1 Pdca Iso 27001 [PDF]

Zitiervorschau

Présentation de l’ISO 27001 et du modèle PDCA Août 2011 Par: Chantale Pineault ADMA, CMC, CRISC Responsable d’implémentation 27001 ISO 27005 Risk Manager / Méhari AGRM - Protection de l’information

1

Introduction La sécurité à 100% n’existe pas. • Équilibre entre facilité d’utilisation et sécurité Il faut gérer les risques. De plus en plus, la sécurité de l’information devient une obligation légale. • Loi sur la protection des renseignements personnels et les documents électroniques • Conformité à Sarbanes-Oxley (USA)

AGRM - Protection de l’information

2

Introduction Qu’est-ce que l’information? •

L'information est un actif essentiel au fonctionnement de l'organisme et nécessite en conséquence d'être bien protégé.

•

L'information peut être stockée sous différentes formes • numérique, • papier, • connaissances des salariés.

•

L'information peut être transmise par différents moyens, notamment les messageries et la communication électronique ou verbale.

•

Les TIC sont un élément essentiel dans tout organisme et facilitent la création, le traitement, le stockage, la transmission, la protection et la destruction de l'information.

AGRM - Protection de l’information

3

Introduction Qu’est-ce que la sécurité de l’information? •

La sécurité de l'information comprend trois grandes dimensions: Disponibilité Propriété d’être accessible et utilisable à la demande par une entité autorisée. Intégrité Propriété de protection de l’exactitude et de l’exhaustivité des actifs. Confidentialité Propriété selon laquelle l’information n’est pas rendue disponible ou divulguée à des personnes, des entités ou des processus non autorisés.

AGRM - Protection de l’information

4

Introduction • L’Organisation Internationale de Normalisation (ISO) est une fédération internationale d’organisations normalisatrices nationales de plus de 150 pays. • Les résultats finaux des travaux de l’ISO sont publiés en tant que normes internationales. • Plus de 16000 normes ont été publiées depuis 1947. • Rôle : faciliter la coordination internationale et l’uniformisation des normes industrielles. • La famille de normes ISO 27000 concerne la sécurité de l’information.

AGRM - Protection de l’information

5

Introduction Exigences Usage obligatoire pour la certification

ISO 27000 Vocabulaire

ISO 27002 Mesures de sécurité

ISO 27799 Organisations de santé

ISO 27006 Certification de SGSI

ISO 27001 Exigences du SGSI

ISO 27007 Audit de SGSI

Guides Usage facultatif

ISO 27003 Mise en œuvre

ISO 27005 Gestion des risques ISO 27004 Indicateurs SGSI

AGRM - Protection de l’information

6

Présentation de l’ISO 27001 ISO 27001 Gestion de la sécurité de l'information – Spécification pour les systèmes de management de la sécurité de l'information • Spécifie les exigences pour la conception, la mise en place et la documentation des SGSI • Spécifie les exigences pour la mise en œuvre de contrôles conformément aux besoins des organisations • L’annexe A se compose de 11 sections comportant 133 contrôles de ISO 27002 • Les organisations peuvent postuler à la certification à cette norme.

AGRM - Protection de l’information

7

Présentation de l’ISO 27001

Structure de la norme Clause 5 Responsabilité du management

Clause 8 Amélioration du SGSI

Clause 4.2.1 Mise en place du SGSI

Clause 4.2.4 Amélioration du SGSI

Clause 6 Audits internes du SGSI

Clause 4.2.2 Implémentation et exploitation du SGSI

Clause 4.2.3 Contrôle et revue du SGSI

AGRM - Protection de l’information

Clause 7 Revue du SGSI

8

Présentation de l’ISO 27001 ISO 27002:2005

2007

ISO 17799:2005 et ISO 27001:2005 approuvés

2005 2002

Nouveau BS 7799-2 accepté Nouveau BS 7799-2 (draft)

2001 2000 1999 1998 1995

ISO/IEC 17799:2000 Nouvelle sortie du BS 7799 Partie 1 & 2

BS 7799 Partie 2 BS 7799 Partie 1 AGRM - Protection de l’information

9

Modèle PDCA et SGSI Aussi connu sous le nom de Roue de Deming, le modèle PDCA (Plan-DoCheck-Act) est l’illustration d’une méthode de gestion en 4 étapes. La 1ère étape, Planifier, consiste à planifier la réalisation. Elle se déroule généralement en 3 phases: 1.

