La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – 19-20 juin 2006.

Présentations similaires


Présentation au sujet: "1 Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – 19-20 juin 2006."— Transcription de la présentation:

1 1 Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – juin 2006

2 Principaux standards et approches

3 COBIT v. 4 Control Objectives for Information and related Technology Collection de documents et de recommandations TI considéré comme meilleures pratiques pour la gouvernance, le contrôle et lassurance Couvre la gestion des TI, la sécurité, le contrôle et la gestion utilisateurs Lapproche est alignés sur lapproche COSO, Sarbanes Oxley. Correspondances avec normes ISO/IEC Code of Practice for Information Security Management, plusieurs références de NIST et FISCAM COBIT est accepté partout dans le monde et disponible en anglais, français, Espagnol, hollandais et allemand. Publié par lIT Governance Institute, institut de recherche de lISACA regroupant des professionnels de la sécurité et de laudit informatique

4 COBIT Framework COBIT Framework a été conçu afin de faire le lien entre les organismes et outils de gestion de lorganisation Identifie le besoin de satisfaire les besoins de qualité, fiduciaire et de sécurité nécessaires pour garantir les flux dinformations. Ces grands lignes se retrouvent dans 7 catégories: Quality: 1. EffectivenessInformation must be relevant and pertinent to the business process as well as be delivered in a timely, correct, consistent and useable manner. 2. EfficiencyThis calls for provisioning information through the most optimal(productive and economical) use of resources. Security: 3. ConfidentialitySensitive information must be protected from unauthorised disclosure. 4. IntegrityInformation must be complete and accurate and in line with business values and expectations. 5. AvailabilityInformation, and associated resources and capabilities, must be available when needed now and in the future. Fiduciary: 6. ComplianceThis deals with laws, regulation and contractual arrangements to which the business is subject. 7. Reliability of informationThis category relates to provision of the information needed by management to operate the entity and to exercise financial and compliance reporting responsibilities.

5 COBIT IT Processs

6 ISO/IEC 17799:2000 Information TechnologyCode of Practice for Information Security Management Collection de pratiques de sécurité de linformation établit des lignes directrices et des principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l'information. Peut être considérer comme la base pour développer des standards internes de sécurité et de principes de gestion Vise à améliorer lintégrité de linformation et des relations inter- organisationnelles Basé sur la norme British Standard BS :1999, Code of Practice for Information Security Management. Disponible en anglais, chinois, français, tchèque, danois, finlandais, hollandais, allemand, islandais, japonais, coréen, norvégien, portugais et suédois.

7 L'ISO/CEI 17799: grands principes Code de bonne pratique pour les objectifs et mesures, dans les catégories suivantes de la gestion de la sécurité de l'information: 1.politique de sécurité; 2.organisation de la sécurité de l'information; 3.gestion des biens; 4.sécurité liée aux ressources humaines; 5.sécurité physique et environnementale; 6.gestion opérationnelle et gestion de la communication; 7.contrôle d'accès; 8.acquisition, développement et maintenance des systèmes d'information; 9.gestion des incidents liés à la sécurité de l'information; 10.gestion de la continuité de l'activité; 11.conformité.

8 ISO – Objectifs clés Les objectifs et mesures décrits dans l'ISO/CEI 17799:2005 sont destinés à être mis en oeuvre pour répondre aux exigences identifiées par une évaluation du risque. L'ISO/CEI 17799:2005 est prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de l'organisation, mettre en oeuvre les pratiques efficaces de la gestion de la sécurité, et participer au développement de la confiance dans les activités entre organismes.

9 FISMA Federal Information Systems security ACT Chaque agence doit établir un program de sécurité des systèmes dinformation Revue annuelle du programme et rapport à lOMB et au congrès Évaluation indépendante avec rapport à lOMB et au congrès Rapport de lOMB au congrès NIST développe les standards et normes Conditions spécifiques pour certaines agences Tout système fédéraux, peut inclure fournisseurs, partenaires, municipalités, etc.

10 FISCAM Federal IS Control and Audit Manual Développé par loffice de lauditeur général Complément au manuel financier Développements: – Orange book – Black book – IMTECH book –1995-FISCAM (en révision) FISCAM est une méthode, pas un standard Référentiel pour la mise en place et la révision de la gestion de la sécurité informatique

11 FISCAM (Suite) Domaines: Programme de gestion de la sécurité Contrôle daccès Développement dapplications et mises-à-jour Operating system Séparation des tâches Continuité des opérations intégrité des données Complétude Intégrité des processus

12 Conclusions Stratégie nationale pour la sécurité informatique Référentiel pour la gestion et la supervision de la sécurité informatique dans les organismes publiques Programme Rapport et monitoring

13 Liens sur les standards et meilleures pratiques SECURITY STANDARDS AND BEST PRACTICES The Information Systems and Control Association and Foundation. The guidelines and framework for the Control Objectives for Information Technology (COBIT) can be downloaded from this website. Also, lots of research an best practices. The International Information Systems Security Certification Consortium The Global Information Assurance Certification related to the SANS institute mentioned above under standards and best practices The Diffuse project provides reference and guidance information on available and emerging standards and specifications that facilitate the electronic exchange of information, including a comprehensive listing of information security standards. A good starting point. ISO/IEC 17799:2000 Information technology -- Code of practice for information security management. BS :1999 Information security management -- Specification for information security management systems. AS/NZS :1999 Information security management --Specification for information security management systems. The website dedicated to the Statement on Auditing Standards Number 70 developed by the American Institute of Certified Public Accountants (AICPA) The website of the Computer Security Resource Centre of the USAs National Institute for Standards and Technology. It links to the standard NIST

14 Liens sur les standards et meilleures pratiques (suite) The International Telecommunications Union produces recommendations that are developed and published as standards by the International Standards Organization (ISO) and the International Electrotechnical Commission (IEC). These include the X.509 standard for digital certificates and the X.800 series of standards for electronic commerce related activities The Internet Engineering Task Force is the major international forum for the discussion and development of Internet-related technical standards – the pages IETF Security Area were under construction in mid April The Computer Security Resource Center is maintained by the US Government National Institute of Standards and Technology. Good resource for US Government standards and other resources. This website also has links to the security standards activities of the Institution of Electrical and Electronic Engineers (IEEE), the European Computer Manufacturers Association (ECMA), also working on the development of security related standards as well as to the work of other bodies. US Government Commercial Product Evaluations, with links to the Common Criteria (Common Criteria Information Technology Security Evaluation CCITSE), the Rainbow Series (Trusted Computer System Evaluation Criteria TCSEC) and the Evaluated Products List. Work in progress to create a Common Body of Knowledge (CBK) through a series of Commonly Accepted Security Practices and Recommendations (CASPR). It is expected that this material will become available later in The System Administration and Networking Security Institute provides guidance, training and information on a broad range of information security matters. The Information Systems Security Association – a website primarily for information security professionals The Computer Security Institute The Information Technology Infrastructure Library (ITIL) originated in the UK Governments Central Computing and Communications Agency and developed since intoan autonomous business unit providing documentation, guidance, consultancy and other activites Worldwide professional association for business continuity professionals.


Télécharger ppt "1 Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – 19-20 juin 2006."

Présentations similaires


Annonces Google