HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Politique de sécurité cohérente et pragmatique & ISO 27001 Club 27001,, Toulouse, 5 mars 2010 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
Sommaire Politique de sécurité Définitions Quelle référence choisir? Politiques de sécurité Politiques et ISO 27001 Politique du SMSI Politique de Sécurité des Systèmes d'information Révision de la politique Politique et Management des risques Politiques de sécurité spécifiques Communication de la politique ISO 27003 Autres politiques Conclusion 2/21
Politique de sécurité : définitions Politique de sécurité = security policy ISO 27002:2005 : Politique de Sécurité de l'information Première norme publiée Fait mention de Politique de Sécurité de l'information (Information Security Policy) Aucune mention de Politique du SMSI (ISMS Policy) ISO 27001:2005 : Politique du SMSI Seconde norme publiée Introduit la Politique du SMSI ISO27001 4.2.1.b (ISMS Policy) Surensemble de «Information Security Policy» ISO27002 5.1.1 ISO27001 4.2.1.b NOTE 3/21
Politique de sécurité : définitions Pourquoi incohérence entre ISO 27002 et ISO 27001? Trop de commentaires sur l'impossibilité de faire un SMSI là où la politique de sécurité venait d'être signée Besoin d'un autre document propre à l'engagement de mise en oeuvre d'un SMSI Normes en perpétuelles mises à jour, donc perpétuellement incohérentes entre elles 4/21
Politique de sécurité : quelle référence? Document le plus important : celui définit dans l'iso 27001 comme Politique du SMSI ISO 27001 : norme fondatrice, à suivre obligatoirement lors de la certification Majorité des cas : Politique de Sécurité de l'information = Politique du SMSI Cas complexes : enchainement de politiques imbriquées les unes dans les autres Exemple : Cf présentation d'orange-france Telecom au Club 27001 Réalité : PSSI : Politique de Sécurité des Systèmes d'information 5/21
Politique de sécurité : définitions ISO 27000:2009 : Politique Policy ISO27000 2.28 : Overall intention and direction as formally expressed by management Même définition dans ISO 27002:2005 ISO 27000:2009 : Sécurité de l'information Information Security ISO27000 2.19 : Preservation of Confidentiality, Integrity and Availability of Information In addition, other properties such as authenticity, accountability, nonrepudiation and reliability can also be involved Direction générale doit décliner sa vision pour l'organisme en vision pour la sécurité de l'information 6/21
Politiques de sécurité Plusieurs politiques Validées à des niveaux hiérarchiques différents PSI : Politique du SMSI ou Politique de Sécurité de l'information Direction générale PSSI : Politique de Sécurité des Systèmes d'information RSSI Politiques spécifiques MOE Politique du SMSI Politique de Sécurité de l'information Politique de Sécurité des Systèmes d'information Politiques de sécurité spécifiques 7/21
Politiques et ISO 27001 Direction Générale Politique du SMSI (PSI) Périmètre du SMSI ISO 27001 4.2.1.a ISO 27001 4.2.1.b ISO 27002 5.1.1.a, 5.1.1.b, 5.1.1.d.1, 5.1.1.e ISO 27003 6.1 RSSI ISO 27001 4.2.1.d, 4.2.1.e ISO 27005 8 Appréciation des risques MOE Acceptation du risque ISO 27001 4.2.1.h ISO 27005 10 Traitement des risques ISO 27002 5.1.1.c, 5.1.1.d.2, 5.1.1.e, 5.1.1.f PSSI DdA ISO 27001 4.2.1.j ISO 27001 4.2.1.f, 4.2.1.g ISO 27005 9 Politiques spécifiques Mesures de sécurité 8/21
Politique du SMSI Politique du SMSI (ISO 27001 4.2.1.b) au sommet Politique de sécurité de l'information en dessous (ISO 27002 5.1.1) mais généralement même document Engagement de la direction générale Doctrine à la sécurité de l'information Exemple : CNES Schéma directeur à la sécurité de l'information Exemple : ARJEL distingue shéma directeur SSI & politique SSI Dépend de la vision de la direction générale Stratégie de l'organisme, orientation, ISO 27002 5.1.1 mélange PSI et PSSI 9/21
Politique du SMSI Politique du SMSI ou PSI (ISO 27001 4.2.1.b) Synthétique Courte Exemple XXX : une page, 69 lignes Fondatrice Réellement lisible et compréhensible par tous les membres du comité de direction Donc par toute l'entreprise Ne doit changer sur le fond que lorsque la stratégie de l'organisme change Ne doit pas avoir de mise à jour temporelle Exemple : changement de législation ne doit pas imposer une mise à jour 10/21
