BSides Algiers - Normes ISO 2700x - Badis Remli

  • 1,006 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,006
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
125
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Les normes ISO 2700X Une pierre angulaire pour la sécurité de l’information…
  • 2. Programme • Introduction • Un peu d’histoire • Famille ISO/IEC 2700x • Roue de Deming • ISO 27000… ISO 27007 • Conclusion 2
  • 3. Introduction Les normes partout et pour tous …
  • 4. Les normes partout et pour tous …• Référentiels pour notre activité professionnelle, mais aussi dans la vie personnelle.• Dans les produits que nous consommons et les services dont nous bénéficions.• Une aide non négligeable pour tout utilisateur 4
  • 5. Norme et normalisation Une norme désigne un état habituellement répandu ou moyen considéré le plus souvent comme une règle à suivre. C’est l’ensemble de caractéristiques décrivant un objet, un être, qui peut être virtuel ou non. La normalisation a pour objet de fournir des documents de référence, comportant des solutions à des problèmes techniques et commerciaux concernant les produits, biens et services qui se posent de façon répétée 5
  • 6. Norme et normalisation• Types de normes :Les normes de bases, de portée générale, de terminologie,d’essai, de produit, de processus, de service, d’interface ouencore portant sur des données.• Catégories des normes :« Normes internationales », les « Normes européennes »,et les « Normes nationales »• Doit être approuvée par un organisme reconnu. 6
  • 7. Un peu d’histoire Les normes à travers le temps
  • 8. Les normes à travers le temps 23 Fev 1947 ISA (International ISO AFNOR (International (Association Standard Standard Française de Association) Organisation) ASA (American NORmalisation) 1930 1946 Standard 1926 Association) 1928 BSI (British Standard Ex AESC Institut) (American 1901 Engineering Standards Committee) 1918
  • 9. International Standard Organisation Cette organisation a pour missions : • L’élaboration de normes applicables; • La promotion du développement de la standardisation et activités annexes. • Le développement des coopérations dans les sphères des différentes activités. A ce jour, face à la mondialisation des échanges, à l’évolution des besoin métiers et à la diversification des menaces, l’ISO demeure un des organismes de normalisation les plus avancés dans le domaine de la sécurité de l’information. 9
  • 10. La Famille ISO 2700x Pour la sécurité de l’information
  • 11. Quelques conventions …• La dénomination officielle des normes est du type « ISO/IEC numéro de la norme : année de dernière version ».• ISO/IEC (Commission Electrotechnique Internationale) Ex: ISO/IEC 27001 : 2005• On adoptera une appellation plus commune : « ISO 27001 » et pour généraliser « ISO 2700x » 11
  • 12. Où est la sécurité de l’information ? • JTC 1 (Joint Technical Committee) : instance traitant spécifiquement le domaine des TI (Technologie de l’Information). • JTC 1 est subdivisé en 17 SC (Sous Comités). • JTC1/SC27 traite « IT Security Techniques » et est composé de 5 WG « Working Group ».
