Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

UNIVERSITE DE SETTAT IT-LEARNING CAMPUS Sécurisation des informations Pourquoi

UNIVERSITE DE SETTAT IT-LEARNING CAMPUS Sécurisation des informations Pourquoi ? Comment ? Par EL BAZ MOURAD MOURAD EL BAZ INFRASTRUCTURE MANAGER DANS UN ORGANISME FINANCIER RESPONSQBLE SERVICE INFORMATIQUE AU SEIN DU MINISTERE DE L’AGRICULTURE PROFESSUER AU SEIN DE PLUSIEURS ETABLISSEMENT PROFESSUER ET ENCADRANT A IT-LEARNING CAMPUS DEPUIS 2006 CERTIFE : PMP-ITIL-COBIT-ISO 27002 EMAIL : elbazmourad@gmail.com Introduction N’oubliez pas de rallumer vos portables en sortant !!! Tour de table : – Vos attentes – Vos questions précises Horaires – Matinée : 09 H 00 – 12 H 00 – Après-midi : 13 H 00 – 16 H 30 – Pause vers 15 H 00 Sommaire J1 Introduction Définition d’un ISMS Pourquoi mettre en œuvre un ISMS Présentation générale de la norme ISO 27000 Les principales normes de sécurité Historique des normes ISO 2700X Objectifs et contenu des normes ISO 2700X Sommaire J1 (suite) La norme ISO / IEC 27001 : 2005 Cadre général et objectif de la norme Contenu et exigences de la norme Mise en œuvre des directives de la norme La norme ISO / IEC 27002 Cadre général et objectif de la norme Contenu et directives de la norme Mise en œuvre des directives de la norme Sommaire J1 (suite et fin) Conseil et mise en place d’un ISMS Conclusions Questions Définition d’un ISMS Signification : ISMS : Information Security Management System OU SMSI : Système de Management de la Sécurité de l’Information Définition d’un ISMS « Un SMSI est un ensemble d’éléments interactifs permettant à un organisme d’établir une politique et des objectifs en matière de sécurité de l’information, d’appliquer une politique, d’atteindre ces objectifs et de contrôler l’atteinte de ces objectifs. Le SMSI est établi, documenté, mis en œuvre et entretenu. Définition d’un ISMS L’efficacité est mesurée par rapport aux objectifs de l’entité et, cette mesure permet d’améliorer EN PERMANENCE le SMSI. Le SMSI est cohérent avec les autres systèmes de managements de l’entité, notamment avec les systèmes de management de la qualité, de la sécurité des conditions de travail, et de l’environnement. Définition d’un ISMS L’existence d’un SMSI dans l’organisme permet de renforcer la confiance dans le mode de gestion de la sécurité de l’information. » Définition du CLUSIF Les systèmes de management Le SMSI est cohérent avec les autres systèmes de managements de l’entité… Système de management de la qualité (SMQ) : ISO 9001 – 2002 Système de management de l’environnemental (SME) : ISO 14001 – 2004 Système de management de la santé et la sécurité au travail (SMSST) : OHSAS 18001 – 1999 Système de management de la sécurité alimentaire (SMSA) : ISO 22000 – 2005 Système de management des services informatiques des organismes : ISO 20000 – ITIL – BS 15000 Système de management de la sureté pour la chaîne d’approvisionnement : ISO 28000 – 2005 Système de management de la sécurité de l’information (SMSI) : ISO 27001 - 2005 L’amélioration continue Le Modèle de Deming* Le modèle exposé par William Edwards DEMING se définit en 4 étapes récurrentes : 1 - Plan : Trouver les solutions, planifier 2 - Do : Mettre en œuvre 3 - Check : vérifier l’efficacité des solutions 4 - Act : Améliorer * appelé aussi roue de Deming, cycle de Deming, ou roue de la qualité Pourquoi mettre en œuvre une ISMS ? Pour protéger, dans la durée, les informations et les systèmes d’information de l’entreprise. Pour renforcer la confiance dans le système d’information de l’entreprise (vis-à-vis des clients et des fournisseurs ou en interne) Pour améliorer les processus et l’organisation interne en matière de sécurité informatique. Pour obtenir une certification ISO / IEC 27001 - 2005 Quelques normes relatives au SI… ISO / IEC 27001 : 2005 et ISO / IEC 17799 : 2005 (ISO 27002 - 04/2007) : « ISMS » ISO / IEC 13335 1 à 5 : « Guidelines for the management of IT Security » ISO / IEC 15408 : « Critères communs » Certification des technologies de sécurité ISO / IEC TR 14516 : 2002 « lignes directrices pour l’utilisation et la gestion des services de tiers de confiance » Quelques normes relatives au SI… ISO / IEC WD 18044 « Security Incident Management » ISO / IEC WD 18043 « Guidelines for implementation, operation and management of Intrusion Detection System (IDS) ISO / IEC 13569 « Banking and related financial services - information security guidelines » ISO / IEC TS 17090 (Health Informatics : public key infrastructure) Quelques