35 2 889KB
Présentation de l’ISO 27001 et du modèle PDCA Août 2011 Par: Chantale Pineault ADMA, CMC, CRISC Responsable d’implémentation 27001 ISO 27005 Risk Manager / Méhari AGRM - Protection de l’information
1
Introduction La sécurité à 100% n’existe pas. • Équilibre entre facilité d’utilisation et sécurité Il faut gérer les risques. De plus en plus, la sécurité de l’information devient une obligation légale. • Loi sur la protection des renseignements personnels et les documents électroniques • Conformité à Sarbanes-Oxley (USA)
AGRM - Protection de l’information
2
Introduction Qu’est-ce que l’information? •
L'information est un actif essentiel au fonctionnement de l'organisme et nécessite en conséquence d'être bien protégé.
•
L'information peut être stockée sous différentes formes • numérique, • papier, • connaissances des salariés.
•
L'information peut être transmise par différents moyens, notamment les messageries et la communication électronique ou verbale.
•
Les TIC sont un élément essentiel dans tout organisme et facilitent la création, le traitement, le stockage, la transmission, la protection et la destruction de l'information.
AGRM - Protection de l’information
3
Introduction Qu’est-ce que la sécurité de l’information? •
La sécurité de l'information comprend trois grandes dimensions: Disponibilité Propriété d’être accessible et utilisable à la demande par une entité autorisée. Intégrité Propriété de protection de l’exactitude et de l’exhaustivité des actifs. Confidentialité Propriété selon laquelle l’information n’est pas rendue disponible ou divulguée à des personnes, des entités ou des processus non autorisés.
AGRM - Protection de l’information
4
Introduction • L’Organisation Internationale de Normalisation (ISO) est une fédération internationale d’organisations normalisatrices nationales de plus de 150 pays. • Les résultats finaux des travaux de l’ISO sont publiés en tant que normes internationales. • Plus de 16000 normes ont été publiées depuis 1947. • Rôle : faciliter la coordination internationale et l’uniformisation des normes industrielles. • La famille de normes ISO 27000 concerne la sécurité de l’information.
AGRM - Protection de l’information
5
Introduction Exigences Usage obligatoire pour la certification
ISO 27000 Vocabulaire
ISO 27002 Mesures de sécurité
ISO 27799 Organisations de santé
ISO 27006 Certification de SGSI
ISO 27001 Exigences du SGSI
ISO 27007 Audit de SGSI
Guides Usage facultatif
ISO 27003 Mise en œuvre
ISO 27005 Gestion des risques ISO 27004 Indicateurs SGSI
AGRM - Protection de l’information
6
Présentation de l’ISO 27001 ISO 27001 Gestion de la sécurité de l'information – Spécification pour les systèmes de management de la sécurité de l'information • Spécifie les exigences pour la conception, la mise en place et la documentation des SGSI • Spécifie les exigences pour la mise en œuvre de contrôles conformément aux besoins des organisations • L’annexe A se compose de 11 sections comportant 133 contrôles de ISO 27002 • Les organisations peuvent postuler à la certification à cette norme.
AGRM - Protection de l’information
7
Présentation de l’ISO 27001
Structure de la norme Clause 5 Responsabilité du management
Clause 8 Amélioration du SGSI
Clause 4.2.1 Mise en place du SGSI
Clause 4.2.4 Amélioration du SGSI
Clause 6 Audits internes du SGSI
Clause 4.2.2 Implémentation et exploitation du SGSI
Clause 4.2.3 Contrôle et revue du SGSI
AGRM - Protection de l’information
Clause 7 Revue du SGSI
8
Présentation de l’ISO 27001 ISO 27002:2005
2007
ISO 17799:2005 et ISO 27001:2005 approuvés
2005 2002
Nouveau BS 7799-2 accepté Nouveau BS 7799-2 (draft)
2001 2000 1999 1998 1995
ISO/IEC 17799:2000 Nouvelle sortie du BS 7799 Partie 1 & 2
BS 7799 Partie 2 BS 7799 Partie 1 AGRM - Protection de l’information
9
Modèle PDCA et SGSI Aussi connu sous le nom de Roue de Deming, le modèle PDCA (Plan-DoCheck-Act) est l’illustration d’une méthode de gestion en 4 étapes. La 1ère étape, Planifier, consiste à planifier la réalisation. Elle se déroule généralement en 3 phases: 1.
