Normes et scurit de l'information

autour de lISO 17799

Mars 2005
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 2
ISO 17799:2000 - Historique
ORIGINE
A lorigine de cette norme, on trouve la BS 7799, standard britannique dvelopp il
y a sept ou huit ans. Cest un document en deux parties :
BS 7799 Part 1 : Code of Practice for information security management,
BS 7799 Part 2 : Specification for information security management.
LISO 17799, qui ne reprend que la partie 1 de la BS 7799, a t vot en 2000
l'issue d'une procdure de fast track. Cette norme est en cours de rvision
pratiquement depuis cette date.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 3
ISO 17799:2000 - Champ
CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT
Champ : Linformation est un actif important quil convient de protger de faon
approprie quelle que soit sa forme (crite ou orale, lectronique ou visuelle,) ou
son support.
La scurit de linformation traite trois aspects :
Confidentialit : Linformation nest accessible que par ceux qui y sont autoriss.
Intgrit : Pertinence et compltude des informations et des moyens de traitement.
Disponibilit : Les utilisateurs autoriss ont accs aux informations et aux supports
associs quand il le faut.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 4
ISO 17799:2000 Principes (1/2)
LES PRINCIPES (1)
Dfinir les exigences de scurit : Trois sources
Environnement lgal, rglementaire et contractuel,
valuation des risques,
Rfrences internes lentreprise.
Choisir les rfrences des contrles :
Au plan lgislatif (droits dauteur, traces, protection des donnes
et informations nominatives).
En tant que documents internes de bonne pratique (politique
de scurit, dfinition des responsabilits, plans de formation et
de sensibilisation, recensement des incidents de scurit, plans
de continuit de lactivit).
Dix chapitres de recommandations.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 5
ISO 17799:2000 Principes (2/2)
LES PRINCIPES (2)
Les facteurs critiques de russite issus de lexprience (BS 7799) :
La politique de scurit, les objectifs et les activits doivent reflter les objectifs de
lentreprise.
La mise en place de la scurit doit respecter la culture de lentreprise.
Implication et soutien visibles de lencadrement.
Bonne comprhension des exigences de scurit, de lvaluation et de la gestion du
risque.
Marketing efficace de la scurit tout le personnel.
Distribution tous de guides sur la politique et les normes de scurit.
Mise en place dune formation et dune sensibilisation appropries.
Supervision complte et quilibre de la scurit.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 6
ISO 17799:2000 Chapitre 1
CH. 1 POLITIQUE DE SCURIT
Document issu de la Direction de lentreprise.
- Dfinition de la scurit de linformation, de son champ, de ses objectifs et du
besoin de scurit pour permettre laccs partag linformation.
- Une dclaration de la Direction soutenant buts et principes du projet.
- Dfinition des responsabilits gnrales et spcifiques.
CH. 2 - ORGANISATION DE LA SCURIT
Existence dun forum de gestion de la scurit. (mise jour de la politique de
scurit, volution significative des risques et menaces, incidents de scurit).
Dans une grande entreprise, une structure transverse permet de coordonner les
mesures de scurit (analyse des risques, sensibilit de l'information, incidents).
Traitement de l'organisation concernant les accs de tiers l'information ou la
sous-traitance
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 7
ISO 17799:2000 Chapitres 3, 4 et 5
CH. 3 CLASSIFICATION ET CONTRLE
Recensement et imputabilit des actifs.
Classification de l'information en terme de sensibilit et de criticit.
CH. 4 - SCURIT DU PERSONNEL
Introduction de la scurit dans les descriptions de postes.
Contrles lors du recrutement ou de l'affectation un poste.
Clauses de confidentialit, de scurit, formation et sensibilisation.
Traitement des incidents.
CH. 5 SCURIT PHYSIQUE ET ENVIRONNEMENTALE
Domaines de scurit et primtre de scurit (contrles, conditions de travail, cas
des livraisons ou des expditions).
quipement de scurit.
Contrles gnraux (bureau net, destruction ou enlvement de produits).
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 8
ISO 17799:2000 Chapitres 6 et 7
CH. 6 GESTION DES TCHES ET DES COMMUNICATIONS
Procdures et responsabilits associes.
Protection contre les logiciels "malicieux" (virus, vers, chevaux de Troie).
Back-up, traces, traitement des incidents. Gestion du rseau.
changes d'informations ou de logiciels (dispositions contractuelles, transport,
courrier lectronique).
CH. 7 CONTRLE D'ACCS
Politique de contrle d'accs.
