Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni
Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes BS 7799, ISO 17799 et ISO 27002 Qualités de BS 7799 / ISO 17799 Les dix contextes clés de ISO 17799 Normes ISO 27001, BS 7799-2 Approche de gestion (Modèle PDCA) Historique Pour qui? Implantation Outils et logiciels
Les normes de Sécurité Informatique. Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des systèmes d information sont disponibles. Elles constituent des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une démarche de sécurité cohérente.
Les normes de Sécurité Informatique L ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO 27000. Certaines sont obligatoires pour obtenir une certification (27001 et 27006), les autres ne sont que des guides : l'iso 17799 sera renommé en 27002, le 1er avril 2007. l'iso 27006 est en cours de fabrication -sortie prévue fin novembre. l'iso 27004 et l'iso 27005 sont à l'état de drafts avancés.
Normes BS 7799, ISO 17799 et ISO 27002? Un ensemble de contrôles basés sur les meilleures pratiques en sécurité des informations; Standard international qui couvre tous les aspects de la sécurité informatique: Équipements; Politiques de gestion; Ressources humaines; Aspects juridiques.
Normes BS 7799, ISO 17799 et ISO 27002 ISO 17799 (partie 1) se veut un guide contenant des. conseils et des recommandations permettant d assurer la sécurité des informations d une entreprise. La norme ISO 17799 (partie 2 :2005), prochainement renommée 27002, est directement tirée de la BS 7799-1 (créée par le BSI British Standard Institute). Elle correspond à un niveau de détail plus fin que la 27001 et spécifie une Poltique de la Sécurité des Systèmes d'information. C'est une liste détaillée et commentée de mesures de sécurité. Cette norme est un guide de Bonnes Pratiques (Best Practices)
Normes BS 7799, ISO 17799 et ISO 27002 Pour maîtriser la sécurité d'un système d'information. plusieurs versions de la BS 7799 ont été élaborées depuis le début des années 1990 et la dernière est devenue la norme ISO/IEC 17799. Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes de définition : 1. périmètre à protéger (liste des biens sensibles), 2. nature des menaces, 3. impact sur le système d'information, 4. mesures de protection à mettre en place.
Normes BS 7799, ISO 17799 et ISO 27002 L ISO 17799 donne des exemples et des indications sur les niveaux 1 à 3, mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant ce qui est nécessaire de mettre en place, sans toutefois préciser en détail comment. La norme ISO 17799 comporte 39 catégories de contrôle et 133 points de vérification répartis en 11 domaines :
Normes BS 7799, ISO 17799 et ISO 27002 1. Politique de sécurité 2. Organisation de la sécurité : - organisation humaine, implication hiérarchique, - notion de propriétaire d une information et mode de classification, - évaluation des nouvelles informations, - mode d accès aux informations par une tierce partie, - Répartition des responsabilités, groupes de travail, 3. Classification et contrôle des biens - Identifications des actifs, Classification de l information
Normes BS 7799, ISO 17799 et ISO 27002 4. Sécurité du personnel - contrats de travail, Sensibilisation à la sécurité, implication dans la sécurité 5. Sécurité physique - organisation des locaux et des accès, - protection contre les risques physiques (incendies, inondations...) - systèmes de surveillance et d alerte, - sécurité des locaux ouverts et des documents circulant.
Normes BS 7799, ISO 17799 et ISO 27002 6. Communication et exploitation: - Gestion des incidents, - Gestion du réseau - prise en compte de la sécurité dans les procédures de l entreprise, - mise en oeuvre des systèmes de sécurisation (antivirus, alarmes..), 7. Contrôle d'accès: - Utilisateurs - Définition des niveaux d utilisateurs et de leur droit d accès,
Normes BS 7799, ISO 17799 et ISO 27002 - Gestion dans le temps des droits, - Réseau - Système d exploitation - Application 8. Acquisition, développement et maintenance des systèmes - Contrôles cryptographiques - Sécurité des fichiers - Chevaux de Troie 9. Gestion des incidents
Normes BS 7799, ISO 17799 et ISO 27002 10. Management de la continuité de service -Planification, test, réévaluation 11. Conformité: - dispositions réglementaires - dispositions légales - dispositions internes (Politique) La norme n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de sécurité au fil du temps. Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès, locaux...).