Politique du SMSI Politique du SMSI ou PSI (ISO 27001 4.2.1.b) Doit inclure les critères d'acceptation des risques (ISO 27001 4.2.1.c.2) Permettra de déterminer les critères d'évaluation des risques Manquent régulièrement Aval de la direction permet d'acquérir la légitimité pour agir et faire la PSSI Revalidée ou mise à jour lors chaque revue de direction 11/21
PSSI Politique de Sécurité des Systèmes d'information Politique en dessous de la politique du SMSI est souvent la PSSI Politique habituellement imposée RGS DNS Dossier d'agrément des hébergeurs de données de santé ARJEL Souvent l'existant Générale, globale ou détaillée Exemple XXX : 183 pages signées par la direction générale 12/21
PSSI PSSI pas clairement dans les normes Mélangée avec la Politique du SMSI / PSI «Systèmes d'information» n'apparaît réellement que dans l'iso 27003 PSSI = Formulation détaillée Maîtrise d'ouvrage Mise au niveau des acteurs de la DSI qui devront majoritairement l'appliquer Mise à un niveau de détails et de précisions pour que les acteurs concernés soient cadrés Éviter les "j'ai pas compris", "je ne sais pas ce qu'il faut que je fasse" 13/21
Révision de la politique ISO 27002 5.1.2 «The information security policy should be reviewed at planned intervals» Mélange aussi PSI et PSSI Application de ISO 27001 4.2.3.f & 7.1 pour la PSI Revue de direction annuelle Application de ISO 27001 4.2.3.b pour la PSSI Réexamen régulier, pilotage Exemple : prise en compte des incidents de sécurité (ISO 27002 13.2.2) demandée dans ISO 27002 5.1.2 ISO 27002 5.1.2 plus large que juste la révision de la politique, mais réexamen global 14/21
Politiques et Management des risques Appréciation des risques applique la politique de sécurité de l'information Et pas le contraire! PSI détermine les actifs primordiaux Processus métiers, information PSI détermine la valorisation des actifs primordiaux Importance pour la direction générale Appréciation des risques contribue à déterminer la PSSI Ordre de marche précis suite au plan de traitement PSSI permet de déterminer des politiques spécifiques Opérationelles Politique de Sécurité Inf. Appréciation des risques PSSI 15/21
Politiques et Management du risque Exemple de hiérarchie documentaire Rester le plus concis possible Conserver la cohérence entre tous les documents Périmètre du SMSI Politique du SMSI Analyse des besoins Appréciation des risques Plan de traitement des risques PSSI DdA ISO 27001 4.2.1.j ISO 27005 ISO 27003 8.4 ISO 27001 4.2.1.a ISO 27001 4.2.1.b ISO 27002 5.1.1.a,.b,.d.1,.e ISO 27003 6.1, 6.6 ISO 27001 4.2.1.c (partiel) ISO 27005 7.1 ISO 27003 7 ISO 27001 4.2.1.d, 4.2.1.e ISO 27005 8 ISO 27001 4.2.1.f, 4.2.1.g ISO 27005 9 ISO 27003 8.3 ISO 27001 4.3.1.c (partiel), 5.2.1.b (partiel) ISO 27002 5.1.1.c,.d.2, 5.1.1.e,.f Politiques spécifiques ISO 27001 4.3.1.c (partiel) ISO 27002 5.1.1.f 16/21
Politiques spécifiques Politique de contrôle d'accès (ISO 27002 11.1.1) Politique de conservation des données nominatives Politique de gestion des enregistrements Politique d'échange d'information avec les tiers Politique d'accès pour les télémaintenances (ISO 27002 15.1.3) Politique de maniement des clés-mémoire USB... (ISO 27002 15.1.4) (ISO 27002 6.2.3) (ISO 27002 11.4.4) (ISO 27002 10.7.1) 17/21
Communication de la Politique Politique de sécurité de l'information doit être communiquée à tous (ISO27001 5.1 d) Courte et synthétique donc affichable PSSI? Politiques spécifiques ne sont communiquées qu'aux destinataires ayant besoin de les connaître 18/21
Politiques et ISO 27003 ISO 27003 Annexe D Propose une hiérarchie PSI Politiques spécifiques Pas de PSSI Politique du SMSI et Politique de Sécurité de l'information Peuvent être subordonnées l'une à l'autre Réciproquement 19/21
Autres politiques Dans chaque métier les patrons sont des responsables d'activité avec une équipe : DSI Finances Commercial Production Achats Qualité, PCA, Sécurité de l'information, etc, sont tranverses et pas hiérarchiquement responsables de ceux qui doivent appliquer D'où le formalisme sous forme de politiques D'où la nécessité de l'engagement de la direction 20/21
Conclusion Politique : pas une fin en soi Politique = outil Sans l'engagement et l'appui de la direction, un RSSI ne sert à rien Comme un responsable qualité 2 e édition Revue et augmentée Questions? Herve.Schauer@hsc.fr www.hsc.fr 21/21
Ressources Pour télécharger le schéma de modélisation de l'iso 27005 : http://www.hsc.fr/ressources/presentations/netclu09 27005/HSC Modelisation ISO27005.pdf Pour télécharger la norme ISO 27000 gratuitement : http://standards.iso.org/ittf/publiclyavailablestandards/ 22/21