ISO 17799 la norme de la sécurité de l'information



Documents pareils
Panorama général des normes et outils d audit. François VERGEZ AFAI

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

ISO/CEI 27001:2005 ISMS -Information Security Management System

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

ISO/CEI Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

Prestations d audit et de conseil 2015

Symantec Control Compliance Suite 8.6

Systèmes et réseaux d information et de communication

ITIL : Premiers Contacts

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Concepts et définitions

Montrer que la gestion des risques en sécurité de l information est liée au métier

Politique de Sécurité des Systèmes d Information

Guide de bonnes pratiques de sécurisation du système d information des cliniques

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

Qu est-ce qu un système d Information? 1

Les clauses «sécurité» d'un contrat SaaS

I partie : diagnostic et proposition de solutions

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Mise en œuvre de la certification ISO 27001

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

La politique de sécurité

REFERENTIEL DE CERTIFICATION

En synthèse. HVR pour garantir les échanges sensibles de l'entreprise

D ITIL à D ISO 20000, une démarche complémentaire

Classification : Non sensible public 2 / 22

L analyse de risques avec MEHARI

SOUTIEN INFORMATIQUE DEP 5229

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

Phase ERP : Usages et effets. Problématiques technique et organisationnelle de la phase d'exploitation de l'erp

LA CONTINUITÉ DES AFFAIRES

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Gestion de parc et qualité de service

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

JOURNÉE THÉMATIQUE SUR LES RISQUES

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Cloud Computing. Veille Technologique

Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable.

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL

Université du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r.

THEORIE ET CAS PRATIQUES

POLITIQUE DE GESTION LA GESTION DES DOCUMENTS ET DES ARCHIVES

PASSI Un label d exigence et de confiance?

Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée

SafeNet La protection

Rencontres ERFA Records Management

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

Quadra Entreprise On Demand

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Prestataire Informatique

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

1. La sécurité applicative

Catalogue de services standard Référence : CAT-SERVICES-2010-A

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

Spécifications de l'offre Surveillance d'infrastructure à distance

ITIL V3. Exploitation des services : Les fonctions

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Activité : Élaboration, mise en forme et renseignement de documents

Gestion des Incidents SSI

Formation «Système de gestion des documents d activité (SGDA)»

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Pré-diagnostic du Développement Durable

MEYER & Partenaires Conseils en Propriété Industrielle

Nouveau jeune collaborateur

RECUEIL POLITIQUE DES

Université de Lausanne

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

Association Française pour la promotion des bonnes pratiques de sourcing escm. escm for Dummies. Gilles Deparis. Introduction au référentiel escm

Ré!. PRQ42001 QUALITE PROCEDURE. Index 02. Page 1/10. AGENCE NATIONALE DE L'AvIATION PROCEDURE MAÎTRISE DES DOCUMENTS

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Audit interne. Audit interne

METIERS DE L INFORMATIQUE

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

JOURNAL OFFICIEL DE LA REPUBLIQUE ALGERIENNE N 21

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Comprendre ITIL 2011

FLEGT Note d Information

La sécurité applicative

Gestion des incidents

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Atelier " Gestion des Configurations et CMDB "

ISO conformité, oui. Certification?

Annuaires LDAP et méta-annuaires

Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

accueil Ecole Supérieure du Numérique de Normandie

Transcription:

ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information

La sécurité de l information L information constitue le capital intellectuel de chaque organisation. C est un élément important de l activité de l organisation qui nécessite une protection adéquate. La norme ISO/CEI 17799 (International Standard Organisation/Commission Electronique Internationale) établit des lignes directrices et des principes généraux dans la gestion de la sécurité de l information Elle a été élaborée par le comité technique ISO/TC JTC 1

ISO/CEI 17799:2005 La norme ISO/CEI 17799:2005 a été publiée en juin 2005 C est un code de bonne pratique (référentiel) pour la gestion de la sécurité de l information Nouvelle numérotation en 2007: ISO/CEI 27002:2005 Cette norme contient 15 articles (chapitres): Les 4 premiers chapitres définissent le cadre de la norme Les 11 chapitres suivants composés de 39 rubriques et 133 mesures définissent les objectifs de sécurité et les mesures à prendre Sites web: www.iso-17799.com www.iso17799software.com www.iso.org/iso/en/cataloguedetailpage.cataloguedetail?csnumber=39612&ics 1=35&ICS2=40&ICS3= (pour l achat de la norme 200.-CHF)

Périmètre couvert par la norme L'information qu'elle soit sous forme écrite, parlée, imagée, enregistrée, transmise, etc.. ACTIFS D'INFORMATION Bases ACTIFS et fichiers D'INFORMATION de données, Méthodes Bases et de fichiers fabrication, de données, Procédures Méthodes de d'exploitation, fabrication, Manuels Procédures utilisateurs, d'exploitation, Archives, Manuels utilisateurs, etc Archives, etc ACTIFS PHYSIQUES Salle ACTIFS informatique, PHYSIQUES Serveurs, Salle informatique, PC, imprimantes, scanner, Serveurs, etc.. PC, imprimantes, Portables, scanner, etc.. Réseaux Portables, locaux, PABX, etc Réseaux locaux, PABX, etc ACTIFS APPLICATIFS Systèmes ACTIFS APPLICATIFS d'exploitation, Applications Systèmes d'exploitation, de métier, Progiciels Applications et logiciels, de métier, Utilitaires, Progiciels et logiciels, Outils Utilitaires, de développement, etc Outils de développement, etc FOURNITURES DE SERVICES Services FOURNITURES informatiques DE SERVICES Services Services de informatiques communication Services Services généraux de communication (alimentation électrique, Services généraux climatisation, (alimentation etc..) etc. électrique, climatisation, etc..) etc.