Qualités de BS 7799 / ISO 17799 Couverture de la norme; Éprouvée; Publique; Internationale; Image de marque associé à «la qualité» Évolutive et souplesse (s adapter aux contextes); Disponibilité d outils et de support.
Les dix contextes clés de ISO 17799 Conformité Politique de sécurité Sécurité de L organisation Gestion de la continuité Intégrité Confidentialité Classification et contrôle des actifs Développement et maintenance Information Disponibilité Sécurité du personnel Contrôle des accès Sécurité physique et Gestion des environnementale Communications et opérations
Organisationnel Les dix contextes clés de ISO 17799 1. Politique de sécurité 2. Sécurité de l organisation 3. Classification et contrôle des actifs 7. Contrôle des accès 10. Conformité 4. Sécurité du personnel 5. Sécurité physique et environnementale Opérationnel 8. Développement et maintenance 6. Gestion des communications et opérations 9. Gestion de la continuité
Normes ISO 27001, BS 7799-2 La norme ISO 27001, publiée en Novembre 2005, définit la Politique du Management de la Sécurité des SI au sein d'une entreprise. Elle est issue de la BS 7799-2:1999 Specification for information security management systems qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire.
Normes ISO 27001, BS 7799-2 La norme ISO 27001 comprend 6 domaines de processus : 1. Définir une politique de la sécurité des informations, 2. Définir le périmètre du Système de Management de la sécurité de l'information, 3. Réaliser une évaluation des risques liés à la sécurité, 4. Gérer les risques identifiés, 5. Choisir et mettre en oeuvre les contrôles. Préparer un SoA ( "statement of applicability").
Normes ISO 27001, BS 7799-2 Comme ISO 9000, l ISO 27001 porte moins sur l efficacité des dispositions mises en place, que sur leur existence, et la mise en place d une boucle d amélioration (PDCA). BS 7799 (partie 2) propose des recommandations afin d établir un cadre de gestion de la sécurité de l'information efficace. BS 7799-2 permet d établir un système de gestion de sécurité de l information (SGSI).
Approche de gestion (Modèle PDCA)
Approche de gestion (Modèle PDCA)
Approche de gestion (Modèle PDCA)
Approche de gestion (Modèle PDCA)
Approche de gestion (Modèle PDCA)
Complémentarité avec d autres normes ISO Complémentarité avec d autres normes ISO Code de bonnes pratiques pour la gestion de la sécurité de l information ISO 17799 Produits et systèmes certifiés par ISO 15408(CC) Guide de gestion de la sécurité de la technologie de l information ISO13335 (GMITS)
1995 1998 1999 History and Development of ISMS Avril 2007 Novembre 2005 La norme ISO 17799 (partie 2), ISO 27001 Septembre 2002 Nouvelle version de BS 7799-2 revue et corrigée 2001 Décembre 2000 ISO/IEC 17799:2000 BS 7799 Partie 2 BS 7799 Partie 1 Historique Révision de BS 7799-2 La norme ISO 17799 (partie 2 :2005) renommée 27002 Standards suédois SS 62 77 99 Partie 1 et 2 Nouvelle version de BS 7799 Partie 1 et 2
Pour qui les normes? Les normes BS 7799/ISO 17799, peuvent être utilisée par tout organisme ou entreprise. Il suffit qu une organisation utilise des systèmes informatiques, à l interne ou à l externe, qu elle possède des données confidentielles, qu elle dépende de systèmes d informations dans le cadre de ses activités commerciales ou encore qu elle désire adopter un niveau élevé de sécurité tout en se conformant à une norme.
