Atelier e-Sécurité – juin 2006

Slides:



Advertisements
Présentations similaires
INTERNATIONAL ENTREPRENEURSHIP Pasqualino Mare, Projectmanager KC Handel 4 Novembre 2008 Paris,
Advertisements

New opportunities offered by APHLIS 3 Les nouvelles opportunities qui soffrent avec APHLIS 3 JRC.
(JST) Japan Science and Technology Agency J S T Creating
Digital geospatial public domain ?
PROGRAMME DE COOPERATION PROFESSIONELLE PONT – EST – OUEST PROGRAMME OF COOPERATION BETWEEN EAST AND WEST EUROPE BILAN DE TROIS ANNEES DE TRAVAIL THREE.
GINIE Data Policy workshop France F. Salgé G. Bertrand Y. Riallant.
OUR LAND – OUR WEALTH, OUR FUTURE, IN OUR HANDS Second Regional Preparation Workshop for the GEF Strategic Investment Program for Sustainable Land Management.
Click to edit Master title style Soccuper de notre personnel Investir dans leur développement professionnel Leur donner confiance en lavenir Look after.
Département fédéral de lintérieur DFI Office fédéral de la statistique OFS Implementing the economic classification revision (NACE / ISIC) in the Business.
INTÉGRITÉ, RESPONSABILITÉ ET CONFIANCE SUR LES MARCHÉS FINANCIERS: OÙ EN SOMMES-NOUS CINQ ANS APRÈS SARBANES-OXLEY? SOX en australie Paul Latimer, Monash.
Le sondage LibQUAL à HEC Montréal Une première expérience réussie qui sintègre au processus de planification stratégique de la bibliothèque Le sondage.
Échanger connaissances et techniques sur les routes et le transport routier 1 The PIARC Website.
Workshop/Atelier No. 3 Integrated Solid Waste Management and Resources Efficiency Towards Sustainable Development Gestion intégrée des déchets solides.
AFRICAN DEVELOPMENT BANK BANQUE AFRICAINE DE DEVELOPMENT
Discussion sur / Discussion on Chapitre 13: Nomenclatures des branches dactivités et des produits et taille des TRE Chapter 13:Classification of Industries.
Copyright © 2010 Systematic Présentation des enjeux Europe et International 1 Jean-Luc Beylat, Vice-Président International Systematic.
(Nom du fichier) - D1 - 01/03/2000 France Télécom R&D Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation.
Branche Développement Cnet La communication de ce document est soumise à autorisation du Cnet © France Télécom - (Nom du fichier) - D1 - 11/01/2014 Diffusion.
The Civil Aviation University World-wide CNS/ATM Systems Implementation Conference Rio de Janeiro, May 1998 Formations nécessaires.
Revenir aux basiques !. 1 Revenir aux basiques Processus Nécessité daméliorer la Maîtrise les Offres et Projets: lanalyse des causes racines montre un.
Inforoute Santé du Canada Les défis de linteropérabilité en e-santé Mike Sheridan, Chef de lexploitation 19 mai 2006.
Cliquez et modifiez le titre Cliquez pour modifier les styles du texte du masque Deuxième niveau Troisième niveau Quatrième niveau Cinquième niveau 1 Regulation.
Cliquez et modifiez le titre Cliquez pour modifier les styles du texte du masque Deuxième niveau Troisième niveau Quatrième niveau Cinquième niveau 23/01/2014©
Tbilisi – November 27, 2007 FAO / EBRD COOPERATION PROGRAMME ______ PROTECTION OF GEORGIAN WINE APPELLATIONS.
RECOMMENDATIONS ON EXPORT MARKETING FOR GEORGIAN WINES Tbilisi – November 27, 2007.
INTERNATIONAL PERSPECTIVE ON THE PROTECTION OF WINE APPELLATIONS.
1 Initiatives involving the social partners in Europe on climate change and employment policies Denmark : The experience of the Lindoe Offshore Renewable.
AFTLD MEETING APRIL 2008 JOHANNESBURG ADMINISTRATION OF.ML Dr Alioune B. Traor é : administrative contact for ;ML.
REBUILDING HAITIAN MEDICAL EDUCATION AND TRAINING.
Partenaires dITER Joint implementation Agreement Chine Corée du Sud Etats-Unis Fédération de Russie Japon Union Européenne + Inde Pays hôte dimplantation.
Réseau des Tribunaux référents Network of Pilot Courts 5. Quels indicateurs pour mesurer la qualité de la justice? Which indicators for measuring the quality.
The OECD Guidelines and the Evolving Privacy Landscape Data Protection Day January 28, 2011 Jennifer Stoddart Privacy Commissioner of Canada Joint High.
Naturopea Circonscription de Schoelcher Ecole de Plateau Didier Vendredi 16 mars 2012.
09/03/2014 EF Installations de suivi environnemental Draft data specification Version 2.0 TWG EF Facilitators: Franz Daffner, Sylvain Grellet.