Gestion des accs utilisateurs (enregistrement, habilitation, authentifiant).
Responsabilits des utilisateurs.
Contrle de l'accs aux rseaux et services, aux systmes d'exploitation et aux
applications. Cas des mobiles et du tltravail.
Gestion des systmes de contrle et ractivit (traces, analyses, risques).
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 9
ISO 17799:2000 Chapitre 8
CH. 8 DVELOPPEMENT ET MAINTENANCE DES SYSTMES
Spcifications et analyse des exigences de scurit.
Scurit des applications (validation des donnes entrantes et sortantes,
authentification des messages, contrles de fonctionnement et dintgrit).
Contrles bass sur la cryptographie (chiffrement, signature, non-rpudiation,
gestion des cls).
Scurit des fichiers et des donnes systme.
Scurit du dveloppement et procdures de soutien (dont contrles dvolution,
recherche des canaux cachs et des chevaux de Troie).
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 10
ISO 17799:2000 Chapitres 9 et 10
CH. 9 GESTION DE LA CONTINUIT
Procdures de gestion.
Exigences et analyses dimpact.
laboration et mise en place des plans de continuit.
Tests et mises jour des plans.
CH. 10 - CONFORMIT
Exigences lgales et rglementaires (copyright, traces et valeur probante,
informations nominatives, cryptologie).
Compatibilit avec la politique de scurit.
Contrle des audits et protection des outils associs.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 11
ISO 17799 Rvision en cours
Nouveau document plus toff (de 86 pages plus de 120).
Analyse plus complte et plus cohrente.
Dcomposition de chaque lment rfrenc de la manire suivante :
Description de lobjectif,
Contrle(s) mettre en place.
Pour chaque contrle, on indique :
Ce qui doit tre fait,
lments dimplmentation,
Informations complmentaires (aspects lgaux ou rglementaires,
autres normes de rfrence,).
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 12
ISO 17799 Rvision en cours
Deux nouveaux chapitres :
valuation et traitement des risques (analyse et valuation des
risques, renvoi aux MICTS).
Gestion des incidents de scurit de linformation (remonte
dvnements, connaissance des vulnrabilits, gestion des incidents, apprentissage
et amliorations).
Nouvelle version en 2005.
Stade actuel FDIS (Final Draft international Standard).
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 13
ISO 17799 et normes associes
ISMS (Information Security management System) prvu pour 2006. Le seul
document de base actuellement retenu pour les travaux est la BS 7799-2.
Approche PDCA (Plan, Do, Check, Act) issue des normes sur la qualit.
Compatibilit avec les normes ISO 9001 (qualit) et ISO 14001 (environnement).
Annexe A, normative, sur les objectifs et les contrles. Le plan suivi est celui de
l'ISO 17799:2000.
Annexe B, informative, sur l'utilisation de la norme.
Annexe C, informative, sur la correspondance entre BS 7799-2, ISO 9001 et
ISO 14001.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 14
ISMS (1/4)
ISMS (Information Security management System) prvu comme norme
internationale pour 2006. Le seul document de base actuellement retenu pour les
travaux est la BS 7799-2.
En introduction, il fait rfrence au modle PDCA (Plan, Do Check, Act)issu de
l'approche qualit et connu aussi sous le nom de Roue de Deming.
Le document est dclar compatible avec l'ISO 9001 (qualit) et l'ISO 14001
(environnement).
Il dcrit ensuite comment dvelopper, mettre en uvre, entretenir et amliorer un
ISMS au sein d'une organisation.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 15
ISMS (2/4)
Principes de base pour l'ISMS
Dfinir le champ d'application, la politique de l'ISMS, choisir une mthode
d'valuation du risque.
Identifier et estimer les risques.
Dterminer des options pour le traitement des risques (accepter, viter, transfrer,
traiter) et les valuer.
Slectionner des objectifs de mesure de scurit et des mesures de traitement des
risques (Annexe A), prparer un Statement of Applicability (SoA).
Dfinir et mettre en uvre l'ISMS.
Superviser et contrler l'ISMS.
Entretenir et amliorer l'ISMS.
Ncessit d'une forte implication managriale tout au long du cycle de vie de
l'ISMS.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 16
ISMS (3/4)
Annexe A - Objectifs et mesures de scurit
Le plan de cette annexe suit celui de la norme ISO 17799:2000 et chaque mesure
renvoie sa rfrence dans cette norme.
