Iso 27002 [PDF]

Zitiervorschau

ISO 27002 - Présentation de la norme ISO 27002 1. INTRODUCTION ISO/IEC 27002 version 2005 est le volet qui traite des techniques de Sécurité de l'information. C'est un guide pratique pour la gestion de la Sécurité de l'information. En complément d'ISO/IEC 27001, il permet d'accompagner le processus de mise en œuvre d'un SMSI. La norme ISO/IEC 27002 fournit des recommandations de gestion de la Sécurité de l'information au lecteur responsable d'initier, implémenter et maintenir la sécurité. 2. ÉVALUATION ET TRAITEMENT DES RISQUES. [SECTION 4 DE LA NORME] La présente section de la norme ISO/IEC 27002 couvre les aspects de gestion des risques. En revanche la norme ne donne aucune indication quant à la méthode de gestion des risques. Afin d'aller plus loin dans la gestion des risques nous vous invitons à lire ISO/IEC 27005 ou à vous intéresser aux méthodes telles que EBIOS ou MÉHARI. 3. POLITIQUE DE SECURITE [SECTION 5 DE LA NORME] La Direction ou le management doit formaliser une politique de sécurité. Cette politique est une déclaration d'intention quant à la direction prise par l'organisme, à sa volonté de soutenir la sécurité de l'information. La politique est un manuel décrivant les normes appliquées et applicables, les procédures et processus mises en œuvre et l'ensemble des directives de sécurité de l'entreprise. 4. ORGANISATION DE LA SECURITE DE L'INFORMATION [SECTION 6 DE LA NORME] ISO/IEC 27002 nécessite qu'une structure appropriée de gestion de la sécurité de l'information doit être désignée et mise en œuvre. 4.1 ORGANISATION INTERNE L'organisme doit définir un cadre de gestion de la sécurité de l'information. La direction doit donner la direction du projet et assurer son engagement en validant formellement la politique de sécurité par exemple. Les rôles et responsabilités doivent être définis dans la gestion de la sécurité de l'information. Les revues du SMSI doivent être réalisées par des équipes indépendantes. 4.2 TIERCES PARTIES La mise en service de produits et services provenant de tierce partie (fournisseurs, mainteneurs, etc.) ne doivent en aucun cas compromettre la sécurité de l'information. Les risques concernant les tierces parties doivent être évalués et réduits autant que possible lorsque l'organisme contractualise soit avec des clients soit avec des fournisseurs externes. Les risques identifiés et les mesures de réduction des risques doivent être enregistrés pour apporter la preuve de cette activité. 5. GESTION DES ACTIFS [SECTION 7 DE LA NORME] L'organisme doit être en mesure de connaitre l'ensemble des actifs (Serveurs, Routeurs, Logiciels, Applications, etc.) qu'il possède afin de gérer efficacement leur sécurité.