ISO/CEI 17799:2005 n'est pas: Une norme technique orientée produit ou logiciel. Une méthode d'analyse et de gestion de risques, de classification de l'information et des actifs, etc. Une méthode est un moyen d'arriver efficacement à un objectif et un résultat défini, c'est un outil utilisé pour satisfaire une norme. Un ISMS (Information Security Management System), système de gestion de la sécurité de l information. Une certification ISO de la sécurité de l'information. La norme «ISO/CEI 27001:2005 spécifications pour un ISMS» permet la certification, elle utilise la norme ISO/CEI 17799:2005 comme référentiel.

Domaine d'application La norme ISO 17799 fournit des recommandations sur la gestion de la sécurité de l'information. C'est un référentiel pour l'élaboration des normes de sécurité des organisations et une méthode de gestion efficace de la sécurité. La norme ISO 17999 s'adresse aux responsables de la mise en œuvre ou du maintien de la sécurité de l'information. Les recommandations de cette norme sont à sélectionner et à appliquer selon les besoins du métier et des affaires de l organisation et conformément aux lois et règlements en vigueur. Equivalence USA: NIST handbook Introduction to computer security http://www.csrc.nist.gov/publications/nistpubs/

Définition de la sécurité de l information La sécurité de l'information, c'est la préservation de: La Confidentialité Le fait que l'information n'est accessible qu'aux personnes qui sont autorisées à l'accéder. L Intégrité C'est la protection de l'exactitude et de l'intégrité de l'information et des méthodes de traitement. La Disponibilité Le fait que les utilisateurs autorisés ont un accès sécurisé à l'information et ses ressources associées. La Traçabilité La définition est donnée dans la norme ISO 8402 : Aptitude à retrouver l historique, l utilisation ou la localisation d un produit ou d un processus de délivrance d un service au moyen d identifications enregistrées.

Articles La norme contient 11 articles. Ces 11 articles sont numérotés par les chapitres 5 à 15 de la norme N Articles (chapitres) ISO/CEI 17799:2005 Nbre objectifs de sécurité Nbre mesures 5 Politique de sécurité 1 2 6 Organisation de la sécurité de l information 2 11 7 Gestion des biens 2 5 8 Sécurité liée aux ressources humaines 3 9 9 Sécurité physique et environnementale 2 13 10 Gestion de l exploitation et des télécommunications 10 32 11 Contrôle d accès 7 25 12 Acquisition, développement et maintenance des systèmes d information 6 16 13 Gestion des incidents liés à la sécurité de l information 2 5 14 Continuité de l activité 1 5 15 Conformité 3 10

Rubriques Les 11 articles (chapitres) contiennent: 39 rubriques de sécurité qui sont structurées de la façon suivante: Un objectif de sécurité identifiant le but à atteindre Une ou plusieurs mesure(s) pouvant être appliquée en vue d atteindre l objectif de sécurité 133 mesures contenues dans les 39 rubriques qui sont structurées de la façon suivante: Mesure: spécifie la mesure adaptée à l objectif de sécurité Préconisation de mise en œuvre: propose des informations détaillées pour mettre en œuvre la mesure Information supplémentaires: présente des compléments d information à considérer

Exemple de structure de la norme Objectif de sécurité Mesure

Critères de succès Une bonne compréhension et évaluation des risques encourus Une mise en œuvre qui soit compatible avec la culture de l'entreprise Un soutien et un engagement visible de la direction Des compétences et des moyens pour mettre en œuvre la politique et les processus de sécurité Une présentation et une formation appropriée de la sécurité à tous les responsables et employés de l'organisation L'accès pour tous les employés aux normes et directives de sécurité de l'information

Audit de situation Interview d ~ 540 questions basées sur les 11 chapitres de la norme Pas de tests «in situ» Ce n est pas un jugement de valeur ou de compétences chap 14 chap 13 chap 15 chap 5 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% chap 6 chap 7 chap 8 Donne une «photo» de l état actuel de la SSI par rapport à la norme chap 12 chap 11 chap 10 chap 9 ISO 17799:2005 Mesures existantes et prévues Mesures existantes

Barrières Résistance humaine Atteinte à la liberté (cyberflics) Frein au business Moyens financier et humain Culture de l entreprise Culture du pays Us et coutumes, lois différentes Besoins du business Moyens coercitifs à disposition Qui peut obliger? Coupes budgétaire

Quelques liens intéressants http://www.quesaco.org/process.php?targt=question_securite Questionnaire du risque en français http://www.humanfirewall.org The security management index

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back