  • 13. WG1 et les normes ISO 2700x ISO 27000 Overview and ISO 27001 vocabulary ISO 27007 ISMS Auditor requirements guidelines ISO 27002 ISO 27006 Code of ISO 2700X Accreditations practice bodies ISO 27003 ISO 27005 Implementation Risk guidance management ISO 27004 Measurment 13
  • 14. La roue de Deming Le cercle de base
  • 15. Roue de Deming : Concept PDCAP Plan , Planifier Ce que l’on va faire De faire ce que l’on a ditD Do , Développer Check, Contrôler De contrôler ce que l’on a faitC Act, Agir De corriger et d’améliorer dans leA (Adjust) (Ajuster) temps 15
  • 16. De la 27000 à la 27007 Toute une famille
  • 17. ISO 27000• Cette première norme définit les fondamentaux et le vocabulaire propres à la série.• Elle rendit obsolète la première partie d’ISO 13335, traitant des concepts et modèles relatifs à la gestion de la sécurité des TI.• A noter également que, suite aux résolutions d’une réunion plénière du SC27 tenue en Afrique du Sud (novembre 2006), il a été décidé de rendre disponible la norme ISO 27000 à titre gratuit. 17
  • 18. ISO 27001 est …• Une norme correspond à la révision de la norme BS 7799-2. Elle a été publiée en octobre 2005.• Destinée à tout type de société• Elle a pour but de décrire un objectif à atteindre et non la manière concrète dy arriver,• Est à la base de la certification d’un SMSI ( System Management Security of Information) à l’instar de ces homologues ISO 9001 pour la qualité et ISO 14001 pour l’environnement.• Une norme élaborée pour fournir un modèle détablissement, de mise en œuvre, de fonctionnement, de surveillance, de réexamen, de mise à jour et damélioration dun SMSI. 18
  • 19. ISO 27001 Plan•Définition du périmètre, Etablir un SMSI Actions correctivesdes enjeux, méthode Actions préventivesd’analyse de risques Actions d’amélioration•Mesures de sécurité àmettre en place Do Act Implanter et Maintenir et exploiter le SMSI améliorer le SMSI•Plan de traitement de risque •Archivage des incidents•Sensibilisation et •Audits internes communication •Révision de l’analyse de•Gestion des ressources Check risque•Déployer les mesures de Controller et •Mesure de l’efficacité du sécurité réviser le SMSI SMSI. 19
  • 20. ISO 27002• La norme ISO 27002 est un ensemble de 133 mesures (best practices), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien dun SMSI.• Mesures sont issues de principes de sécurité.• Principes sont regroupés en 11 domaines. 20
  • 21. ISO 27002 • 11 domaines Politique de • 39 principes de sécurité de sécurité l’information • 133 règles de Organisation Sécurité de la sécurité liée aux sécurité RH Gestion des actifs Sécurité Contrôle physique et d’accès environ- nementale Exploitation Acquisition et gestion développement des com et maintenance des SI Gestion des Conformité incidents Gestion de la continuité d’activité 21
  • 22. ISO 27003• La norme ISO 27003 a pour objectif de fournir un guide d’aide à l’implémentation des exigences d’un SMSI.• Cette norme est plus particulièrement orientée sur l’utilisation du cycle PDCA.• Elle définit les différentes exigences requises à chaque étape du cycle notamment de la phase de cadrage au déploiement du SMSI. 22
  • 23. ISO 27004• Cette norme a pour but d’aider les organisations à mesurer et à rapporter l’efficacité de l’implémentation de leur SGSI.• Guidelines pour mettre en place des indicateurs d’efficacité et de niveau de sécurité : Dashboard (Tableau de bord de la sécurité des SI)• Méthode de la mesure• Mesures de base• Indicateurs• Critères de décision• Résultats de mesure 23
  • 24. ISO 27005• Comment conduire lappréciation des risques et le traitement des risques. Etablissement du contexte Appréciation Acceptation des du risque risques Traitement du risque Communica- Surveillance tion du et réexamen risque du risque 24
  • 25. ISO 27005 Utilisable de manière autonome. Pour entreprise soumise à de fréquents changements Méthodologies d’analyse de risque conforme à l’ISO 27005 (MEHARI, EBIOS). 25
  • 26. ISO 27006 & ISO 27007• L’ISO 27006 a pour but de de fournir les pré-requis pour les organismes daudit et de certification afin de les guider sur les exigences nécessaires à atteindre pour être accrédités en tant qu’organisme de certification d’un SMSI.• L’ ISO 27007 propose les lignes directrices composant un guide spécifique pour les audits d’SMSI , notamment en support à l’ISO 27006. 26
  • 27. Conclusion• Sans véritable soutien à partir du haut un échec• Sans mise en œuvre correcte - un fardeau• Avec un support complet, la mise en œuvre correcte et engagement continu - un avantage majeur 27
  • 28. http://www.iso27001certificates.com/28
  • 29. MERCI badis.remli@gmail.com« Le monde revient toujours à la norme. Le problèmeest de savoir à la norme de qui. » D’après Stanislaw Jerzy Lec (philosophe polonais)