5.1 RESPONSABILITE DES ACTIFS (ASSETS) Tous les actifs inventoriés doivent être affectés à des possesseurs. L'inventaire des actifs doit être maintenu et mis à jour et doit contenir le possesseur et la localisation de chaque actif. 5.2 CLASSIFICATION DE L'INFORMATION Les informations doivent être classifiées en fonction de leur besoin respectif de protection. Les actifs doivent être identifiés et étiquetés. Notez que selon leur classification et leur importance les actifs doivent être groupés et que des contrôles appropriés doivent être mis en œuvre afin de s'assurer de l'efficacité des dispositions sécuritaires. 6. SECURITE DES RESSOURCES HUMAINES [SECTION 8 DE LA NORME] L'organisation qui initie un projet ISO/IEC 27 002 doit mettre en œuvre et maintenir un système de gestion des accès, notamment concernant le personnel entrant ou quittant l'entreprise. L'organisme doit par ailleurs s'assurer que des actions de sensibilisation aux enjeux de sécurité sont entreprises, et des actions de formations sont mises en œuvre conformément aux besoins identifiés. 6.1 EN AMONT DE L'EMBAUCHE Lors d'un recrutement l'entreprise doit prendre en compte les futures prérogatives sécurité du salarié. Cela concerne aussi les prestataires externes et intérimaires. Les responsabilités, en termes de sécurité, doivent faire l'objet d'une formalisation dans le contrat de travail. Il s'agit par exemple du respect de la charte informatique, des rôles et responsabilité de tout un chacun dans l'entreprise. 6.2 DURANT L'EMPLOI L'entreprise doit en outre définir les responsabilités en termes de gestion de la sécurité. A ce titre les employés et tierces parties doivent être sensibilisés, formés et informés quant aux procédures sécurité et à leur responsabilité dans le respect et la mise en œuvre de ces directives. En outre il est nécessaire de formaliser les sanctions disciplinaires encourues pour traiter le cas des infractions à la sécurité. 6.3 RUPTURE DU CONTRAT OU CHANGEMENT D'EMPLOYEUR L'organisme doit mettre en œuvre les dispositions permettant de s'assurer que les habilitations et droits d'accès du personnel sortant soient rétirés. 7. SECURITE PHYSIQUE ET ENVIRONNEMENTALE [SECTION 9 DE LA NORME] Les actifs et particulièrement ceux qui revêtent une importance supérieure pour l'entreprise doivent être protégé physiquement contre les malveillances, le dommage, la perte accidentelle, etc. 7.1 ZONES DE SECURITE L'organisme doit s'assurer qu'un dispositif de contrôle physique est mis en œuvre afin de protéger les équipements sensibles contre les accès non autorisés. 7.2 ÉQUIPEMENT DE SECURITE Les composants IT, les câbles, les équipements électriques, les onduleurs, etc. doivent être protégés contre les dommages physiques, les incendies, les inondations, le vol. Ces dispositions doivent intégrer à la fois les équipements sur site et hors des locaux de l'entreprise.

Les équipements d'alimentation électriques ainsi que les câblages doivent être assurés par l'entreprise. Enfin tous les équipements doivent être entretenus et faire l'objet de procédure de recyclage intégrant des dispositions sécuritaires, telle que l'effacement des données sur les disques durs. 8. GESTION DES COMMUNICATIONS ET DES OPERATIONS [SECTION 10 DE LA NORME] Cette section de la norme ISO/IEC 27 002 décrit les dispositions spécifiques aux contrôles de sécurité des systèmes ainsi qu'à la gestion de la sécurité des réseaux. 8.1 RESPONSABILITES ET PROCEDURES OPERATIONNELLES L'organisme s'engage à formaliser les responsabilités opérationnelles et à documenter les procédures. A ce titre toutes les modifications apportées sur des équipements informatiques ou des systèmes doivent être contrôlés. Les habilitations sur les systèmes doivent être alignés sur les prérogatives des collaborateurs et permettre ainsi de cloisonner par exemple un administrateur système d'un utilisateur simple sur un système de fichier. 8.2 LIVRAISON DE SERVICE PAR DES TIERCES PARTIES Les exigences de sécurité doivent être prises en compte lors du recours à des tierces parties telles que des fournisseurs externes, des constructeurs, des mainteneurs. Les exigences concernant les changements et la maintenance par des tiers doivent être formalisées contractuellement. 8.3 PLANIFICATION ET ACCEPTATION DES SYSTEMES Cette sous-section d'ISO/IEC 27 002 couvre les dispositions spécifiques à la planification de la capacité de production et les processus d'acceptation. 8.4 PROTECTION CONTRE LE CODE MOBILE ET MALICIEUX L'organisme doit mettre en œuvre un dispositif de lutte et de contrôle contre le code mobile, et disposer de logiciels permettant de lutter efficacement contre les logiciels malveillants tels que les "spyware". 8.5 SAUVEGARDE Cette section couvre tous les aspects concernant la sauvegarde des données, mais aussi et surtout des tests de restauration. 8.6 GESTION DE LA SECURITE DES RESEAUX L'organisme doit mettre en œuvre une gestion sécurisé des réseaux, ainsi que les moyens nécessaires à la surveillance de la sécurité des réseaux. Ces dispositions incluent les réseaux internes, externes (liaisons avec des partenaires) et réseaux externalisés et/ou infogérés. 8.7 GESTION DES SUPPORTS L'organisme doit mettre en place des procédures opérationnelles pour protéger :    

les documents, les supports informatiques, les données, le système d'information,

L'organisme doit s'assurer que les données sont éliminées conformément à leur cycle de vie. Enfin, des procédures doivent être définies pour la sécurité des opérations de manutention, de transport et de stockage d'une part et d'autre part de la documentation sur le système.