Par exemple, A.4.1.2 a pour thme la coordination de la scurit de l'information. La
mesure propose est "dans les grandes organisations , un forum transverse de
reprsentants managriaux issus des entits pertinentes de l'organisation
coordonnera la mise en place des mesures de scurit de l'information". Il
correspond l'alina 4.1.2 de l'ISO 17799:2000.
Chaque alina de l'ISO 17799:2000 correspond ainsi une mesure dans la BS
7799-2.
Cela facilite l'identification et surtout l'audit de ces mesures. Toutefois, celles-ci sont
surtout qualitatives.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 17
ISMS (4/4)
Annexe B Guide d'utilisation
Description de l'approche PDCA (model, Plan and Do, Check and Act). Rsum
des mesures dans un SoC (Summary of Controls), distinct du SoA.
Rsum du contenu des diffrentes phases :
Plan : Contexte et champ de l'ISMS.
Politique de scurit de l'information, champ de l'ISMS, identification et valuation
des risques, plan de traitement des risques.
Do : Mise en uvre des mesures et gestion des risques.
Allocation des ressources, formation et sensibilisation, traitement des risques.
Check : Contrle des mesures.
Contrles divers, auto-apprentissage, veille externe, audit interne, audit interne et
managrial, analyse tendancielle.
Act : Amlioration.
Analyse de non-conformit, actions prventives et correctives, OCDE.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 18
ISO 13335
ISO 13335
Issue des TR 13335 (prvu en 5 parties), l'ISO 13335 est une norme en 2 parties.
Partie 1 : Concepts and models for information and communications technology
security management (reprend les parties 1 et 2 des TR).
Montre les diffrents types de politiques de scurit et les aspects organisationnels
dont l'ICT security forum et le CSO.
Actuellement au stade de FDIS.
Partie 2 : Techniques for information and communications technology security risk
management (reprend les parties 3 et 4 des TR).
Informations techniques sur les mesures de protection dans le domaine ICT.
Tableaux de correspondance avec divers travaux de rfrence.
Document en cours d'laboration.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 19
ISO 17799 Normes associes
Principales normes ou projets de norme associs l'ISO 17799 :
18028 (Parties 1 5) : IT Network Architecture (Network Security Management,
Network Security Architecture, Securing communications between networks using
security gateways, Remote Access, Securing communications across networks
using Virtual Private Networks).
15947 : Intrusion detection framework
18043 : Guidelines for the implementation, operation and management of
Intrusion Detection System.
18044 : Incident security management
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 20
Normes lies l'valuation
15408 : Evaluation criteria for IT Security (Introduction and general model,
Security functional requirements, Security assurance requirements)
15443 : A framework for IT security assurance (Overview and framework,
Assurance methods, Analysis of assurance methods).
19790 : Security requirements for cryptographic modules
19791 : Security assessment for operational systems
19792 : A framework for security evaluation and testing of biometric
technology
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 21
CMM-SSE
21827 : System Security Engineering Capability Maturity Model (SSE-CMM)
Norme initialement dveloppe pour valuer, sous l'angle de la qualit, la maturit
de la scurit dans les processus de dveloppement de logiciels.
Elle permet de dfinir, toujours sous l'angle de la qualit, le niveau de maturit
souhaitable pour la scurit dans des processus informationnels.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 22
Certification Contexte (1/2)
La certification est en volution. A lorigine, on trouve essentiellement une
approche qualit et la vrification par un tiers de confiance de la conformit
un rfrentiel, lequel tiers certifie ensuite cette conformit.
Avec lvaluation de type ISO 15408, on a valuation par un tiers mais la
certification est gouvernementale avec des schmas nationaux. Lapproche, le
plus souvent produits, est longue et coteuse.
Des accords de reconnaissance mutuelle ont t passs entre diffrents pays
pour des schmas et des niveaux de certification prdfinis ce qui limite les
procdures de certification et les cots associs. Toutefois, cela ne satisfait pas
l'ensemble des besoins.
France Tlcom Secrtariat Gnral - Direction de la Scurit Paul Richy 23
Certification Contexte (2/2)
Les nouvelles normes font passer de la scurit informatique la scurit de
linformation et donc la responsabilit passe de la direction informatique la
direction gnrale (globalit, transversalit).
Elles posent aussi la question des propritaires de linformation.
LISO 17799 fait apparatre un schma (et une approche) voisin de la qualit et
plusieurs pays ont bti une approche de certification partir de cette norme .
Elle correspond de nombreux besoins, en particulier sur la communication en
matire de scurit et peut se rvler suffisamment rapide et dun cot modr.
Enfin, la certification tend pouvoir porter sur des produits, des systmes, des
organisations ou des individus.