Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
michel.van.den.brande.overblog.com

michel.van.den.brande.overblog.com

Ce blog est essentiellement dédié à la publication d'articles traitant de sujets divers liés aux aspects techniques mais également de gestion de l'administration et de la sécurité des systèmes et des réseaux informatiques.

Présentation de la famille des normes ISO/IEC 27k

Publié le 4 Août 2014 par Michel Van Den Brande


1. Famille des normes ISO/IEC 27k


1.1. ISO/IEC 27000:2012

Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Vue d'ensemble et vocabulaire

1.2. ISO/IEC 27001:2005

Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Exigences

1.3. ISO/IEC 27002:2005

Technologies de l'information -- Techniques de sécurité -- Code de bonnes pratiques pour le management de la sécurité de l'information

1.4. ISO/IEC 27003:2010

Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information

1.5. ISO/IEC 27004:2009

Technologies de l'information -- Techniques de sécurité -- Management de la sécurité de l'information – Mesurage (contrôles via des indicateurs)

1.6. ISO/IEC 27005:2011

Technologies de l'information -- Techniques de sécurité -- Gestion des risques liés à la sécurité de l'information

1.7. ISO/IEC 27006:2011

Technologies de l'information -- Techniques de sécurité -- Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information

1.8. ISO/IEC 27007:2011

Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information

1.9. ISO/IEC 27008:2011

Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour les auditeurs des contrôles de sécurité de l'information

(Source : Les métriques dans le cadre de la série 27000, Dossier technique CLUSIF, mai 2009)

2. Exemples de Normes 27k hors champ du Système de Management de la Sécurité de l’Information

2.1. ISO/IEC 27013:2012

Technologies de l'information -- Techniques de sécurité -- Guide sur la mise en œuvre intégrée d'ISO/IEC 27001 et ISO/IEC 20000-1
Remarque : Traitent respectivement de la sécurité de l’information et de la gestion des services

2.2. ISO/IEC 27031:2011

Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité

2.3. ISO/IEC 27035:2011

Technologies de l'information -- Techniques de sécurité -- Gestion des incidents de sécurité de l'information

2.4. ISO/IEC 27037:2012

Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques

3. Focus sur les normes ISO/IEC 27001 et 27002

3.1. Historique des normes ISO/IEC 27001 et 27002

Approche strictement chronologique

 1995 – Le British Standards Institution crée la norme BS 7799 : catalogue de bonnes pratiques en matière de sécurité de l’information.

 1998 – Le British Standards Institution ajoute une seconde partie à cette norme, BS 7799 - 2 : exigences pour la mise en place d’un SMSI.

 2000 – Cette seconde partie est récupérée par l’ISO qui la baptise ISO 17799

 2002 – BSI publie une deuxième version de sa norme BS 7799, elle se nomme BS – 7799-2:2002

 2005 (juin) – L’ISO publie une nouvelle version de sa norme ISO 17799

 2005 (octobre) – L’ISO adopte la BS 7799-2 et la norme ISO/IEC 27001:2005 (elle sera modifiée dans le sens de se rapprocher le plus possible de la norme ISO 9001

 2007 – L’ISO renomme sa norme ISO/IEC 17799 en norme ISO/IEC 27002

 2013 – Nouvelle version des normes 27001 et 27002

Approche par norme

Pas de notion de SMSI (1ère partie de la norme):

 BS 7799 1995

 ISO 17799 2000

 ISO/IEC 27002 2007

 ISO/IEC 27002 2013

Notion de SMSI (2de partie de la norme):

 BS 7799-2 1998

 BS 7799-2 2002

 ISO/IEC 27001 2005

 ISO/IEC 27001 2013

3.2. 27001 versus 27002

3.2.1. Référence au SMSI

ISO/IEC 27001 campe les exigences pour la mise en place d’un SMSI

ISO/IEC 27002 ne traite pas de SMSI, il décrit les bonnes pratiques (133) et donne des conseils pour leur mise en œuvre

3.2.2. Certification

ISO/IEC 27001 permet une certification

ISO/IEC 27002 ne permet pas de certification (on parle plutôt de conformité)

3.2.3. PDCA

ISO/IEC 27001 se base sur la méthodologie Plan-Do-Check-Act

ISO/IEC 27002 pas de PDCA

3.2.4. 133 mesures

ISO/IEC 27001 définit 133 mesures dans son annexe A

ISO/IEC 27002 développe ces 133 contrôles dans le corps de son document

3.2.5. Volume

ISO/IEC 27001 fait 12 pages (sans les annexes)

ISO/IEC 27002 fait 105 pages (sans les annexes)

3.2.6. Shall - Should

ISO/IEC 27001 fait usage du « SHALL »

ISO/IEC 27002 fait usage du « SHOULD »

3.3. Focus sur la norme ISO/IEC 27001

3.3.1. La norme ISO/IEC 27001 est un « framework »

La norme ISO est un « framework » qui permet de construire les fondations d’un SMSI. Les chapitres 4 à 8 de la norme sont obligatoires.

Les autres normes 27k constituent des aides à la mise en œuvre de dispositifs spécifiques comme la gestion des risques : ISO/IEC 27005.

