Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Normes d'audit des systèmes informatiques nationaux : Assurer le fonctionnement

Normes d'audit des systèmes informatiques nationaux : Assurer le fonctionnement continu et la prévention d'un Système d'Information n'est plus aujourd'hui considéré comme un simple exploit mais c'est une nécessité. Parmi toutes les tâches qui incombent aux Responsables de la Sécurité des Systèmes d'Information (R.S.S.I) dans les organismes privés ou publics, celle qui consiste à bâtir une politique de sécurité cohérente prenant en compte les aspects humains, organisationnels et juridiques est certainement la plus difficile. Une telle politique doit se baser sur une norme bien spécifique. En effet, il existe de nombreuses normes et méthodes sur lesquelles se basent les missions d'audit de la sécurité des systèmes informatiques. Une norme (qui peut être organisationnelle ou technique) a un objet souvent très vaste et s'appuie généralement sur des concepts ou des notions générales. Le champ d'application de chaque concept doit alors être précisé, pour que la norme puisse être appliquée efficacement.  ISO / IEC 27002 : Comparatif entre la version 2013 et la version 2005  La norme ISO 22301 le nouveau standard international de management de la continuité de l’activité. Cette norme est appelée à remplacer l’actuel standard Britannique BS25999. La continuité des opérations dans le cas d’une perturbation due à un sinistre majeur, est une exigence fondamentale pour chaque organisation.  La norme 31000 fournit des principes et des lignes directrices génériques sur la gestion des risques. Elle peut être utilisée par toute entreprise public ou privée, groupe ou à titre individuelle. Elle n'est pas spécifique à une industrie ou un secteur, elle peut être appliquée, à tout type de risque, tout au long de la vie d'une organisation, et à un large éventail d'activités, y compris les stratégies et les décisions, les opérations, les processus, les fonctions, les projets, les produits, les services et les actifs. Il est prévu que l'ISO 31000 est utilisée pour harmoniser la gestion des risques dans les normes existantes et à venir. Elle fournit une approche commune à l'appui des normes de maîtrise des risques et ne les substitue pas. L'ISO 31000:2009 n'est pas destinée à des fins de certification.  La norme 31010 est un logo double IEC/ISO, soutenant les normes pour l'ISO 31000 et fournit des orientations sur la sélection et l'application systématique des techniques d'évaluation des risques. Cette norme n'est pas destinée à la certification, l'utilisation réglementaire ou contractuelle.  La Norme 27001 : La norme 27001 représente la nouvelle famille de normes de sécurité informatique. Il s'agit d'une série de normes spécifiquement réservées par ISO pour des sujets de sécurité de l'information. La norme 27001 est naturellement, alignée avec un certain nombre d'autres matières, y compris ISO 9000 (gestion de qualité) et ISO 14000 (gestion environnementale). La série de normes 2700X est la famille relative à la sécurité informatique, l'ISO 27001 fait partie et c'est la seule norme de certification en matière de sécurité. La norme 27001 a été publiée en 2005 et elle représente une nouvelle version du standard BS 7799 partie 2.  La Norme ISO 27002 Information Security management - Code of practice for information Security management (anciennement appelée ISO 17799). Reconnue comme un standard international, la norme ISO 27002 est devenue le référentiel de bonnes pratiques de sécurité et des contrôles liés  La Norme ISO 27003 se concentre sur les aspects essentiels nécessaires pour la conception et la mise en œuvre réussie d'un système de sécurité de l'information (SMSI) en conformité avec la norme ISO / IEC 27001:2005  La Norme ISO 27004 La norme ISO/IEC 27004:2009 fournit des lignes directrices sur le developpement et l'utilisation des mesures afin d'évaluer l'efficacite du systeme de gestion de la sécurité d'information (SMSI) et des controles misent en place, comme spécifié dans la norme ISO/IEC 27001.  La Norme ISO 27005 La norme ISO 27005 fixe un cadre pour la gestion des risques de sécurité de l'information. Elle fournit ainsi les conditions à respecter par toute démarche méthodologique. S'y conformer permet de garantir que les principes communément reconnus ont été appliqués. La norme constitue une référence utile pour les faire respecter, sans préjuger des méthodes et outils nécessaires pour les mettre en oeuvre.  La Norme BS 7799 La norme BS7799 a été publiée pour la première fois par le "British Standard Institute" en 1995. Son objectif est de permettre la mise en place dans l'entreprise un système de management de la sécurité de l'information ou SMSI (ISMS ou Information Security Management System)  La Norme ISO 15408 Née en 1996, la norme ISO 15408 (également baptisée « Common Criteria » ou « Critères Communs ») permet d'avoir une assurance de sécurité sur des critères précis pour un produit ou un système (matériel de sécurité, firewall, mécanisme de cryptologie..)  