Dans les coulisses des normes ISO
Upcoming SlideShare
Loading in...5
×
 

Dans les coulisses des normes ISO

on

  • 1,353 views

Présentation de Bruno Guay de Chez Nurun Services Conseils dans le cadre du Colloque québécois de la sécurité de l'information (CQSI) 2011.

Présentation de Bruno Guay de Chez Nurun Services Conseils dans le cadre du Colloque québécois de la sécurité de l'information (CQSI) 2011.

Statistics

Views

Total Views
1,353
Views on SlideShare
1,347
Embed Views
6

Actions

Likes
0
Downloads
38
Comments
0

2 Embeds 6

http://paper.li 5
http://twitter.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Dans les coulisses des normes ISO Dans les coulisses des normes ISO Presentation Transcript

  • Dans les coulisses des normes ISO
    Bruno Guay
    17 octobre 2011
  • Plan de la présentation
    Introduction
    Les normes, pourquoi?
    Une norme, c’est quoi?
    Les normes, c’est qui?
    Le processus ISO, c’est quoi?
    Être membre de ISO, c’est quoi?
    Être rédacteur d’une norme ISO, c’est quoi?
  • Introduction
    Nairobi, Kenya, 10 au 14 octobre 2011
    11e rencontre du comité ISO/IEC JTC1/SC27
    200+ délégués de 46 pays
    5 déléguéscanadiens
    Qui sontces gens?
    Pourquoisont-ilsici?
    View slide
  • Introduction
    View slide
  • Les normes, pourquoi?
  • Les normes, pourquoi?
    Les normes sont une réponse à un besoin exprimé par l’industrie pour:
    Permettre l’interopérabilité
    Faciliter la communication
    Faciliter la démonstration
    Faciliter la certification
    Améliorer l’efficacité et l’efficience
    Simplifier l’acceptation
    Réduire la maintenance
  • Les normes, c’est quoi?
  • Les normes, c’est quoi?
    Unenormeest:
    un document qui fournit des lignes directrices sur les processus, les produits, les résultats;
    réaliste;
    vérifiable;
    acceptable pour toutes les parties;
    établie par voie de consensus entre experts du domaine;
    approuvée par un organisme de normalisation reconnu.
  • Les normes, c’est quoi?
    Quelquesexemples de Normes en sécurité de l’informationpubliées par ISO/IEC JTC1/SC27
    ISO/IEC 27001: Systèmes de management de la sécurité de l'information -- Exigences
    ISO/IEC 27002: Code de bonne pratique pour le management de la sécurité de l'information
    ISO/IEC 27005: Gestion des risques liés à la sécurité de l'information (remplaceISO/IEC 13335)
    ISO/IEC 27031: Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires
    ISO/IEC 27033: Sécurité de réseau
  • Les normes, c’est quoi?
    Quelquesexemples de Normes en sécurité de l’information en rédaction par ISO/IEC JTC1/SC27
    ISO/IEC 27032: Lignes directrices pour la cybersécurité
    ISO/IEC 27034: Sécurité des applications
    ISO/IEC 24760: Cadre pour la gestion de l'identité
    ISO/IEC 29100: Cadre du domaineprivé (A privacy framework)
    ISO/IEC 29115: Cadre d'assurance de l'authentification d'entité
    ISO/IEC 29146: Cadre pour gestiond'accès
    ISO/IEC 29147: Divulgation de vulnérabilité
  • Les normes, c’est qui?
  • Les normes, c’est qui?
    ISO
    IEC
    JISC
    CEN
    COPANT
    IEEE
    UPU
    ETSI
    BNQ
    BSI
    ANSI
    SCC
    ITU
    NIST
    IETF
    SAE
    DIN
    CENELEC
    W3C
  • Les normes, c’est qui?
    ISO
    IEC
    JTC 1
    SC 27
    WG 1
    WG 2
    WG 4
    WG 3
    WG 5
  • Les normes, c’est qui?
    ISO/IEC JTC1/SC27 Techniques de sécurité des technologies de l'information
    WG 1 Systèmes de management de la sécurité de l'information
    WG 2 Cryptographie et mécanismes de sécurité
    WG 3 Critères d'évaluation de la sécurité
    WG 4 Contrôles et services de sécurité
    WG 5 Gestion d'identité et technologies de domaine privé
  • Les normes, c’est qui?