Achat en ligne du standard ISO 17799 (% par région) 9 % 18 % 23 % 35 % 6 % Autres : 9 %
Audit et certification BS 7799 / ISO 17799 Il n existe pas de certification ISO 17799 pour le moment. Une entreprise peut se conformer à ISO 17799 et ensuite se certifier BS 7799-2 : 2002, ISO 27001. Une démarche d audit peut être appuyée: Vérification interne Vérification externe (lettre d opinion) Bureau de registraire du BSI (certification officielle)
Liste d entreprises certifiés Plus de 80 000 entreprises se conforment à BS 7799/ISO 17799 à travers le monde dont: Fujitsu Limited; Insight Consulting Limited; KPMG ; Marconi Secure Systems ; Samsung Electronics Co Ltd; Sony Bank inc. ; Symantec Security Services ; Toshiba IS Corporate
Avantages Se conformer aux règles de gouvernance en matière de gestion du risque. Une meilleure protection de l information confidentielle de l entreprise ; Une réduction des risques d attaques ; Une récupération des opérations plus rapidement et plus facilement lors d attaques ;
Avantages (suite) Une méthodologie de sécurité structurée et reconnue internationalement ; Une confiance mutuelle accrue entre partenaires ; Une diminution potentielle des primes d assurance contre les risques informatiques ; Une amélioration des pratiques sur la vie privée et une conformité aux lois sur les renseignements personnels.
Méthodologie et cycle d implantation Étape de la méthodologie du cycle d implantation de la norme Initiation du projet Définition du SGSI (Système de gestion de la sécurité de l information) Évaluation des risques Description Inciter l engagement de la haute direction; Sélectionner et former les membres de l équipe initiale du projet. L identification de la portée et des limites du cadre de gestion de la sécurité de l information est déterminante pour la bonne conduite du projet. Identifier et évaluer les menaces et vulnérabilités; Calculer une valeur de risque associée; Diagnostiquer le niveau de conformité ISO 17799; Inventorier et évaluer les actifs à protéger.
Méthodologie et cycle d implantation (suite) Étape de la méthodologie du cycle d implantation de la norme Traitement de risque Formation et sensibilisation Préparation à l audit Audit Description Vous comprendrez comment la sélection et l implantation des contrôles vous permettront de réduire les risques à un niveau acceptable pour l organisation. Vos employés peuvent être le maillon faible dans la chaîne de sécurité de votre organisation. Apprenez comment valider votre cadre de gestion et ce qu il faut faire avant la venue d un auditeur externe pour la certification BS 7799-2 ou ISO27000. Apprenez-en davantage sur les étapes réalisées par les auditeurs externes et sur les organismes de certification accrédités BS 7799-2 ou ou ISO27000.
Amélioration continue
Livrables ISO 17799
Obstacles potentiels Facteur de succès Crainte, résistance au changement; Augmentation des coûts; Connaissances inadéquates pour l approche sélectionnée; Tâche apparemment insurmontable. Ressources et personnel dédiés; Expertise externe; Bonne compréhension des fonctionnements (gestion) et des processus (opérations) de gestion du risque; Communications fréquentes; Sensibilisation des gestionnaires et des employés Engagement de la direction supérieure; Structure de l approche.
Implantation ISO 17799
Références Documents BSI (www.bsi.org.uk/index.xhtml) Information Security Management: An Introduction (PD3000) Fournit une vue d'ensemble du fonctionnement pour la certification accréditée et forme une préface utile aux autres guides. Guide to BS7799 Risk Assessment and Risk Management (PD3002) Décrit les concepts sous-jacents à l'évaluation de risque de BS 7799, y compris la terminologie, le processus d'évaluation et la gestion de risque. ISO/IEC Guidelines for the Management of IT Security (GMITS) Selecting BS7799 Controls (PD3005) Décrit le processus de sélection des commandes appropriées.