ISO 15443 "A framework for IT security assurance" (Cadre pour l'assurance de la sécurité informatique)  ISO 15446 "Guide on the production of protection profiles and security targets" (Aspect de production pour les profils de protection et cibles sécuritaires)  ISO 18028 "Network security" (Sécurité des réseaux)  ISO 18043 "Guidelines for the implementation, operations and management of IT Intrusion Detection Systems (IDS)" Directives pour l'implémentation, le traitement et la gestion des systèmes de détection d'intrusion. (IDS)  ISO 18044 "Security incident management" (La gestion des incidents de sécurité)  ISO 18045 "Methodology for IT security evaluation" (Méthodologie pour l'évaluation de la sécurité des Technologies d'information) Méthodologies d'audit de la sécurité informatique La mission d'audit de la sécurité est une opération qui englobe divers volets ayant des relations directes avec le systeme d'information touchant les facteurs humains, organisationnel, technique, physique, environnemental et voir meme des facteurs de qualité, ce qui rend l'opération d'audit assez complexe et assez vaste. Cet aspect a obligé les auditeurs a développer des démarches claires et exhaustives pour couvrir toute l'opération d'audit. Ces démarches sont traduites sous forme de méthodologies définissant des méthodes claires et efficaces pour la mission. Les méthodologies se sont généralisées pour offrir une sorte de standard pouvant etre un support aux auditeurs. Les méthodes d'audit de la sécurité informatique sont a la base d'une politique efficace et, bien souvent, des choix actionnels de gestion des risques. Les méthodes doivent leur succes croissant a leur souplesse: elles peuvent etre appliquées a des sociétés de toute taille, dans tout domaine d'activité. Il existe en ce moment plusieurs méthodologies d'audit privées et publiques dont : La plus ancienne de ces méthodes s'appelle MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux). Élaborée par le CLUSIF (Club de la Sécurité des Systemes d'Information Français), elle a surtout été appliquée dans les années 1980 et 1990. L 'entreprise auditée se soumet a un certain nombre de questionnaires débouchant sur différentes notes de 0 a 4 (en tout, 27 indicateurs répartis en 6 catégories) évaluant sa performance a la fois par rapport a un standard - jugé satisfaisant - mais aussi par rapport aux autres entreprises ayant procédées a l'audit. Il existe en ce moment plusieurs méthodologies d'audit dont : 1. Méthodologies issues d'institutions gouvernementales EBIOS Expression des Besoins et Identification des Objectifs de Sécurité Expression des Besoins et Identification des Objectifs de Sécurité. La méthode EBIOS (Expression du Besoin et Identification des Objectifs de Sécurité) a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Systemes d'Information) en france. Elle est particulierement déployée au sein de l'administration française. Elle comprend une base de connaissances qui décrit les types d'entités, les méthodes d'attaques, les vulnérabilités, les objectifs de sécurité et les exigences de sécurité. Elle propose également un recueil des meilleures pratiques sur l'élaboration de schémas directeurs SSI, la rédaction de profils de protection, de cibles de sécurité et de SSRS (System-specific Security Requirement Statement). La méthode se veut un outil de gestion des risques SSI mais aussi de sensibilisation, de négociation et d'arbitrage. Elle est téléchargeable sur le site de la DCSSI et s'accompagne d'un logiciel d'assistance, distribué sous licence libre. Les résultats de la méthode EBIOS peuvent etre exploités dans le cadre d'une FEROS (Fiche d'Expression Rationnelle des Objectifs de Sécurité), document créé par la DCSSI (Direction centrale de la sécurité des systemes d'information) qui dépend, elle aussi, des services du Premier Ministre. Ce document est obligatoire pour les systemes traitant d'informations classées "défense". Il présente l'ensemble des objectifs de sécurité du systeme étudié et les risques résiduels, mais aussi la démarche et l'argumentation qui a permis de les identifier. Ainsi, apres avoir extrait certaines données (systeme étudié, besoins de sécurité, menaces, risques...) en provenance d'une étude EBIOS, la fiche FEROS permet de réorganiser et de classer les objectifs de sécurité et de définir les responsabilités qui doivent - ou ne doivent pas - etre engagées. La méthode EBIOS (Expression du Besoin et Identification des Objectifs de Sécurité) a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Systemes d'Information) en france. ITIL (IT Infrastructure Library) ITIL , un référentiel international édictés par l'Office public britannique du commerce, définissant les meilleures pratiques étroitement liées a l'application de la norme ISO 17799 pour la sécurisation de l'infrastructure informatique, vient de uploads/Management/ normes-d-x27-audit-des-systemes-informatiques-nationaux.pdf