normes relatives au SI… Cette liste appelle une réflexion : Dans le cadre de la globalisation des échanges, l’interconnexion des systèmes d’informations nécessiterait, sans doute, une HARMONISATION des normes Les normes ISO 27000 Présentation : ISO 27000 : Principe et vocabulaire ISO 27001 : Exigences pour le SMSI ISO 27002 : Guide de bonnes pratiques ISO 27003 : Guide d’implémentation ISO 27004 : Métrique et Mesure ISO 27005 : Analyse des risques ISO 27006 : Certification, Exigences pour l’accréditation des auditeurs ISO 27007 : Certification, guide d’audit pour l’ISMS ISO 2700? : PCA - PRA Les normes ISO 27000 Historique : 1992 : « Code de bonnes pratiques » 1995 : Le BSI édicte BS 7799 1998 : Le BSI édicte BS 7799 - part 2 1999 : Révision de la BS 7799 - part 1 et 2 2000 : ISO 17799 BS 7799 - part 1 (08 et 12/2000) 2001 : Démarrage révision ISO 1799 – 2000 2002 : Publication BS 7799 - part 2 2005 : ISO 17799 – Parue en juin 2005 : ISO 27001 (normalisation de la partie 2 de la BS 7799) - Parue en octobre 2007 : ISO 27006 2007 : ISO 17799 de 2005 devient ISO 27002 Les normes ISO 27000 L’état des documents : Publiés : ISO 27001 : Exigences pour le SMSI - 2005 ISO 27002 : Guide de bonnes pratiques - 2005 ISO 27006 : Certification, Exigences pour l’accréditation des auditeurs - 2007 ISO 27005 : Analyse des risques - 2008 ISO 27004 : Métrique et Mesure - 2008 ISO 27000 : Principe et vocabulaire - 2009 ISO 27003 : Guide d’implémentation - 2009 Les normes ISO 27000 L’état des documents : Travaux en cours : ISO 27007 : Certification, Guide de l’audit du SMSI ISO 2700? : PCA – PRA ISO 27011 : Lignes directrices pour les télécoms ISO 27799 : Lignes Directrices pour la santé Les normes ISO 27000 La certification des SI : Elle engendre : La mise à exécution systématique de la politique en matière de sécurité de l’information Une gestion des risques en rapport avec la sécurité de l’information et les systèmes correspondants à l’échelle de l’entreprise Les normes ISO 27000 La certification engendre (2) : La surveillance efficace et l’amélioration permanente de la sécurité de l’information L’assurance du respect des bases légales et contractuelles La mise en œuvre de méthodes globales ou holistiques (y compris dans des domaines non techniques) Les normes ISO 27000 La certification engendre (3) : Le développement de relations de confiance avec la clientèle, les organismes publics, ainsi que dans le domaine de l’e-commerce La garantie adéquate et permanente de la disponibilité, du caractère confidentiel et de l’intégrité Les normes ISO 27000 La certification engendre (4) : La protection de l’ensemble des informations, indépendamment de la manière dont elles sont représentées et/ou sauvegardées Les normes ISO 27000 Les certificats : Peuvent exclusivement être attribués par une Institution de certification accréditée Sont reconnus au plan International Sont valables trois ans, à l’issue desquels une nouvelle certification a lieu dans un souci de développement continu Annuellement, des vérifications de suivi sont réalisées pendant leur validité Les normes ISO 27000 Les étapes de la vie du certificat : Une fois l’étude de faisabilité réalisée A T0 : début de la revue documentaire A T + 3 à 6 semaines : début étapes 2 Si tout OK = Obtention du certificat A T + 1 an : Audits de surveillance Audits de surveillance à T + 2 ans A T + 3 ans Audit de renouvellement Les normes ISO 27000 Processus de certification : 1 - L’organisme demande à être certifié 2 - L’organisme de certification missionne une équipe d’audit 3 - L’équipe d’audit audite l’organisme demandeur 4 - L’équipe d’audit rend son rapport 5 - Si rapport OK l’organisme de certification délivre le certificat 6 - L’organisme certifié communique l’information à la partie prenante 7 - La partie prenante vérifie la validité du certificat auprès de l’organisme de certification Les normes ISO 27000 Le schéma directeur de la certification : En France, l’autorité d’accréditation est : la COFRAC (qui accrédite les Organismes de certification) Les normes ISO 27000 Le schéma de la certification : Schéma identique pour toutes les certifications Une seule autorité d’accréditation par pays Un ou plusieurs organismes de certification selon les schémas de certification Généralement des sociétés privées Font travailler les auditeurs salariés ou indépendants Les normes ISO 27000 Présentation de la norme ISO / IEC 27001 2005 ISO / IEC 27001 - 2005 Structure de la norme : Document de 33 uploads/s3/ si-iso27001.pdf