    ISO/IEC JTC1/SC27
    46 pays votants
    200+ experts
    5 groupes de travail
    97 normespubliées
    2 rencontres/an
    1 plénière/an
  • Les normes, c’est qui?
    J’aimon opinion et mon expertise personnelle
    200 délégués
    600 chapeaux!
    Je représentemon pays
    Je défends les intérêts de monbailleur de fonds
  • Le processus ISO, c’est quoi?
  • Le processus ISO, c’est quoi?
  • Le processus ISO, c’est quoi?
    19
  • Le processus ISO, c’est quoi?
    Exemple: l’infonuagique (cloud computing)
    En octobre 2010, SC27 lance l’étapepréliminaire pour unenormesur la sécurité et la PRP dansl’infonuagique
    L’étuded’opportunitéestconfiée aux groupes de travail 1, 4 et 5 (gouvernance, contrôles et PRP)
    Les déléguéssontinvités à soumettre suggestions et matériel
    On lance aussil’invitation à des groupesexternes: SC38, ISACA, NIST et ITU-T
    3 responsables (rapporteurs) sontdésignés pour recevoir les contributions et produire un rapport avant la prochainerencontre
  • Le processus ISO, c’est quoi?
    21
  • Le processus ISO, c’est quoi?
    22
    Liaison statement to ITU-T FG Cloud on Identity Management, Privacy Technology, and Biometrics 
    ISO/IEC JTC 1/SC 27/WG 5 would like to thank ITU-T FG Cloud for their continued interest in the work of ISO/IEC JTC 1/SC 27/WG 5. 
    ISO/IEC JTC 1/SC 27/WG 5 would like to inform the ITU-T Focus Group Cloud Computing about the output of our WG 1, WG 4 and WG 5 Study Period on “Cloud computing security and privacy”. This Study Period recommended text for a WG 5 New Work Item Proposal (NWIP) for Cloud data protection controls. The proposed New Work Item is considered to be built based on the ISO/IEC 27000 series and is intended to establish commonly accepted data protection control objectives, controls, and guidelines for implementing controls to meet the requirements identified by a risk assessment. In particular, it will provide guidelines based on ISO/IEC 27001, taking also into consideration the regulatory requirements for data protection which may be applicable within the context of the organization's information security risk environment(s). 
    ISO/IEC JTC 1/SC 27/WG 5 also acknowledges receipt of the ITU-T Deliverable on "Cloud Security" that will be studied in ITU-T with collaboration with related SDOs. 
  • Le processus ISO, c’est quoi?
    Exemple: cloud computing (suite)
    En avril 2011, SC27 décidequ’ilestopportun de produireunetellenorme et de continuer l’étude d’opportunité sur les détails du projet
    En octobre 2011, SC27 décide de proposer troisprojets et désigne des éditeurs qui doiventpréparer un premier avant-projet (preliminary working draft)
    Les pays membres de SC27 doivent se prononcer par vote avant la prochainerencontre
    Si le vote estpositif, le travail en comitéscommencera à la prochainerencontre à l’étapepréparatoire
  • Le processus ISO, c’est quoi?
    24
  • Être membre de ISO, c’est quoi?
  • Être membre de ISO, c’est quoi?
    Êtreinvité en tantqu’expert par son organisme national
    Au Canada c’est le Conseilcanadien des normes
    Participer aux rencontresnationales
    4 rencontres par année à Ottawa (outéléconférence)
    Participer aux discussions en lignenationales et internationales
    Listes de courriels, forums, Skype
    Lire et commenter des normes en rédaction
  • Être membre de ISO, c’est quoi?
  • Être membre de ISO, c’est quoi?
  • Être membre de ISO, c’est quoi?
    Participer aux rencontresinternationales
    5 jours en octobre , 7 jours en avril/mai
    L’hôteest un pays membredont la candidature estapprouvée
    Organisée par un comité de bénévoles qui doit:
    trouver des fonds (parrains, annonceurs) et
