Mars 2005 France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 2 ISO 17799:2000 - Historique ORIGINE A lorigine de cette norme, on trouve la BS 7799, standard britannique dvelopp il y a sept ou huit ans. Cest un document en deux parties : BS 7799 Part 1 : Code of Practice for information security management, BS 7799 Part 2 : Specification for information security management. LISO 17799, qui ne reprend que la partie 1 de la BS 7799, a t vot en 2000 l'issue d'une procdure de fast track. Cette norme est en cours de rvision pratiquement depuis cette date. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 3 ISO 17799:2000 - Champ CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT Champ : Linformation est un actif important quil convient de protger de faon approprie quelle que soit sa forme (crite ou orale, lectronique ou visuelle,) ou son support. La scurit de linformation traite trois aspects : Confidentialit : Linformation nest accessible que par ceux qui y sont autoriss. Intgrit : Pertinence et compltude des informations et des moyens de traitement. Disponibilit : Les utilisateurs autoriss ont accs aux informations et aux supports associs quand il le faut. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 4 ISO 17799:2000 Principes (1/2) LES PRINCIPES (1) Dfinir les exigences de scurit : Trois sources Environnement lgal, rglementaire et contractuel, valuation des risques, Rfrences internes lentreprise. Choisir les rfrences des contrles : Au plan lgislatif (droits dauteur, traces, protection des donnes et informations nominatives). En tant que documents internes de bonne pratique (politique de scurit, dfinition des responsabilits, plans de formation et de sensibilisation, recensement des incidents de scurit, plans de continuit de lactivit). Dix chapitres de recommandations. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 5 ISO 17799:2000 Principes (2/2) LES PRINCIPES (2) Les facteurs critiques de russite issus de lexprience (BS 7799) : La politique de scurit, les objectifs et les activits doivent reflter les objectifs de lentreprise. La mise en place de la scurit doit respecter la culture de lentreprise. Implication et soutien visibles de lencadrement. Bonne comprhension des exigences de scurit, de lvaluation et de la gestion du risque. Marketing efficace de la scurit tout le personnel. Distribution tous de guides sur la politique et les normes de scurit. Mise en place dune formation et dune sensibilisation appropries. Supervision complte et quilibre de la scurit. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 6 ISO 17799:2000 Chapitre 1 CH. 1 POLITIQUE DE SCURIT Document issu de la Direction de lentreprise. - Dfinition de la scurit de linformation, de son champ, de ses objectifs et du besoin de scurit pour permettre laccs partag linformation. - Une dclaration de la Direction soutenant buts et principes du projet. - Dfinition des responsabilits gnrales et spcifiques. CH. 2 - ORGANISATION DE LA SCURIT Existence dun forum de gestion de la scurit. (mise jour de la politique de scurit, volution significative des risques et menaces, incidents de scurit). Dans une grande entreprise, une structure transverse permet de coordonner les mesures de scurit (analyse des risques, sensibilit de l'information, incidents). Traitement de l'organisation concernant les accs de tiers l'information ou la sous-traitance France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 7 ISO 17799:2000 Chapitres 3, 4 et 5 CH. 3 CLASSIFICATION ET CONTRLE Recensement et imputabilit des actifs. Classification de l'information en terme de sensibilit et de criticit. CH. 4 - SCURIT DU PERSONNEL Introduction de la scurit dans les descriptions de postes. Contrles lors du recrutement ou de l'affectation un poste. Clauses de confidentialit, de scurit, formation et sensibilisation. Traitement des incidents. CH. 5 SCURIT PHYSIQUE ET ENVIRONNEMENTALE Domaines de scurit et primtre de scurit (contrles, conditions de travail, cas des livraisons ou des expditions). quipement de scurit. Contrles gnraux (bureau net, destruction ou enlvement de produits). France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 8 ISO 17799:2000 Chapitres 6 et 7 CH. 6 GESTION DES TCHES ET DES COMMUNICATIONS Procdures et responsabilits associes. Protection contre les logiciels "malicieux" (virus, vers, chevaux de Troie). Back-up, traces, traitement des incidents. Gestion du rseau. changes d'informations ou de logiciels (dispositions contractuelles, transport, courrier lectronique). CH. 7 CONTRLE D'ACCS Politique de contrle d'accs. Gestion des accs utilisateurs (enregistrement, habilitation, authentifiant). Responsabilits des utilisateurs. Contrle