Norme BS7799 intérêt et mise en oeuvre

Transcription

Norme BS7799
intérêt et mise en oeuvre
5ème Forum IT Security Solutions
Alger, 13 février 2005
Hervé Schauer
<[email protected]>
Plan
Normes BS7799 et ISO17799
SMSI
Modèle PDCA
Projet de SMSI
Mesures de sécurité
Audit
Certification
Conclusion
Références, Remerciements, Ressources, HSC
2 / 41
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Norme BS7799 : utilité
Norme pour la sécurité dans une entreprise ou un organisme
Avoir des documentations formelles
Obtenir une cohérence globale entre différents services ou
différents sites
Sensibiliser le personnel à la sécurité
Faire progresser le personnel
Obtenir une répartition claire des responsabilités
Aider aux respects des lois et règlements
Sarbanes-Oxley, LSF, LCEN, Bâle II, ...
3 / 41
Norme BS7799 : historique
Groupe britannique ayant produit BS7799:1995, puis BS77991:1999
Norme anglaise adoptée à l'ISO en 2000 : ISO17799
ISO 17799 = ISO 17799:2000 = BS 7799-1:1999
Code des bonnes pratiques pour les systèmes de management de la
sécurité de l'information
ISO 17799:2005 : nouvelle version à paraître en 2005
BS 7799-2 = BS 7799-2:2002
Adoption à l'ISO en cours
Spécification articulée autour de clauses et de controls : mesures de sécurité
Clause : Obligatoire, management de la sécurité de l'information
Mesures de sécurité : Obligatoires si applicables (statement of applicability)
La présence de la politique de sécurité est toujours applicable
4 / 41
ISO17799 et BS7799-2
ISO 17799
BS 7799 2
Clauses
ISMS
Description
détaillée des
mesures de
sécurité
ET
Controls
Mesures de
sécurité
(Annexe A)
5 / 41
ISO17799
Exemples
de biens
sensibles
Exemples
de menaces
1) Que protéger
et pourquoi ?
2) De quoi les
protéger ?
Liste des
menaces
3) Quels sont les
risques ?
Liste des
impacts et
probabilités
4) Comment
protéger
l’entreprise ?
Liste des
mesures de
sécurité
ISO17799
Exemples de
recommandations
6 / 41
Liste des
biens
sensibles
Référentiel
international
Document de
bonnes
pratiques
BS7799 : Objectif
Objectifs
Créer la confiance
Maintenir et améliorer
La compétitivité
Le chiffre d'affaire
La profitabilité
Le respect de la législation
L'image de marque
Pour celà, impose de faire un SMSI
Système de Management de la Sécurité du Système d'Information
7 / 41
SMSI
SMSI : Système de Management de la Sécurité de
l'Information
ISMS (Information Security Management System)
Mesures organisationelle et techniques
Sortir de la tradition orale
Assurer la sécurité dans la durée
Obtenir la tracabilité
Article 404 de Sarbanes-Oxley
8 / 41
SMSI
SMSI construit sur le modèle PDCA (Plan-Do-Check-Act)
Vient de ISO9001:2000
Définir une politique de sécurité et des objectifs en sécurité
Appliquer la politique
Atteindre les objectifs
Vérifier que les objectifs ont étés atteint
Le SMSI permettra une certification de l'organisme
9 / 41
Modèle PDCA
10 / 41
Modèle PDCA
Plan : Compréhension / Planification
Compréhension des besoins
Vision de l'organisme
Nécessité d'élaborer une politique et des objectifs en sécurité
Do : Politique / Execution
Implémentation et mise en oeuvre
Allocation de ressources, analyse de risque
Check : Vérification / Surveillance
Surveillance et révision des performances et de l'efficassité du SMSI
Dont les mesures de sécurité
Act : Amélioration / Action
Amélioration permanente du SMSI
11 / 41
SMSI
Définir le champ d'application du SMSI
Définir la politique du SMSI
Critères d'évaluation de la sécurité
Actifs sensibles
Définir une approche de la gestion de risque
Identifier les risques
Gérer les risques
Traiter les risques
Méthode d'évaluation des risques libre
Formelle ou empirique mais précisée
12 / 41
SMSI
Sélectionner les objectifs et mesures de sécurité
Celle-là elle est appliquée
Celle-là elle n'est pas appliquée