Identifier le problème
2.
Rechercher les causes
3.
Élaborer des solutions et un cahier des charges
P A
D C
La 2e étape, Déployer, est la construction, le développement et la réalisation de l’œuvre. La 3e étape, Contrôler, consiste à vérifier qu’il n’y a pas d’écart entre ce que l’on a dit et ce que l’on a fait. La 4e étape, Agir, est la correction et l’amélioration continue de la solution.
AGRM - Protection de l’information
10
Modèle PDCA et SGSI Qu’est-ce qu’un système de gestion? Définition formelle de l’ISO 9000: C’est un système permettant: • D’établir une politique • D’établir des objectifs • D’atteindre ces objectifs
Situation actuelle
Politique
AGRM - Protection de l’information
Objectifs
11
Modèle PDCA et SGSI
Dans l’ISO 27001, le modèle PDCA est appliqué à la structure de tous les processus d’un Système de gestion de la sécurité de l’information (SGSI, SMSI ou ISMS). L’approche proposée est une approche processus pour • l’établissement (Planifier) • la mise en œuvre et le fonctionnement (Déployer) • la surveillance et la révision (Contrôler) • la maintenance et l’amélioration (Agir) du SGSI d’un organisme.
AGRM - Protection de l’information
12
Modèle PDCA et SGSI
Modèle PDCA appliqué aux processus SGSI 1. Planifier Établissement du SGSI
2. Déployer Mise en œuvre et fonctionnement du SGSI
CYCLE DE VIE DE LA DÉFINITION, MISE EN ŒUVRE, CONTRÔLE ET AMÉLIORATION DU SGSI 4. Agir Maintenance et amélioration du SGSI
3. Contrôler Surveillance et révision du SGSI
AGRM - Protection de l’information
13
Exercice 1 - PDCA
• Contexte: Audit de pare-feu • Le pare-feu assure la segmentation du réseau au moyen de règles de filtrage. • Des nouvelles règles sont ajoutées régulièrement. • Pour de nouveaux réseaux • Pour de nouvelles applications • Pour des tests
• Une équipe compétente s’occupe de gérer le pare-feu. • Les règles commencent à s’accumuler un peu trop…
AGRM - Protection de l’information
14
Exercice 1 - PDCA
• Nécessité de protéger les données sensibles par filtrage du réseau •
11.4.5. Cloisonnement des réseaux
• La quantité de règles rend la gestion du pare-feu ardue. • Beaucoup de règles maintenant obsolètes sont toujours présentes. •
Tests achevés
•
Applications qui n’existent plus
• L’objectif de protection réseau n’est plus atteint.
• Consigne: Remédier à ce problème avec le PDCA
AGRM - Protection de l’information
15
Exercice 1 - PDCA Solution
P
PLANIFIER •
Identifier les flux autorisés.
•
Formaliser une liste de règles.
A
D
DÉPLOYER •
Configurer le pare-feu et le routeur.
C
CONTRÔLER •
S’assurer que les règles présentes dans le pare-feu et le routeur sont cohérentes avec la liste de règles.
AGIR •
Si ce n’est pas le cas, modifier la liste de règles ou la configuration.
AGRM - Protection de l’information
16
Exercice 1 - PDCA
Conclusion • Important de vérifier la cohérence de l’application de la mesure de sécurité. • Permet de traiter des règles problématiques • Supprimer des règles obsolètes ou contradictoires • Affiner les règles déjà existantes
• Réduit les risques de flux non autorisé • Contrevenant à la politique de sécurité
AGRM - Protection de l’information
17
Spécifications à l’égard de la documentation
ISO/CEI 27000, Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire
ISO/CEI 27001, Norme internationale, Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences, année 2005
ISO/CEI 27002, Norme internationale, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l’information, année 2005
ISO/CEI 27799, Informatique de santé – Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002, année 2008
Alexandre Fernandez-Toro, Management de la sécurité de l’information : Implémentation ISO 27001 : Mise en place d’un SMSI et audit de certification. Paris : Eyrolles, année 2008
www.iso.org
AGRM - Protection de l’information
18
Contact et information
AGRM-PI Société-conseils en sécurité de l’information 600 avenue Belvédère, bureau 200 Québec, QC, G1S 3E5 Téléphone: (418) 682-2779 [email protected] www.agrmpi.ca AGRM - Protection de l’information
19