8.8 ÉCHANGE DES INFORMATIONS L'organisme doit s'assurer que tous les échanges d'information avec des organisations externes sont contrôlés. Non seulement les échanges doivent être conformes aux procédures et politiques applicables, mais aussi conformément à la législation en vigueur. Des dispositions sécuritaires doivent être mise en place afin de s'assurer de la protection des informations et documents transitant hors et à l'intérieur de l'entreprise, tels que les emails, les échanges de données EDI, les données échangées entre les systèmes d'information, etc. 8.9 SERVICES DE COMMERCE ELECTRONIQUE Pour le cas où l'organisme a recours ou met en œuvre des services de commerces électronique, les enjeux potentiels en termes de sécurité doivent être évalués et faire l'objet de contrôles appropriés. L'intégrité et la disponibilité des informations publiées, notamment sur des sites Internet, doivent être assurées. 8.10 MONITORING La surveillance et le monitoring couvre :      

la détection d'événements de sécurité les alertes de surveillance, les détections d'utilisation non autorisées, les tentatives d'exploit, les failles du système, etc.

9. CONTROLES D'ACCES [SECTION 11 DE LA NORME] Les accès "logiques" aux systèmes informatiques, aux réseaux et aux données doivent être contrôlés afin de prévenir toute utilisation non autorisée. 9.1 EXIGENCES BUSINESS SUR LES CONTROLES D'ACCES Une politique de contrôle d'accès doit être formalisée. Elle doit inclure à minima l'accès aux actifs, aux informations. En fonction des profils et des rôles du personnel la politique de contrôle doit spécifier qui peut avoir accès à quoi. 9.2 GESTION DES ACCES UTILISATEURS Des procédures administratives doivent être mises en œuvre afin de s'assurer que les droits d'accès affectés aux utilisateurs sont correctement enregistrés et suivis. 9.3 RESPONSABILITES DES UTILISATEURS Les utilisateurs doivent avoir conscience de leur implication et de leur responsabilité quant au maintien de l'efficacité des contrôles d'accès. Cela se traduit par la sensibilisation à l'utilisation de mots de passe complexes et confidentiels. Enfin l'accès aux postes de travail doit être sécurisé lorsque le collaborateur quitte son bureau. 9.4 CONTROLES D'ACCES AU RESEAU L'accès à tous les services réseau doit être contrôlé, tant en interne que lors des relations avec l'extérieur.

