Scribd Logo
Unggah

Selamat datang di Scribd!

  • Club27 Tls Pol

    Diunggah oleh

    Karl Med Belloumi
    141 tayangan22 halaman

    Hak Cipta

    © Attribution Non-Commercial (BY-NC)

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    141 tayangan22 halaman

    Club27 Tls Pol

    Diunggah oleh

    Karl Med Belloumi

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 22

    HERV SCHAUER CONSULTANTS

    Cabinet de Consultants en Scurit Informatique depuis 1989 Spcialis sur Unix, Windows, TCP/IP et Internet

    Politique de scurit
    cohrente et pragmatique

    & ISO 27001

    Club 27001, Toulouse, 5 mars 2010

    <Herve.Schauer@hsc.fr>

    Herv Schauer

    Sommaire
    Politique de scurit
    Dfinitions Quelle rfrence choisir ?

    Politique et Management des risques Politiques de scurit spcifiques Communication de la politique ISO 27003 Autres politiques Conclusion

    Politiques de scurit Politiques et ISO 27001 Politique du SMSI Politique de Scurit des Systmes d'Information Rvision de la politique

    2/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politique de scurit : dfinitions


    Politique de scurit = security policy ISO 27002:2005 : Politique de Scurit de l'Information
    Premire norme publie Fait mention de Politique de Scurit de l'Information ISO27002 5.1.1 (Information Security Policy) Aucune mention de Politique du SMSI (ISMS Policy)

    ISO 27001:2005 : Politique du SMSI


    Seconde norme publie Introduit la Politique du SMSI ISO27001 4.2.1.b (ISMS Policy) Surensemble de Information Security Policy ISO27001 4.2.1.b NOTE

    3/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politique de scurit : dfinitions


    Pourquoi incohrence entre ISO 27002 et ISO 27001 ?
    Trop de commentaires sur l'impossibilit de faire un SMSI l o la politique de scurit venait d'tre signe Besoin d'un autre document propre l'engagement de mise en oeuvre d'un SMSI

    Normes en perptuelles mises jour, donc perptuellement incohrentes entre elles

    4/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politique de scurit : quelle rfrence ?


    Document le plus important : celui dfinit dans l'ISO 27001 comme Politique du SMSI
    ISO 27001 : norme fondatrice, suivre obligatoirement lors de la certification

    Majorit des cas : Politique de Scurit de l'Information = Politique du SMSI Cas complexes : enchainement de politiques imbriques les unes dans les autres
    Exemple : Cf prsentation d'Orange-France Telecom au Club 27001

    Ralit : PSSI : Politique de Scurit des Systmes d'Information

    5/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politique de scurit : dfinitions


    ISO 27000:2009 : Politique
    Policy ISO27000 2.28 : Overall intention and direction as formally expressed by management Mme dfinition dans ISO 27002:2005

    ISO 27000:2009 : Scurit de l'Information


    Information Security ISO27000 2.19 : Preservation of Confidentiality, Integrity and Availability of Information
    In addition, other properties such as authenticity, accountability, nonrepudiation and reliability can also be involved

    Direction gnrale doit dcliner sa vision pour l'organisme en vision pour la scurit de l'information

    6/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politiques de scurit
    Plusieurs politiques
    Valides des niveaux hirarchiques diffrents Politique du SMSI Politique de Scurit de l'Information

    PSI : Politique du SMSI ou Politique de Scurit de l'Information


    Direction gnrale

    PSSI : Politique de Scurit des Systmes d'Information


    RSSI

    Politique de Scurit des Systmes d'information

    Politiques spcifiques
    MOE
    7/21

    Politiques de scurit spcifiques

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politiques et ISO 27001


    Direction Gnrale
    ISO 27001 4.2.1.b ISO 27002 5.1.1.a, 5.1.1.b, 5.1.1.d.1, 5.1.1.e ISO 27003 6.1

    RSSI

    MOE

    Politique du SMSI (PSI) Primtre du SMSI


    ISO 27001 4.2.1.a

    ISO 27001 4.2.1.d, 4.2.1.e ISO 27005 8

    Apprciation des risques Traitement des risques

    Acceptation du risque
    ISO 27001 4.2.1.h ISO 27005 10

    ISO 27002 5.1.1.c, 5.1.1.d.2, 5.1.1.e, 5.1.1.f

    ISO 27001 4.2.1.f, 4.2.1.g ISO 27005 9

    PSSI DdA
    ISO 27001 4.2.1.j

    Politiques spcifiques Mesures de scurit

    8/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politique du SMSI
    Politique du SMSI (ISO 27001 4.2.1.b) au sommet
    Politique de scurit de l'information en dessous (ISO 27002 5.1.1) mais gnralement mme document

    Engagement de la direction gnrale Doctrine la scurit de l'information


    Exemple : CNES

    Schma directeur la scurit de l'information


    Exemple : ARJEL distingue shma directeur SSI & politique SSI

    Dpend de la vision de la direction gnrale


    Stratgie de l'organisme, orientation,

    ISO 27002 5.1.1 mlange PSI et PSSI


    9/21
    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politique du SMSI
    Politique du SMSI ou PSI (ISO 27001 4.2.1.b)
    Synthtique Courte
    Exemple XXX : une page, 69 lignes

    Fondatrice Rellement lisible et comprhensible par tous les membres du comit de direction
    Donc par toute l'entreprise