Laboratory Accreditation
Control des objectifs des technologies de l’information COBIT
Actualités Services Providers & SPLA
PRESENTATION POUR LES ELEVES ET PARENTS DE LA CLASSE DE SECONDE
* Google Confidential and Proprietary Khaled KOUBAA Public Policy & Gov't Relations Manager - North Africa Google, Inc. Research, Innovation and Entrepreneurship.
EUROPEAN ASSOCIATION OF DEVELOPMENT RESEARCH AND TRAINING INSTITUTES ASSOCIATION EUROPÉENNE DES INSTITUTS DE RECHERCHE ET DE FORMATION EN MATIÈRE DE DÉVELOPPEMENT.
AFNOR NF Z – "Online Consumer Reviews
1 La promotion de la santé ancrée dans la loi Le mandat de Promotion Santé Suisse est ancré dans la loi fédérale du 18 mars 1994 sur lassurance maladie.
Comment le changement se produit La manière dont chacun imagine que le changement se produit (histoire, sociétés) influence fortement nos stratégies pour.
TortoiseSVN N°. Subversion : pour quoi faire ? Avoir un espace de stockage commun – Tous les étudiants du SIGLIS ont un espace svn commun Partager vos.
Observations from the International Drug Policy Consortium JAMIE BRIDGE SENIOR POLICY AND OPERATIONS MANAGER AU CONFERENCE OF MINISTERS OF DRUG CONTROL.
Seite 1 Présentation Guinée Réunion Task Force CQ/SQI, Eschborn CONCOURS QUALITE IN GUINEA Context and perennity Dr Mohamed Lamine.
PURCHASING PHASE REVIEW Cornerstones of Purchase baseline
Laboratoire de Bioinformatique des Génomes et des Réseaux Université Libre de Bruxelles, Belgique Introduction Statistics.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Présentation dun modèle dinterface adaptative dun système de diagnostique et dintervention industriel: ADAPTS (Adaptive Diagnostics And Personalized Technical.
1. Les structures de documentation pour la division ST. 2. Les types de document dans la division ST. 3. Linterface informatique. Lundi 8 Mai 2000 ST Quality.
1 ISBN John Wiley and sons. 2 IntroductionIntroduction Chapter 1.
Le Standardized Work PSE Trainer-version 3 – sept 2004 Alain Prioul 29 Octobre 2004.
Building Bridges in Belgium Dr Marc Bangels Ministry of Public Health Informatics, Telematics & Communication Unit.
Passage entre quaternions et matrice des cosinus directeurs Transition from Quaternions to Direction Cosine Matrices.
1 Spring Term Module 4 Culturethèque-ifru2013 May not be copied for commercial purposes.
Le Baromètre Zone Cours : un environnement pour la micro-évaluation de ressources pédagogiques* Jacques Raynauld Olivier Gerbé HEC Montréal, MATI Montréal.
1 Diffusion du savoir et mobilisation des connaissances Bilan de la réunion des partenaires du Domaine Justice, Police et Sécurité à Ottawa (14 novembre.
AFRICAN GROUP ON NATIONAL ACCOUNTS AGNA GROUPE AFRICAIN DE COMPTABILITÉ NATIONALE C RÉATION DU R ÉSEAU AFRICAIN DES COMPTABLES NATIONAUX.
1 Intégration régionale et transports Regional Integration and Transport Programme de travail 2005 Work Program 2005.
INDICATOR DEFINITION An indicator describes the manifestation of a process of change resulting from the pursuit of an action. Un indicateur décrit la manifestation.
16-Oct-00SL-BI and QAP Presented to QAWG on 23/10/2000Slide 1 Quality Assurance in SL/BI Jean-Jacques GRAS (SL-BI)
VTHD PROJECT (Very High Broadband Network Service): French NGI initiative C. GUILLEMOT FT / BD / FTR&D / RTA
The new or evolving “access right” Le nouveau “droit d’accès aux oeuvres” Alain Strowel Professeur Facultés Saint-Louis et Université de Liège, Avocat,
KM-Master Course, 2004 Module: Communautés virtuelles, Agents intelligents C3: Collaborative Knowledge construction & knowledge sharing Thierry NABETH.
Responsible products via large retail chains in the EU: field reality and development needs Vincent Commenne For the European Network for Responsible.
Fabio Bortolotti THE PERSPECTIVE OF AN ARBITRATOR LE POINT DE VUE D’UN ARBITRE Production of documents – Direct examination and cross examination Production.
© Copyright Showeet.com S OCIAL M EDIA T HINKING.
La norme Iso26000 La norme ISO définit comment les organisations peuvent et doivent contribuer au développement durable. Elle est publiée depuis.
Transcription de la présentation:

Atelier e-Sécurité – 19-20 juin 2006 Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – 19-20 juin 2006 Le rôle des responsables de la sécurité informatique a évolué fortement dans les dernières années. Il a changé d’une approche qui se basait principalement sur la technique à une approche plus orientée gestion. En même temps, de nombreuses approches structurées ont été développées et publiées. Toutes mettent l’emphase sur certains aspects particuliers et il est parfois difficile de faire la distinction entre-elles. Afin de faire une choix adapté, et d’éviter soit les redondances ou les oublis dans le cadre de la gestion de la sécurité dans les organisations, il est important, avant de choisir l’une ou l’autre des approches, de bien comprendre leurs points forts et leur possibles manques. Cette session va comparer les différentes approches standardisées utilisées au niveau international, y compris notamment les méthodes COBIT et ISO.

Principaux standards et approches As a part of this research, ITGI wanted to present an analysis of the degree to which the various security guidance documents fulfilled five principal areas of security. The areasare: • Information security management programme components—The respective guidance contains suggestions for the types of activities an information security manager would normally address within an information security programme, including justifications, objectives and approaches. • Security principles—The guidance suggests key security principles upon which an information security programme should be based, including justifications that can be interpreted to align with most, if not all, variations of business objectives. • High-level information security controls—The guidance contains information security controls, but not necessarily the detailed practices of how the control can be applied. • Detailed control practices—The guidance contains detailed information security control practices. • Model or methodology—The guidance describes a framework, model or methodology for one or more activity in which an information security manager may be engaged.

Control Objectives for Information and related Technology COBIT v. 4 Control Objectives for Information and related Technology Collection de documents et de recommandations TI considéré comme meilleures pratiques pour la gouvernance, le contrôle et l’assurance Couvre la gestion des TI, la sécurité, le contrôle et la gestion utilisateurs L’approche est alignés sur l’approche COSO, Sarbanes Oxley. Correspondances avec normes ISO/IEC 17799 Code of Practice for Information Security Management, plusieurs références de NIST et FISCAM COBIT est accepté partout dans le monde et disponible en anglais, français, Espagnol, hollandais et allemand. Publié par l’IT Governance Institute, institut de recherche de l’ISACA regroupant des professionnels de la sécurité et de l’audit informatique

COBIT Framework COBIT Framework a été conçu afin de faire le lien entre les organismes et outils de gestion de l’organisation Identifie le besoin de satisfaire les besoins de qualité, fiduciaire et de sécurité nécessaires pour garantir les flux d’informations. Ces grands lignes se retrouvent dans 7 catégories: Quality: 1. Effectiveness—Information must be relevant and pertinent to the business process as well as be delivered in a timely, correct, consistent and useable manner. 2. Efficiency—This calls for provisioning information through the most optimal(productive and economical) use of resources. Security: 3. Confidentiality—Sensitive information must be protected from unauthorised disclosure. 4. Integrity—Information must be complete and accurate and in line with business values and expectations. 5. Availability—Information, and associated resources and capabilities, must be available when needed now and in the future. Fiduciary: 6. Compliance—This deals with laws, regulation and contractual arrangements to which the business is subject. 7. Reliability of information—This category relates to provision of the information needed by management to operate the entity and to exercise financial and compliance reporting responsibilities.

COBIT IT Processs

ISO/IEC 17799:2000 Information Technology—Code of Practice for Information Security Management Collection de pratiques de sécurité de l’information établit des lignes directrices et des principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l'information. Peut être considérer comme la base pour développer des standards internes de sécurité et de principes de gestion Vise à améliorer l’intégrité de l’information et des relations inter- organisationnelles Basé sur la norme British Standard BS 7799-1:1999, Code of Practice for Information Security Management. Disponible en anglais, chinois, français, tchèque, danois, finlandais, hollandais, allemand, islandais, japonais, coréen, norvégien, portugais et suédois.

L'ISO/CEI 17799:2005 - grands principes Code de bonne pratique pour les objectifs et mesures, dans les catégories suivantes de la gestion de la sécurité de l'information: politique de sécurité; organisation de la sécurité de l'information; gestion des biens; sécurité liée aux ressources humaines; sécurité physique et environnementale; gestion opérationnelle et gestion de la communication; contrôle d'accès; acquisition, développement et maintenance des systèmes d'information; gestion des incidents liés à la sécurité de l'information; gestion de la continuité de l'activité; conformité.