La politique concernant les contrôles d'accès doit être formalisée et les utilisateurs distants doivent être dûment authentifiés. 9.5 CONTROLES D'ACCES AU SYSTEME D'EXPLOITATION Des dispositions concernant la gestion des postes de travail doivent être déployées. Il s'agit notamment de l'authentification systématique de l'utilisateur, de l'utilisation de comptes individuels, d'enregistrement des privilèges accordés à l'utilisateur, etc. L'accès aux outils d'administration systèmes doit être contrôlé. 9.6 CONTROLES D'ACCES AUX APPLICATIONS ET A L'INFORMATION L'accès aux applications doit être contrôlé conformément à une politique de contrôle d'accès prédéfinie. Les applications particulièrement sensibles peuvent nécessiter la mise en œuvre de plates-formes dédiées ou de contrôles supplémentaires. 9.7 TELETRAVAIL ET INFORMATIQUE MOBILE L'organisme doit formaliser une politique portant sur la sécurité de l'utilisation des PC portables, PDA, téléphones portables etc. Elle doit par ailleurs garantir la sécurité dans le cadre du télétravail, via par exemple un tunnel IPSEC. 10. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES D'INFORMATION [SECTION 12 DE LA NORME] La sécurité de l'information doit être prise en compte et intégrée lors de la spécification, la conception, l'acquisition, les tests, la mise en œuvre et le maintien des technologies de l'information. 10.1 EXIGENCES DE SECURITE DES SYSTEMES D'INFORMATION Les contrôles automatique et/ou manuel de sécurité doivent être identifiés et analysés lors de la phase de développement de systèmes ou lors du processus d'acquisition. Les logiciels acquis par l'entreprise doivent être officiellement testés d'un point de vue sécurité. Et les risques encourus doivent être évalués. 10.2 CONTROLE DES TRAITEMENTS DANS LES APPLICATIONS La saisie, le traitement et la validation des données ainsi que les contrôles d'authentification doivent être assurés afin de s'assurer de l'intégrité des données. 10.3 CONTROLES CRYPTOGRAPHIQUES Une politique en matière de cryptographie doit être définie. Elle porte sur les rôles et les responsabilités, les signatures numériques, la non-répudiation, la gestion des clés et certificats numériques, etc. 10.4 SECURITE DES FILE SYSTEMES L'organisme doit s'assurer que l'accès au système de fichiers, ainsi qu'aux exécutables et au code source, sont contrôlés. 10.5 SECURISATION DU DEVELOPPEMENT ET PROCESSUS DE SOUTIEN L'organisme doit charger les gestionnaires d'applications de contrôler l'accès aux environnements de projet et de support. Les processus de contrôle des changements doivent être formalisés et mis en œuvre. Ils doivent inclure des revues techniques exhaustives.

Enfin, l'organisme doit veiller à mettre en œuvre des surveillances et des contrôles de surveillance pour les développements externalisés. 10.6 GESTION DES VULNERABILITES TECHNIQUES Les vulnérabilités techniques concernant les systèmes et les applications doivent être contrôlées par la mise en place d'un suivi des annonces des failles de sécurité. L'évaluation des risques sur l'application et/ou le système d'un correctif de sécurité doit être réalisée avant son déploiement. 11. Gestion des incidents de sécurité de l'information [section 13 de la norme] Les événements de sécurité, les incidents et les failles ou points faibles doivent être signalés rapidement et gérées promptement. 11.1 RAPPORTS SUR LES EVENEMENTS ET FAILLE DE SECURITE Chaque incident doit faire l'objet d'un compte rendu. Une procédure d'alerte doit exister et être utilisée. Des procédures de réponse et de l'escalade doivent être associées aux alertes et aux incidents. Un SPOC (point de contact unique) doit être informés des rapports d'incidents qui le concernent, c'est à dire relatifs à la sécurité de l'information. 11.2 GESTION ET AMELIORATION DES INCIDENTS DE SECURITE Des responsabilités et des procédures sont requises pour   

gérer les incidents de manière cohérente et efficace, mettre en œuvre l'amélioration continue, recueillir des preuves concernant le suivi des incidents de sécurité et leur traitement.

12. GESTION DE LA CONTINUITE BUSINESS [SECTION 14 DE LA NORME] Cette section décrit la relation entre le plan de continuité IT, la continuité Business, et la planification d'urgence. Elle couvre l'analyse, la documentation et les plans de test. Tous les contrôles sont conçus pour minimiser l'impact des incidents de sécurité pouvant survenir malgré les contrôles préventifs mis en œuvre par l'organisme. Il s'agit notamment des sinistres ou incidents majeurs. 13. CONFORMITE [SECTION 15 DE LA NORME] 13.1 CONFORMITE AVEC LES EXIGENCES LEGALES L'organisation doit se conformer à la législation en vigueur, tel que le droit d'auteur, la protection des données (y compris les données financières), etc. 13.2 CONFORMITE TECHNIQUE, CONFORMITE AVEC LES POLITIQUES DE SECURITE ET LES NORMES La Direction et les propriétaires des systèmes doivent veiller au respect des politiques de sécurité et des normes. A cet effet des revues de sécurité doivent être réalisée afin de statuer sur l'efficacité du dispositif. Il peut s'agir en outre de revoir les résultats de tests d'intrusion, etc. 13.3 CONSIDERATIONS SUR L'AUDIT DES SI Les audits devraient être soigneusement planifiés afin de minimiser les perturbations sur les systèmes opérationnels.