de l'accs aux rseaux et services, aux systmes d'exploitation et aux applications. Cas des mobiles et du tltravail. Gestion des systmes de contrle et ractivit (traces, analyses, risques). France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 9 ISO 17799:2000 Chapitre 8 CH. 8 DVELOPPEMENT ET MAINTENANCE DES SYSTMES Spcifications et analyse des exigences de scurit. Scurit des applications (validation des donnes entrantes et sortantes, authentification des messages, contrles de fonctionnement et dintgrit). Contrles bass sur la cryptographie (chiffrement, signature, non-rpudiation, gestion des cls). Scurit des fichiers et des donnes systme. Scurit du dveloppement et procdures de soutien (dont contrles dvolution, recherche des canaux cachs et des chevaux de Troie). France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 10 ISO 17799:2000 Chapitres 9 et 10 CH. 9 GESTION DE LA CONTINUIT Procdures de gestion. Exigences et analyses dimpact. laboration et mise en place des plans de continuit. Tests et mises jour des plans. CH. 10 - CONFORMIT Exigences lgales et rglementaires (copyright, traces et valeur probante, informations nominatives, cryptologie). Compatibilit avec la politique de scurit. Contrle des audits et protection des outils associs. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 11 ISO 17799 Rvision en cours Nouveau document plus toff (de 86 pages plus de 120). Analyse plus complte et plus cohrente. Dcomposition de chaque lment rfrenc de la manire suivante : Description de lobjectif, Contrle(s) mettre en place. Pour chaque contrle, on indique : Ce qui doit tre fait, lments dimplmentation, Informations complmentaires (aspects lgaux ou rglementaires, autres normes de rfrence,). France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 12 ISO 17799 Rvision en cours Deux nouveaux chapitres : valuation et traitement des risques (analyse et valuation des risques, renvoi aux MICTS). Gestion des incidents de scurit de linformation (remonte dvnements, connaissance des vulnrabilits, gestion des incidents, apprentissage et amliorations). Nouvelle version en 2005. Stade actuel FDIS (Final Draft international Standard). France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 13 ISO 17799 et normes associes ISMS (Information Security management System) prvu pour 2006. Le seul document de base actuellement retenu pour les travaux est la BS 7799-2. Approche PDCA (Plan, Do, Check, Act) issue des normes sur la qualit. Compatibilit avec les normes ISO 9001 (qualit) et ISO 14001 (environnement). Annexe A, normative, sur les objectifs et les contrles. Le plan suivi est celui de l'ISO 17799:2000. Annexe B, informative, sur l'utilisation de la norme. Annexe C, informative, sur la correspondance entre BS 7799-2, ISO 9001 et ISO 14001. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 14 ISMS (1/4) ISMS (Information Security management System) prvu comme norme internationale pour 2006. Le seul document de base actuellement retenu pour les travaux est la BS 7799-2. En introduction, il fait rfrence au modle PDCA (Plan, Do Check, Act)issu de l'approche qualit et connu aussi sous le nom de Roue de Deming. Le document est dclar compatible avec l'ISO 9001 (qualit) et l'ISO 14001 (environnement). Il dcrit ensuite comment dvelopper, mettre en uvre, entretenir et amliorer un ISMS au sein d'une organisation. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 15 ISMS (2/4) Principes de base pour l'ISMS Dfinir le champ d'application, la politique de l'ISMS, choisir une mthode d'valuation du risque. Identifier et estimer les risques. Dterminer des options pour le traitement des risques (accepter, viter, transfrer, traiter) et les valuer. Slectionner des objectifs de mesure de scurit et des mesures de traitement des risques (Annexe A), prparer un Statement of Applicability (SoA). Dfinir et mettre en uvre l'ISMS. Superviser et contrler l'ISMS. Entretenir et amliorer l'ISMS. Ncessit d'une forte implication managriale tout au long du cycle de vie de l'ISMS. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 16 ISMS (3/4) Annexe A - Objectifs et mesures de scurit Le plan de cette annexe suit celui de la norme ISO 17799:2000 et chaque mesure renvoie sa rfrence dans cette norme. Par exemple, A.4.1.2 a pour thme la coordination de la scurit de l'information. La mesure propose est "dans les grandes organisations , un forum transverse de reprsentants managriaux issus des entits pertinentes de l'organisation coordonnera la mise en place des mesures de scurit de l'information". Il correspond l'alina 4.1.2 de l'ISO 17799:2000. Chaque alina de l'ISO 17799:2000 correspond ainsi une mesure dans la BS 7799-2. Cela facilite l'identification et surtout l'audit de ces mesures. Toutefois, celles-ci sont surtout qualitatives. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 17 ISMS (4/4) Annexe B Guide d'utilisation Description de l'approche PDCA (model, Plan and Do, Check and Act). Rsum des mesures dans un SoC (Summary of Controls), distinct du SoA. Rsum du contenu des diffrentes phases : Plan : Contexte et champ de l'ISMS. Politique de scurit de l'information, champ de l'ISMS, identification et valuation des risques, plan de traitement des risques. Do : Mise en uvre des mesures et gestion des risques. Allocation des ressources, formation et sensibilisation, traitement des risques. Check : Contrle des mesures. Contrles divers, auto-apprentissage, veille externe, audit interne, audit interne et managrial, analyse tendancielle. Act : Amlioration. Analyse de non-conformit, actions prventives et correctives, OCDE. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 18 ISO 13335 ISO 13335 Issue des TR 13335 (prvu en 5 parties), l'ISO 13335 est une norme en 2 parties. Partie 1 : Concepts and models for information and communications technology security management (reprend les parties 1 et 2 des TR). Montre les diffrents types de politiques de scurit et les aspects organisationnels dont l'ICT security forum et le CSO. Actuellement au stade de FDIS. Partie 2 : Techniques for information and communications technology security risk management (reprend les parties 3 et 4 des TR). Informations techniques sur les mesures de protection dans le domaine ICT. Tableaux de correspondance avec divers travaux de rfrence. Document en cours d'laboration. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 19 ISO 17799 Normes associes Principales normes ou projets de norme associs l'ISO 17799 : 18028 (Parties 1 5) : IT Network Architecture (Network Security Management, Network Security Architecture, Securing communications between networks using security gateways, Remote Access, Securing communications across networks using Virtual Private Networks). 15947 : Intrusion detection framework 18043 : Guidelines for the implementation, operation and management of Intrusion Detection System. 18044 : Incident security management France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 20 Normes lies l'valuation 15408 : Evaluation criteria for IT Security (Introduction and general model, Security functional requirements, Security assurance requirements) 15443 : A framework for IT security assurance (Overview and framework, Assurance methods, Analysis of assurance methods). 19790 : Security requirements for cryptographic modules 19791 : Security assessment for operational systems 19792 : A framework for security evaluation and testing of biometric technology France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 21 CMM-SSE 21827 : System Security Engineering Capability Maturity Model (SSE-CMM) Norme initialement dveloppe pour valuer, sous l'angle de la qualit, la maturit de la scurit dans les processus de dveloppement de logiciels. Elle permet de dfinir, toujours sous l'angle de la qualit, le niveau de maturit souhaitable pour la scurit dans des processus informationnels. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 22 Certification Contexte (1/2) La certification est en volution. A lorigine, on trouve essentiellement une approche qualit et la vrification par un tiers de confiance de la conformit un rfrentiel, lequel tiers certifie ensuite cette conformit. Avec lvaluation de type ISO 15408, on a valuation par un tiers mais la certification est gouvernementale avec des schmas nationaux. Lapproche, le plus souvent produits, est longue et coteuse. Des accords de reconnaissance mutuelle ont t passs entre diffrents pays pour des schmas et des niveaux de certification prdfinis ce qui limite les procdures de certification et les cots associs. Toutefois, cela ne satisfait pas l'ensemble des besoins. France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 23 Certification Contexte (2/2) Les nouvelles normes font passer de la scurit informatique la scurit de linformation et donc la responsabilit passe de la direction informatique la direction gnrale (globalit, transversalit). Elles posent aussi la question des propritaires de linformation. LISO 17799 fait apparatre un schma (et une approche) voisin de la qualit et plusieurs pays ont bti une approche de certification partir de cette norme . Elle correspond de nombreux besoins, en particulier sur la communication en matire de scurit et peut se rvler suffisamment rapide et dun cot modr. Enfin, la certification tend pouvoir porter sur des produits, des systmes, des organisations ou des individus.