ISO – Objectifs clés Les objectifs et mesures décrits dans l'ISO/CEI 17799:2005 sont destinés à être mis en oeuvre pour répondre aux exigences identifiées par une évaluation du risque. L'ISO/CEI 17799:2005 est prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de l'organisation, mettre en oeuvre les pratiques efficaces de la gestion de la sécurité, et participer au développement de la confiance dans les activités entre organismes.

FISMA Federal Information Systems security ACT Chaque agence doit établir un program de sécurité des systèmes d’information Revue annuelle du programme et rapport à l’OMB et au congrès Évaluation indépendante avec rapport à l’OMB et au congrès Rapport de l’OMB au congrès NIST développe les standards et normes Conditions spécifiques pour certaines agences Tout système fédéraux, peut inclure fournisseurs, partenaires, municipalités, etc.

Federal IS Control and Audit Manual FISCAM Federal IS Control and Audit Manual Développé par l’office de l’auditeur général Complément au manuel financier Développements: 1976-81 Orange book 1981-84 Black book 1984-94 IMTECH book 1995- FISCAM (en révision) FISCAM est une méthode, pas un standard Référentiel pour la mise en place et la révision de la gestion de la sécurité informatique

Programme de gestion de la sécurité Contrôle d’accès FISCAM (Suite) Domaines: Programme de gestion de la sécurité Contrôle d’accès Développement d’applications et mises-à-jour Operating system Séparation des tâches Continuité des opérations intégrité des données Complétude Intégrité des processus

Stratégie nationale pour la sécurité informatique Conclusions Stratégie nationale pour la sécurité informatique Référentiel pour la gestion et la supervision de la sécurité informatique dans les organismes publiques Programme Rapport et monitoring

Liens sur les standards et meilleures pratiques SECURITY STANDARDS AND BEST PRACTICES http://www.isaca.org/ The Information Systems and Control Association and Foundation. The guidelines and framework for the Control Objectives for Information Technology (COBIT) can be downloaded from this website. Also, lots of research an best practices. http://www.isc2.org/ The International Information Systems Security Certification Consortium http://www.giac.org/ The Global Information Assurance Certification related to the SANS institute mentioned above under standards and best practices http://www.diffuse.org/secure.html#help The Diffuse project provides reference and guidance information on available and emerging standards and specifications that facilitate the electronic exchange of information, including a comprehensive listing of information security standards. A good starting point. http://www.iso.ch/cate/d33441.html ISO/IEC 17799:2000 Information technology -- Code of practice for information security management. http://www.bsi-global.com/group.xhtml BS 7799-2:1999 Information security management -- Specification for information security management systems. http://www.standards.com.au/ AS/NZS 4444-2:1999 Information security management --Specification for information security management systems. http://www.sas70.com The website dedicated to the Statement on Auditing Standards Number 70 developed by the American Institute of Certified Public Accountants (AICPA) http://csrc.nist.gov The website of the Computer Security Resource Centre of the USA’s National Institute for Standards and Technology. It links to the standard NIST 800-37

Liens sur les standards et meilleures pratiques (suite) http://www.itu.int/ The International Telecommunications Union produces recommendations that are developed and published as standards by the International Standards Organization (ISO) and the International Electrotechnical Commission (IEC). These include the X.509 standard for digital certificates and the X.800 series of standards for electronic commerce related activities http://www.ietf.org The Internet Engineering Task Force is the major international forum for the discussion and development of Internet-related technical standards – the pages “IETF Security Area” were under construction in mid April 2002. http://csrc.nist.gov/publications/ The Computer Security Resource Center is maintained by the US Government National Institute of Standards and Technology. Good resource for US Government standards and other resources. This website also has links to the security standards activities of the Institution of Electrical and Electronic Engineers (IEEE), the European Computer Manufacturers Association (ECMA), also working on the development of security related standards as well as to the work of other bodies. http://www.radium.ncsc.mil/tpep/ US Government Commercial Product Evaluations, with links to the “Common Criteria” (Common Criteria Information Technology Security Evaluation CCITSE), the “Rainbow Series” (Trusted Computer System Evaluation Criteria TCSEC) and the Evaluated Products List. http://www.caspr.org Work in progress to create a Common Body of Knowledge (CBK) through a series of Commonly Accepted Security Practices and Recommendations (CASPR). It is expected that this material will become available later in 2002. http://www.sans.org The System Administration and Networking Security Institute provides guidance, training and information on a broad range of information security matters. http://www.issa.org The Information Systems Security Association – a website primarily for information security professionals http://www.gocsi.com/ The Computer Security Institute http://www.itil-itsm-world.com/security.htm The Information Technology Infrastructure Library (ITIL) originated in the UK Government’s Central Computing and Communications Agency and developed since intoan autonomous business unit providing documentation, guidance, consultancy and other activites http://www.survive.com/ Worldwide professional association for business continuity professionals.