Club toulousain

Transcription

1 Club toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer - HSC) Point d'actualité Animation du Club Prochaines réunions

2 changements concernant ses processus de certifications 2700x / LSTI La réussite aux examens ne vaut plus attribution d'un certificat "Lead Auditor/Implementer" ou "Risk Manager", mais seulement délivrance d'une attestation "provisional" sans limite de validité. Pour obtenir la certification il faut en faire la demande à LSTI dans les trois ans suivant l'attestation et fournir : ladite attestation, un CV justifiant d'une expérience professionnelle d'au moins 5 ans dont 2 dans le domaine des SMSI, des attestations de maintien de l'expérience (réalisation d'audits ou d'étude de gestion des risques). Les certificats sont valables 3 ans et leur validité soumise à surveillance tous les 18 mois. La certification Lead Auditor est désormais découpée en 2 : Auditor qui certifie la participation à des audits et Lead Auditor qui atteste de la direction d'audits. A priori tous les certifiés d'aujourd'hui sont donc rétrogradés au niveau provisional, sauf les Lead Auditor/Implementer ayant déjà réussi une surveillance qui ne sont eux rétrogradés qu'au niveau Auditor/Implementer. Pour retrouver le niveau de certification précédent, il faut se soumettre au nouveau mode de certification. 2700x : une famille de normes En révision 2 obligatoires : 27001:2005 SMSI 27006:2007 Certification de SMSI 27002:2007 En révision Mesures de sécurité 27000:2009 Vocabulaire 27003:2010 Stade approbation depuis le 15/12/09 Guide Implémentation Publiée le 3/2/ :2009 Indicateurs SMSI 27005:2008 Gestion de risque Audit de SMSI Future gestion du risque globale 4

3 2700x : une famille de normes ISMS : Guidance for auditors on ISMS controls audits : ISM for inter-sector and in-organizational communications : ISMS telecommunications : Guidelines for the integrated implementation of and : Information security governance framework : ISMS for financial and insurance services sector 2700x : une famille de normes Security controls and services /IEC : Selection, deployment and operations of intrusion detection systems /IEC : Disaster Recovery Services /IEC : Guidelines for ICT Readiness for Business Continuity /IEC : Guidelines for Cybersecurity /IEC : IT network security 1. Part 1: Overview and concepts 2. Part 2: guidelines for the design and implementation of network security 3. Part 3: reference network scenarios threats, design techniques and control issues 4. Part 4: Securing communications between networks using security gateways Threats, 5. Part 5: Securing communication across networks using virtual private networks(vpns) Threats, /IEC : Application security 1. Part 1: Overview and concepts 2. Part 2: Organization normative framework /IEC : Information Security Incident Management /IEC : Guidelines for security of outsourcing /IEC : Guidelines for identification, collection and/or acquisition and preservation of digital evidence /IEC : Best practices for time stamping services

4 Utilisation du texte de la norme Les normes sont en copyright Utilisation de moins de 25 % du texte après accord de l AFNOR RGS Décret RGS Publication du décret n du 2 février 2010 au Journal Officiel le 4 février RGS Soumission à la Commission Européenne en application de la directive 98/34/CE le 25 mars Avis favorable de la Commission consultative d évaluation des normes (CCEN) rendu le 7 mai Publication de l'arrêté RGS prévue au cours du premier trimestre Version du document : V0.99

5 Prix de l'innovation des Assises de la Sécurité 6 au 9 octobre 2010 accès aux Assises de la Sécurité afin de démontrer son produit ou son service espace d'exposition pour démontrer solution et rencontrer invités, presse, etc. ; atelier pour présenter solution sous forme de conférence. remise du prix en séance plénière le jeudi 7 octobre 2010, et un paquetage d'une valeur de euros Pour les entreprises créées en 2008, 2009 ou Les critères du comité de sélection sont notamment : le caractère innovant et nouveau du produit ou service présenté ; l'intérêt pour les RSSI et les métiers associés ; les innovations technologiques dans la solution présentée ; l'état d'avancement du projet et sa pertinence sur la marché. dossier de candidature : dossier complet à envoyer à sophie@dgconsultants.fr Conférences à venir JSSI Paris - 16 mars Panorama de la Cybercriminalité du CLUSIF 8 avril 2010 à l'insa Toulouse, à 9h00. SSTIC 2010 du 9 au 11 juin 2010 à Rennes Conférence annuelle du Club Novembre à Paris

6 Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer - HSC) Point d'actualité Animation du Club Prochaines réunions Co-animation du Club toulousain Composition : un représentant des consultants (Anne Mur) un utilisateur (mon - ma mes remplaçants) Organisation des réunions Recherche de conférences et contact avec intervenants Convocation Liste de participants Salle Mise à jour du site internet Administration de la liste de discussion de Toulouse (veiller à ce que des chercheurs de tête ne puissent pas s'inscrire) Participation au CA du Club et à l organisation de la conférence annuelle du Club

7 Sous-groupes de travail ou de discussion? Groupes de travail? Thèmes : ITIL / Gestion des incidents D autres idées? Qui participe? Qui anime? Discussion? Thèmes : Périmètre du SMSI Analyse des risques D autres idées? Qui participe? Qui anime? Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer - HSC) Point d'actualité Animation du Club Prochaines réunions

8 Prochaine réunion 28 mai 2010 chez Athos Origine Sujets potentiels : EvalSMSI (Michel Dubois) EBIOS version (Anne Mur EdelWeb) RGS Planification des réunions 17 septembre 2010 Sujet potentiel : Audit flash Sécurité (Jean Nicolas piotrowski - ITrust) 26 novembre janvier 2011