13 / 41
Projet de SMSI
1) Sélectionner un chef de projet
2) Faire le point sur l'existant
3) Choisir son périmètre
4) Communiquer
5) Développer le référentiel documentaire
6) Assurer le consensus des acteurs concernés
7) Sélectionner et valider les mesures de sécurité
14 / 41
Projet de SMSI : chef de projet
1) Sélectionner un chef de projet
Compétence et expérience de gestion de projet
Compétences de management
Savoir convaincre
Compétence dans la démarche ISO9001 (qualité)
Expérimenté en sécurité
Une personne certifiée Lead Auditor BS7799 n'est donc pas
nécessairement compétante
15 / 41
Projet de SMSI : existant
2) Faire le point sur l'existant
Documents de sécurité
Documentation des applications
Méthode d'analyse de risque
3) Choisir son périmètre
Périmètre cohérent
Libre
Inventaire des actifs, des applications et processus, des tâches
transversales
Cartographie du système d'information
Si chef de projet peu expérimenté en management, choisir un
périmètre petit
16 / 41
Projet de SMSI : périmètre
Appli 1
Appli 2
Appli 3
Appli 4
Appli 5
Veille
Gestion des journaux
Sauvegardes
Archivage
Documentation générale
PCA / PRA
17 / 41
Projet de SMSI : communication
4) Communiquer
Démarche transversale
Impliquer les gens dès le départ, y compris les utilisateurs
Si ISO9001 pas déjà en place, ré-expliquer la démarche
A la direction, démontrer le retour sur investissement
Insister sur les apports opérationnels
Argumenter sur l'image de sérieux pour le marketing
Au middle-management / propriétaires des processus
Aux techniciens
Amélioration de sa compétance
La sécurité deviendra officiellement dans leur fonction
Ils auront le temps de faire les choses
Formation
18 / 41
Projet de SMSI : documents
5) Développer le référentiel documentaire
Politique de sécurité
Documentations d'application de la politique de sécurité à un
environnement donné
Cartographie des processus fonctionnels
Métier et techniques
Exemples : commande/facturation/recouvrement, sauvegarde
Répertoire et classification des actifs
Rapport final de l'analyse de risque
SOA (Statement Of Applicability)
Pour chaque mesure de sécurité : est-ce qu'elle est appliquée ou pas
Si une mesure de sécurité n'est pas appliquée, toujours justifier pourquoi
19 / 41
Projet de SMSI : consensus
6) Assurer le consensus des acteurs impliqués
Découpage et planification intégrant le consensus à chaque étape
Identification des intervenants favorables / défavorables
Réunions de suivi et de contrôle
7) Sélectioner et valider les mesures de sécurité
Faire auditer
20 / 41
Controls
3) Politique
de sécurité
ISO17799
4) Organisation
de la sécurité
Mêmes chapitres que
dans la norme
5) Biens sensibles
9) Contrôle d'accès
12.1) Réglementation
12.2) Audit
6)
Personnes
10)
Développement
des applications
21 / 41
S'adapter au
classement choisi
7)
Sécurité
physique
8)
Communication
et exploitation
11)
Continuité
d'activité
127 mesures de sécurité
Rédigées dans l'ISO17799 (133 mesures dans ISO17799:2005)
Reprises dans l'annexe A de la BS7799 avec les objectifs associés à
chaque mesure de sécurité
Couvrent tous les domaines
Reprennent les recommandations classiques de la profession
Restent très générales et indépendantes des technologies :
8.5.1 : A range of controls shall be implemented to achieve and maintain
security in networks
9.4.1 : Users shall only have direct access to the services that they have
been specifically authorized to use
9.4.8 : Shared networks shall have routeing controls to ensure that
computer connections and information flows do not breach the access
control policy of the business applications
Ajouter ses propres mesures
22 / 41
Audit BS7799
Audit réalisé dans la phase de vérification (Check)
Rapport d'audit entrée de la phase amélioration (Act)
Audit organisationel et technique