    organiser la logistique (locaux, hébergement, transport, pauses, réseau, électricité…)
    Dernière au Canada: 2003 à Québec
    Le CCN nous reconnaîtcommedéléguéofficiel du Canada
    sans statutdiplomatique
  • Être membre de ISO, c’est quoi?
  • Être membre de ISO, c’est quoi?
    Participer aux rencontres internationales
    Coût: 20 joursd’absence + avion, hôtel, repas
    Chaque délégué doit financer son voyage
    de sapoche, ou
    par son employeur, ou
    par une association ou groupe d’intérêt
    Le Canada ne fournit que l’assurance (vie, médicale, enlèvement) en voyage
    Présence accrue et influence croissante des géants de l’industrie
    pas grave pour les normes sur les vis et les boulons
    préoccupant pour les normes sur la sécurité et la PRP
  • Être membre de ISO, c’est quoi?
    Les rencontres internationales sont essentielles
    Ateliers de travail
    On y façonne les normes en discutant du contenu et des commentaires
    Plénières de groupes de travail
    On y valide les recommandationsdes groupes de travail
    On y prend les décisions pour lecontenu des normes
    Plénières de SC27
    On y approuve les recommandations des groupes de travail
    On y prend les décisions pour la gestion du cycle de vie des normes
  • Être membre de ISO, c’est quoi?
    Les rencontres internationales sont essentielles
    Rencontres de délégation
    On y décide la stratégie nationale
    Réseautage d’experts
    On y retrouve un bagaged’expertiseimpressionnant
    Politique, conciliabules, magouilles
    On prend plus de décisionsdansles corridors quedans les auditoriums
    Un évènement social officiel
    Qui détermine la réputation du pays hôte!
    (et parfois, celle des délégués..)
  • Être membre de ISO, c’est quoi?
  • Être membre de ISO, c’est quoi?
  • Être membre de ISO, c’est quoi?
    Défis et avantages
  • Être membre de ISO, c’est quoi?
    Défis
    Absences prolongées – il faut gérer le travail qui s’accumule, les perceptions
    Inconfort – ex: 36 heures de vol, 12 heures de décalage
    Problèmes logistiques – réservations, électricité, internet, volcans, tsunamis
    Enjeux culturels – langue, coutumes, lois différentes
    C’est un crime de photographier un soldat au Kenya
    Risques pour la santé – eau, nourriture, maladies tropicales
    Milieux hostiles – instabilité politique, économique et sociale
  • Être membre de ISO, c’est quoi?
    Avantages
    Réseautage avec des experts internationaux
    Formation – vision élargie, expériencevariée
    Êtresénior ne veut pas dire faire la même chose pendant 20 ans
    Bonification du CV personnel et d’entreprise
    Liens d’amitié avec des gens de provenances diverses
    Voyages – occasion de sortir des sentiersbattus
    Économie – bonne occasion pour des vacanceséloignées!
    Pour la firme, c’est
    l’occasion d’être un acteurplutôtqu’unspectateur
    démontrerqu’elleestprête à investirdans la croissance et la maturité du domaine
  • Être rédacteur d’une norme ISO, c’est quoi?
  • Être rédacteur d’une norme ISO, c’est quoi?
    Rédiger le document
    Le déposeravantl’échéance
    Recevoir les commentaires
    Traiter les commentaires
    Présider les ateliers de travail
    Intégrer les commentairesdansune nouvelle version du document
    Recommencer pour chaqueitérationtous les 6 mois
    200 à 300 heures par année
  • En conclusion
    Les normesélaborées par le SC27 sontd’une importance croissante pour la sécurité de l’information
    Ellessont de plus en plus reconnuesdansl’industrie
    Cesnormessont le résultat d’un consensus entre experts internationaux
    Ces experts effectuent un travail énorme en coulisses
    Pour le bien de tous, davantage de partenairesdoivents’impliquerdans le processus