapitres 5 à 15 de la norme ISO/CEI 17799:2005 La norme ISO/CEI 17799:2005 sera renommée ISO/CEI en 2007

5 Structure du document ISO 27001:2005 Le document contient 8 chapitres et 3 annexes: Les chapitres 0 à 3 définissent les généralités de la norme: 0 - Introduction, 1 - Périmètre, le modèle PDCA (PISA) 2 - Références normatives, 3 - Termes et définitions. Chapitre 4 Les exigences d un ISMS. Chapitre 5 Les responsabilités de la direction. Chapitre 6 Audits interne de l ISMS Chapitre 7 Contrôle périodique de l ISMS par la direction Chapitre 8 Améliorations de l ISMS. Annexe A Objectifs de contrôle et contrôles (normatif) Annexe B Comparatif OCDE (Organisation de Coopération et de Développement Economiques) et 27001:2005 Annexe C Correspondances avec les normes ISO 9001:2000 et ISO 1401:2004

6 4 - Les 10 étapes de mise en oeuvre a) Définir le périmètre de l ISMS b) Définir une politique de sécurité c) Identifier une méthode d analyse de risques d) Identifier les risques et les vulnérabilités e) Evaluer l impact des risques et des vulnérabilités f) Evaluer les options pour traiter les risques g) Sélectionner les contrôles et les moyens de surveillance h) Accepter les risques résiduels i) Acceptation de la direction pour la mise en œuvre j) Formuler la mise en application (SOA)

7 5 - Responsabilités de la direction La direction de l organisation doit démontrer son engagement dans les processus de mise en œuvre et de gestion de l ISMS: elle soutient la politique de sécurité, elle définit les niveaux de risques acceptables, elle fournit les ressources financières et humaines, elle organise et soutient la structure organisationnelle (rôles et responsabilités, finances) nécessaire à la gestion de la sécurité, elle s assure que les compétences sont disponibles (RH) elle pourvoit aux moyens de formation et de sensibilisation du personnel de l organisation.

8 6 - Audits interne de l ISMS Audits périodiques pour déterminer pour vérifier si les objectifs de contrôles, les contrôles, les processus et les procédures sont: conformes aux exigences de la norme et de la législation, conformes aux exigences de sécurité identifiées, mises en œuvre et gérées efficacement, et fonctionnent comme attendu. Le processus d audit de l ISMS doit être documenté (responsabilités, planning, participants, rapports, etc..) Le chapitre 8 décrit le processus de rectification des lacunes détectées La norme ISO/CEI 19011:2002 peut-être une aide à l organisation de l audit

9 7 - Contrôles périodiques par la direction La direction est responsable de vérifier périodiquement: que les résultats de l ISMS sont en adéquation avec les objectifs et les besoins du business, de la bonne gestion et rentabilité de l ISMS (d après des mesures établies), de l actualité de la politique de sécurité, de l acceptation par le personnel des procédures de sécurité mises en place, des résultats des audits internes de l ISMS, que les améliorations de sécurité proposées ont été mises en œuvre.

10 8 - Amélioration de l ISMS Le modèle PDCA (PISA) un processus itératif BESOINS ET ATTENTES PLAN Planifier ACT Améliorer CYCLE DE DEVELOPPEMENT, MAINTENANCE ET AMELIORATION (ROUE DE DEMING*) DO Implémenter * roue de Deming = 1950 s ou cercle de Shewhart = 1930 s CHECK Surveiller RESULTATS

11 Modélisation de l ISMS a) Définir le périmètre de l ISMS b) Définir la politique de sécurité et ses objectifs c) Choisir une méthode d analyse de risques d) Identifier les risques et les vulnérabilités a) Inventorier les actifs physiques et intellectuels de l organisation et leurs propriétaires b) Identifier les menaces c) Identifier les vulnérabilités affectées par les menaces d) Identifier l impact e) Estimer leurs impacts f) Identifier et évaluer les options pour prévenir et gérer les risques g) Sélectionner les contrôles et les moyens de surveillance pour le traitement des risques h) Etablir le SoA (Statement of Applicability) PLAN

12 Mise en oeuvre et opération de l ISMS a) Formuler la gestion du risque (assumer, prévenir, déporter ou assurer) et traiter les risques résiduels b) Implémenter le traitement du risque selon les objectifs de contrôle identifiés a) Définir les ressources et les responsabilités organisationnelles c) Implémenter les contrôles définis dans la phase PLAN d) Formaliser la sensibilisation et la formation du personnel e) Gérer l exploitation de l ISMS f) Gérer les ressources sécuritaires et les incidents g) Implémenter les procédures de contrôle, les outils de prévention et de gestion des alarmes et des incidents DO

13 Monitoring et révision de l ISMS CHECK a) Détection et contrôle des faiblesses de l ISMS b) Revues périodiques de l efficacité et des performances de l ISMS c) Recherche des vulnérabilités et des risques résiduels en tenant compte: a) des changements d organisation b) des changements technologiques c) nouveaux objectifs du business d) changements légaux ou sociaux d) Audits périodiques de conformité des contrôles de sécurité mis en place e) Revue formelle pour s assurer que les objectifs de l ISMS sont toujours d actualité et que des améliorations sont identifiées f) Enregistrer et publier les évènements et les actions prises pouvant avoir un impact sur l efficacité et les performances de l ISMS

14 Maintenance et amélioration de l ISMS a) Implémenter les améliorations proposées b) Mettre en œuvre les nouvelles actions correctives et préventives a) Ces actions doivent être documentées b) Bénéficier de l expérience acquise ACT c) Communiquer les résultats et obtenir l approbation des parties concernées d) S assurer que les performances de l ISMS atteignent les objectifs définis par la politique de sécurité

15 La documentation de l ISMS La politique de sécurité de l organisation et ses objectifs de contrôles. Le périmètre de l ISMS et les procédures et contrôles. Le rapport d évaluation des risques. Le plan de traitement des risques. SOA - Statement Of Applicability (Formulation du traitement du risque) Les journaux de bord (logs), ex : log des visiteurs, log IDS (Intrusion Detection System) des tentatives d intrusion, les listes d autorisations d accès, etc.

16 L annexe A de la norme 27001:2005 L annexe A définit les 39 objectifs de contrôle et les 133 contrôles à mettre en oeuvre Elle est normative Elle conserve la même nomenclature des clauses de la norme ISO/CEI 17799:2005 N Clauses selon ISO/CEI 17799:2005 Nbre objectifs de contrôles Nbre contrôles A.5 Security policy 1 2 A.6 Organization of information security 2 11 A.7 Asset management 2 5 A.8 Human resources security 3 9 A.9 Physical and environmental security 2 13 A.10 Communications and operations management A.11 Access control 7 25 A.12 Information systems acquisition, development and maintenance 6 16 A.13 Information security incident management 2 5 A.14 Business continuity management 1 5 A.15 Compliance 3 10