Audit est la clé de la qualité
Permet de vérifier que le sécurité est effective
N'est pas un processus négatif pour les audités
Audit est régulier et cyclique
23 / 41
Audit
Fait par auditeur interne ou externe à l'organisme
Toujours une personne certifiée BS7799 Lead Auditor pour diriger
l'audit
Délivre un rapport
24 / 41
Audit : déroulement
4 à 5 étapes
1) Réunion de lancement
Présentation de la démarche d'audit
Sélection des processus à auditer, des interlocuteurs, du calendrier
2) Revue de la documentation
25 / 41
Audit : déroulement
3) Audit d'implémentation
1) Auditeur vérifie que les mesures de sécurité sont respectées
2) Auditeur vérifie que le SMSI est conforme aux exigences de la
BS7799
Auditeur vérifie qu'il ya un PDCA qui vie vraiment
3) Auditeur vérifie l'effectivité du SMSI
Auditeur vérifie l'adéquation des mesures de sécurité aux objectifs de
sécurité, aux risques encourus
Est-ce que les moyens mis en oeuvre correspondent à l'analyse de risque ?
Eviter qu'un organisme décide d'un risque faible pour avoir une mesure de
sécurité peu couteuse
26 / 41
Audit : conformité
4) Délivrance du rapport de conformité ou non-conformité
5) Présentation des résultats
Pas obligatoire
Après audit, trois cas possibles :
Conformité
Non-conformités mineures
Présentation d'un plan de correction pour être conforme
Non-conformités majeures
27 / 41
Audit BS7799 pour être certifié
Une organisation qui se lance dans un processus de
certification BS7799 s'engage dans un processus de trois ans
Un audit BS7799 par une société de certification par an
Chaque année les auditeurs sélectionnent avec l'organisme un
échantillon de processus à auditer
Les processus sélectionnés sont audités
Si des non-conformités graves sont constatées, la certification BS7799
est immédiatement supprimée
Si des non-conformités moins graves sont constatées, elles sont
rapportées dans le rapport d'audit
L'organisme est tenu dans un délai rapide de présenter un plan des
actions correctives
Au plus tard l'année suivante les auditeurs vérifient que ces actions ont
bien été menées à terme
Le processus est continu, au bout de 3 ans, tout est à refaire
28 / 41
Auditeur
Doit avoir une vraie expertise
Surtout pas de devoir de conseil
Pas d'obligation d'exhaustivité
Interview les propriétaires des processus
Pas obligatoire de vérifier réellement sur les machines
Cherche a avoir une vision claire et précise de la sécurité
29 / 41
Formation BS7799 Lead Auditor
Délivrée exclusivement par la société BSI
Une licence d'exploitation délivrée à la société BVQI
Des sessions sont organisées par des tiers de part le monde
Apprentissage de la norme
Savoir se référer aux mesures de sécurité
Apprentissage de l'audit
Exercices pratiques
30 / 41
BS7799 : schéma de certification
Société de services
en sécurité
International
accreditation
forum (IAF)
AQL, E&Y, HSC,
Lynx, Vidati, ...
Autorité
d'accréditation
es ice
d
à erv
COFRAC, ...
l
e es
p
p d
a
t
Accrédite Fai tés
ié
c
so
Société de
certification
BSI, BVQI, LSTI, ...
31 / 41
Certifie votre
organisation
Auditeur (BS7799
Lead Auditor) qui
audite votre SMSI
Votre
organisation
Certification
Autorités d'accréditation
France : COFRAC
UK : UKAS
Sociétés de certification
Pas de sociétés de certification à ma connaissance en Belgique,
Suisse ou Afrique du nord
Sociétés accréditées UKAS présentes en France
BSI
emea.bsiglobal.com/France+Securite+Information/Certification/
32 / 41
Certification
Sociétés de certification
Société accréditée par le COFRAC
LSTI : La Sécurité des Technologies de l'Information
www.lsti.fr
Premier comité le 8 mars 2005, accréditation officielle peu après
Ayant lancé un processus d'accréditation auprès du COFRAC pour
devenir des organismes de certification des SMSI BS7799-2
Oppida
www.oppida.fr
SAIC-Conseils