Identifier le problème

2.

Rechercher les causes

3.

Élaborer des solutions et un cahier des charges

P A

D C

La 2e étape, Déployer, est la construction, le développement et la réalisation de l’œuvre. La 3e étape, Contrôler, consiste à vérifier qu’il n’y a pas d’écart entre ce que l’on a dit et ce que l’on a fait. La 4e étape, Agir, est la correction et l’amélioration continue de la solution.

AGRM - Protection de l’information

10

Modèle PDCA et SGSI Qu’est-ce qu’un système de gestion? Définition formelle de l’ISO 9000: C’est un système permettant: • D’établir une politique • D’établir des objectifs • D’atteindre ces objectifs

Situation actuelle

Politique

AGRM - Protection de l’information

Objectifs

11

Modèle PDCA et SGSI

Dans l’ISO 27001, le modèle PDCA est appliqué à la structure de tous les processus d’un Système de gestion de la sécurité de l’information (SGSI, SMSI ou ISMS). L’approche proposée est une approche processus pour • l’établissement (Planifier) • la mise en œuvre et le fonctionnement (Déployer) • la surveillance et la révision (Contrôler) • la maintenance et l’amélioration (Agir) du SGSI d’un organisme.

AGRM - Protection de l’information

12

Modèle PDCA et SGSI

Modèle PDCA appliqué aux processus SGSI 1. Planifier Établissement du SGSI

2. Déployer Mise en œuvre et fonctionnement du SGSI

CYCLE DE VIE DE LA DÉFINITION, MISE EN ŒUVRE, CONTRÔLE ET AMÉLIORATION DU SGSI 4. Agir Maintenance et amélioration du SGSI

3. Contrôler Surveillance et révision du SGSI

AGRM - Protection de l’information

13

Exercice 1 - PDCA

• Contexte: Audit de pare-feu • Le pare-feu assure la segmentation du réseau au moyen de règles de filtrage. • Des nouvelles règles sont ajoutées régulièrement. • Pour de nouveaux réseaux • Pour de nouvelles applications • Pour des tests

• Une équipe compétente s’occupe de gérer le pare-feu. • Les règles commencent à s’accumuler un peu trop…

AGRM - Protection de l’information

14

Exercice 1 - PDCA

• Nécessité de protéger les données sensibles par filtrage du réseau •

11.4.5. Cloisonnement des réseaux

• La quantité de règles rend la gestion du pare-feu ardue. • Beaucoup de règles maintenant obsolètes sont toujours présentes. •

Tests achevés

•

Applications qui n’existent plus

• L’objectif de protection réseau n’est plus atteint.

• Consigne: Remédier à ce problème avec le PDCA

AGRM - Protection de l’information

15

Exercice 1 - PDCA Solution

P

PLANIFIER •

Identifier les flux autorisés.

•

Formaliser une liste de règles.

A

D

DÉPLOYER •

Configurer le pare-feu et le routeur.

C

CONTRÔLER •

S’assurer que les règles présentes dans le pare-feu et le routeur sont cohérentes avec la liste de règles.

AGIR •

Si ce n’est pas le cas, modifier la liste de règles ou la configuration.

AGRM - Protection de l’information

16

Exercice 1 - PDCA

Conclusion • Important de vérifier la cohérence de l’application de la mesure de sécurité. • Permet de traiter des règles problématiques • Supprimer des règles obsolètes ou contradictoires • Affiner les règles déjà existantes

• Réduit les risques de flux non autorisé • Contrevenant à la politique de sécurité

AGRM - Protection de l’information

17

Spécifications à l’égard de la documentation


ISO/CEI 27000, Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire




ISO/CEI 27001, Norme internationale, Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences, année 2005




ISO/CEI 27002, Norme internationale, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l’information, année 2005




ISO/CEI 27799, Informatique de santé – Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002, année 2008




Alexandre Fernandez-Toro, Management de la sécurité de l’information : Implémentation ISO 27001 : Mise en place d’un SMSI et audit de certification. Paris : Eyrolles, année 2008




www.iso.org

AGRM - Protection de l’information

18

Contact et information

AGRM-PI Société-conseils en sécurité de l’information 600 avenue Belvédère, bureau 200 Québec, QC, G1S 3E5 Téléphone: (418) 682-2779 [email protected] www.agrmpi.ca AGRM - Protection de l’information

19