“To conclude, one could say that without the details provided in ISO/IEC 27002, controls defined in Annex A of ISO/IEC 27001 could not be implemented; however, without the management framework from ISO/IEC 27001, ISO/IEC 27002 would remain just an isolated effort of a few information security enthusiasts, with no acceptance from the top management and therefore with no real impact on the organization.”

Dejan Kosutic

(Source: http://blog.iso27001standard.com/2010/09/13/iso-27001-vs-iso-27002)

3.3.2. Le noyau dur de la norme ISO/IEC 27001

Le chapitre 4 de la norme ISO/IEC 27001 constitue le noyau dur et est articulé autour du modèle PDCA.

 Chapitre 4.2.1 : Mise en place du SMSI Plan

 Chapitre 4.2.2 : Implémentation et exploitation du SMSI Do

 Chapitre 4.2.3 : Contrôle et revue du SMSI Check

 Chapitre 4.2.4 : Amélioration du SMSI Act

Phase « Plan » du SMSI

 Définition du périmètre et de la politique du SMSI
 Analyse des risques (identification des actifs et de leurs responsables respectifs, traitement du risque et justification de l’acceptation des risques résiduels)
 Sélection des mesures de sécurité et rédaction du SoA (Statement of Applicability)

Phase « Do » du SMSI

 Déploiement des mesures de sécurité (liste d’actions, liste de moyens, établir des responsabilités et des priorités)
 Identifier des indicateurs
 Former et sensibiliser le personnel
 Gérer le SMSI au quotidien
 Gestion des incidents

Phase « Check » du SMSI

 Audit interne :

 définir le champ de l’audit : prendre un sous-ensemble des clauses de la norme ISO/IEC 27001
 se faire succéder les audits de manière à recouvrir au final l’ensemble des clauses

 Contrôle interne :

 il pourrait s’agir de contrôles inopinés
 le contrôle interne n’est pas explicitement exigé par la norme

 Revues :

 résultat des audits
 retour des parties prenantes
 actions en cours
 menaces mal ou pas identifiées
 nouvelles priorités, changements survenus
 prise de décision

Cfr : « Management de la Sécurité de l’Information » Alexandre FERNANDEZ-TORO p 39

Phase « Act » du SMSI

 Constat des erreurs et des dysfonctionnements
 Actions correctives (agir sur les effets et ensuite sur les causes)
 Actions préventives (agir sur les causes)
 Actions d’amélioration (agir sur les performances des processus)

3.3.3. Chapitres de l’ISO/IEC 27001

 Chapitre 4 : Établissement et management du SMSI pour les 4 étapes du PDCA

 Chapitre 5 : Responsabilité de la direction

 Chapitre 6 : Audits internes du SMSI

 Chapitre 7 : Revue de direction du SMSI

 Chapitre 8 : Amélioration du SMSI
Remarque : les chapitres 1, 2 et 3 traitent de notions générales telles : « scope », références normatives, termes et définitions.

3.4. Focus sur l’ISO/IEC 27002

3.4.1. Structure de la norme

Structure :

 11 chapitres importants

 composés de sous-chapitres

 composés de mesures

133 Mesures de Sécurité

« …, il ne s’agit que d’un code de bonnes pratiques devant être considéré comme un ouvrage de référence, à consulter en cas de doute sur la mise en application d’une mesure de sécurité. La norme propose, l’implémenteur dispose, en fonction du contexte auquel il est confronté. »
Management de la sécurité de l’information, d’Alexandre Fernandez Toro aux éditions Eyrolles

3.4.2. Liste des chapitres de la norme ISO/IEC 27002

 Chapitre n° 1 : Champ d'application
 Chapitre n° 2 : Termes et définitions
 Chapitre n° 3 : Structure de la présente norme
 Chapitre n° 4 : Évaluation des risques et de traitement
 Chapitre n° 5 : Politique de sécurité de l'information
 Chapitre n° 6 : Organisation de la sécurité de l'information
 Chapitre n° 7 : Gestion des actifs
 Chapitre n° 8 : Sécurité liée aux ressources humaines
 Chapitre n° 9 : Sécurités physiques et environnementales
 Chapitre n° 10 : Exploitation et gestion des communications
 Chapitre n° 11 : Contrôle d'accès
 Chapitre n° 12 : Acquisition, développement et maintenance des systèmes d'informations
 Chapitre n° 13 : Gestion des incidents
 Chapitre n° 14 : Gestion de la continuité d'activité
 Chapitre n° 15 : Conformité

Les trois premiers chapitres traitent de généralités de la norme. Ce n’est que du 4ème au 15ème chapitre qu’il est véritablement question de bonnes pratiques.

(Source : http://www.techr2.com/iso-270012005/)

Vous aimerez aussi :
Les référentiels du contrôle interne
Les référentiels du contrôle interne
Contrôle interne et analyse de risque
Contrôle interne et analyse de risque
Essai de synthétisation de l’approche « Cloud Computing »
Essai de synthétisation de l’approche « Cloud Computing »
Notion générale de contrôle interne
Notion générale de contrôle interne
Les référentiels du contrôle interne
Commenter cet article
Retour à l'accueil