    Ne doit changer sur le fond que lorsque la stratgie de l'organisme change Ne doit pas avoir de mise jour temporelle
    Exemple : changement de lgislation ne doit pas imposer une mise jour
    10/21
    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politique du SMSI
    Politique du SMSI ou PSI (ISO 27001 4.2.1.b)
    Doit inclure les critres d'acceptation des risques (ISO 27001 4.2.1.c.2)
    Permettra de dterminer les critres d'valuation des risques Manquent rgulirement

    Aval de la direction permet d'acqurir la lgitimit pour agir et faire la PSSI Revalide ou mise jour lors chaque revue de direction

    11/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    PSSI
    Politique de Scurit des Systmes d'Information Politique en dessous de la politique du SMSI est souvent la PSSI Politique habituellement impose
    RGS DNS Dossier d'agrment des hbergeurs de donnes de sant ARJEL

    Souvent l'existant
    Gnrale, globale ou dtaille
    Exemple XXX : 183 pages signes par la direction gnrale

    12/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    PSSI
    PSSI pas clairement dans les normes
    Mlange avec la Politique du SMSI / PSI Systmes d'Information n'apparat rellement que dans l'ISO 27003

    PSSI = Formulation dtaille


    Matrise d'ouvrage Mise au niveau des acteurs de la DSI qui devront majoritairement l'appliquer Mise un niveau de dtails et de prcisions pour que les acteurs concerns soient cadrs
    viter les "j'ai pas compris", "je ne sais pas ce qu'il faut que je fasse"

    13/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Rvision de la politique
    ISO 27002 5.1.2
    The information security policy should be reviewed at planned intervals

    Mlange aussi PSI et PSSI


    Application de ISO 27001 4.2.3.f & 7.1 pour la PSI
    Revue de direction annuelle

    Application de ISO 27001 4.2.3.b pour la PSSI


    Rexamen rgulier, pilotage Exemple : prise en compte des incidents de scurit (ISO 27002 13.2.2) demande dans ISO 27002 5.1.2

    ISO 27002 5.1.2 plus large que juste la rvision de la politique, mais rexamen global

    14/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politiques et Management des risques


    Apprciation des risques applique la politique de scurit de l'information Politique de
    Et pas le contraire ! PSI dtermine les actifs primordiaux
    Processus mtiers, information

    Scurit Inf.

    PSI dtermine la valorisation des actifs primordiaux


    Importance pour la direction gnrale

    Apprciation des risques

    Apprciation des risques contribue dterminer la PSSI


    Ordre de marche prcis suite au plan de traitement Oprationelles
    15/21

    PSSI

    PSSI permet de dterminer des politiques spcifiques

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politiques et Management du risque


    Exemple de hirarchie documentaire
    Rester le plus concis possible Primtre du SMSI Politique du SMSI Analyse des besoins Apprciation des risques
    ISO 27001 4.2.1.a ISO 27001 4.2.1.b ISO 27002 5.1.1.a, .b, .d.1, .e ISO 27003 6.1, 6.6 ISO 27001 4.2.1.c (partiel) ISO 27005 7.1 ISO 27003 7 ISO 27001 4.2.1.d, 4.2.1.e ISO 27005 8

    Conserver la ISO 27001 4.2.1.f, 4.2.1.g ISO 27005 9 cohrence Plan de traitement des risques ISO 27003 8.3 entre tous les ISO 27001 4.3.1.c (partiel), 5.2.1.b (partiel) PSSI ISO 27002 5.1.1.c, .d.2, 5.1.1.e, .f documents DdA
    ISO 27001 4.2.1.j ISO 27005 ISO 27003 8.4 ISO 27001 4.3.1.c (partiel) ISO 27002 5.1.1.f

    Politiques spcifiques
    16/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politiques spcifiques
    Politique de contrle d'accs (ISO 27002 11.1.1) Politique de conservation des donnes nominatives (ISO 27002 15.1.4) Politique de gestion des enregistrements (ISO 27002 15.1.3) Politique d'change d'information avec les tiers (ISO 27002 6.2.3) Politique d'accs pour les tlmaintenances (ISO 27002 11.4.4) Politique de maniement des cls-mmoire USB (ISO 27002 10.7.1) ...

    17/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Communication de la Politique
    Politique de scurit de l'information doit tre communique tous (ISO27001 5.1 d)
    Courte et synthtique donc affichable

    PSSI ? Politiques spcifiques ne sont communiques qu'aux destinataires ayant besoin de les connatre

    18/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Politiques et ISO 27003


    ISO 27003 Annexe D Propose une hirarchie
    PSI Politiques spcifiques Pas de PSSI

    Politique du SMSI et Politique de Scurit de l'information


    Peuvent tre subordonnes l'une l'autre Rciproquement
    19/21
    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Autres politiques
    Dans chaque mtier les patrons sont des responsables d'activit avec une quipe :
    DSI Finances Commercial Production Achats

    Qualit, PCA, Scurit de l'information, etc, sont tranverses et pas hirarchiquement responsables de ceux qui doivent appliquer
    D'o le formalisme sous forme de politiques D'o la ncessit de l'engagement de la direction
    20/21
    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Conclusion
    Politique : pas une fin en soi Politique = outil Sans l'engagement et l'appui de la direction, un RSSI ne sert rien
    Comme un responsable qualit
    Revue et augmente

    2 dition

    Questions ?
    Herve.Schauer@hsc.frwww.hsc.fr
    21/21
    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Ressources
    Pour tlcharger le schma de modlisation de l'ISO 27005 :
    http://www.hsc.fr/ressources/presentations/netclu0927005/HSCModelisationISO27005.pdf

    Pour tlcharger la norme ISO 27000 gratuitement :


    http://standards.iso.org/ittf/PubliclyAvailableStandards/

    22/21

    Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite

    Anda mungkin juga menyukai