www.saicconseils.com
Dépôt du dossier au COFRAC en cours
Peut-être d'autres
AFAQ, ...
33 / 41
Certification
Une même entité juridique ne peut pas être organisme de
certification et de conseil
Une société de certification peut faire appel à des tiers pour
réaliser l'audit de certification
Des sociétés de service en sécurité qui ne seraient pas intervenues en
conseil
Cas de LSTI et SAIC-Conseils
34 / 41
Certificats BS7799 publics
1104 certificats sont recencés de manière publique
Croissance d'environ 50 certificats par mois
Chiffres du 7 février 2005 : http://www.xisec.com/register.htm
Un certificat peut concerner un sous-ensemble d'une organisation donc une
organisation peut en avoir plusieurs
✗
Royaume-Uni 17%
✗
Europe 14,5%
✗
Japon 46%
✗
✗
✗
✗
Répartition géographique des certificats
Asie 18,5%
Amériques 2%
Reste du monde 2%
Evolution vers une
croissance hors UK/Japon
35 / 41
Royaume-Uni
Europe (hors
Royaume-Uni)
Japon
Asie (hors Japon)
Ameriques
Reste du monde
Conclusion
La BS7799 est l'opportunité d'améliorer sa sécurité dans un
cadre de référence international et accessible
La possibilité de communiquer sur la sécurité à l'extérieur et
gagner la confiance de ses clients
Questions ?
www.hsc.fr
[email protected]
36 / 41
Références
ISO17799:2000 : présentation générale, Groupe ISO17799,
Clusif, 03/203
●
http://www.hsc.fr/presse/publications.html.fr#ouvrages
●
http://www.hsc.fr/~schauer/clusif/PresentationISO17799.pdf
HSC annonce ses services d'accompagnement BS7799, 11/04
http://www.hsc.fr/presse/communiques.html.fr#021104
BS7799-2 : presentation générale, Groupe ISO17799, Clusif,
01/05
http://www.hsc.fr/presse/clusif/BS77992.pdf
La BS7799 est avant tout pragmatique, Alexandre Fernandez,
HSC, 02/05
http://www.vulnerabilite.com/actu/20050210120946itw_alexandre_fernandez_hsc_ISO17799.html
37 / 41
Ressources
Security Metrics Guide for Information Security Systems
http://csrc.nist.gov/publications/nistpubs/80055/sp80055.pdf
Document payants de la société BSI :
ISO17799:2000 & BS7799-2:1999 : les normes elles-mêmes
https://www.bspsl.com/secure/17799/cvm.cfm
PD3001:2002 : Preparing for BS7799 Certification
PD3002:2002 : Guide to BS7799 Risk Assessment and Risk
Management
PD3003:2002 : Are you ready for a BS7799 Audit ?
PD3004:2002 : Guide to BS7799 Auditing
PD3005:2002 : Selecting BS7799 Controls
http://bsonline.techindex.co.uk/BSI2/Dir1/sitepage.asp?PgID=0
38 / 41
Remerciements
Alexandre Fernandez pour sa contribution
Pascal Lointier et Marie-Agnès Couwez pour le schéma dérivé
du document du Clusif
39 / 41
Hervé Schauer Consultants
Société de conseil en sécurité informatique depuis 1989
Prestations intellectuelles en toute indépendance
Pas de distribution, ni intégration, ni infogérance, ni régie, ni investisseurs
Prestations : conseil, études, audits, tests d'intrusion, formations
Domaines d'expertise
Sécurité Windows/Unix/embarqué
Sécurité des applications
Sécurité des réseaux
TCP/IP, PABX, réseaux opérateurs, réseaux avionique, ...
Organisation de la sécurité
Certifications
ProCSSI, CISSP, BS7799 Lead Auditor
40 / 41
Ressources HSC
Sur www.hsc.fr vous trouverez des présentations sur
Infogérance en sécurité
Sécurité des réseaux sans-fil
Sécurité des SAN
Sécurité des bases de données
SPAM
BS7799
etc
Sur www.hscnews.com vous pourrez vous abonner à la
newsletter HSC
41 / 41

Norme BS7799 intérêt et mise en oeuvre

Transcription

Documents pareils

Quelle efficacité pour l`analyse de contenu Web

Introduction - Herve Schauer Consultants

SSLTunnel - Herve Schauer Consultants

(Les Echos ) Reproduction interdite sans autorisation

Fiche d`activité - Le corps humain

Oeuvres complètes

Le squelette humain : les os

Insécurité des environnements JAVA embarqués

La sécurité WiFi, depuis le WEP jusqu`au 802.11i