Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Atelier e-Sécurité – 19-20 juin 2006
Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – juin 2006 Le rôle des responsables de la sécurité informatique a évolué fortement dans les dernières années. Il a changé d’une approche qui se basait principalement sur la technique à une approche plus orientée gestion. En même temps, de nombreuses approches structurées ont été développées et publiées. Toutes mettent l’emphase sur certains aspects particuliers et il est parfois difficile de faire la distinction entre-elles. Afin de faire une choix adapté, et d’éviter soit les redondances ou les oublis dans le cadre de la gestion de la sécurité dans les organisations, il est important, avant de choisir l’une ou l’autre des approches, de bien comprendre leurs points forts et leur possibles manques. Cette session va comparer les différentes approches standardisées utilisées au niveau international, y compris notamment les méthodes COBIT et ISO.
2
Principaux standards et approches
As a part of this research, ITGI wanted to present an analysis of the degree to which the various security guidance documents fulfilled five principal areas of security. The areasare: • Information security management programme components—The respective guidance contains suggestions for the types of activities an information security manager would normally address within an information security programme, including justifications, objectives and approaches. • Security principles—The guidance suggests key security principles upon which an information security programme should be based, including justifications that can be interpreted to align with most, if not all, variations of business objectives. • High-level information security controls—The guidance contains information security controls, but not necessarily the detailed practices of how the control can be applied. • Detailed control practices—The guidance contains detailed information security control practices. • Model or methodology—The guidance describes a framework, model or methodology for one or more activity in which an information security manager may be engaged.
3
Control Objectives for Information and related Technology
COBIT v. 4 Control Objectives for Information and related Technology Collection de documents et de recommandations TI considéré comme meilleures pratiques pour la gouvernance, le contrôle et l’assurance Couvre la gestion des TI, la sécurité, le contrôle et la gestion utilisateurs L’approche est alignés sur l’approche COSO, Sarbanes Oxley. Correspondances avec normes ISO/IEC Code of Practice for Information Security Management, plusieurs références de NIST et FISCAM COBIT est accepté partout dans le monde et disponible en anglais, français, Espagnol, hollandais et allemand. Publié par l’IT Governance Institute, institut de recherche de l’ISACA regroupant des professionnels de la sécurité et de l’audit informatique
4
COBIT Framework COBIT Framework a été conçu afin de faire le lien entre les organismes et outils de gestion de l’organisation Identifie le besoin de satisfaire les besoins de qualité, fiduciaire et de sécurité nécessaires pour garantir les flux d’informations. Ces grands lignes se retrouvent dans 7 catégories: Quality: 1. Effectiveness—Information must be relevant and pertinent to the business process as well as be delivered in a timely, correct, consistent and useable manner. 2. Efficiency—This calls for provisioning information through the most optimal(productive and economical) use of resources. Security: 3. Confidentiality—Sensitive information must be protected from unauthorised disclosure. 4. Integrity—Information must be complete and accurate and in line with business values and expectations. 5. Availability—Information, and associated resources and capabilities, must be available when needed now and in the future. Fiduciary: 6. Compliance—This deals with laws, regulation and contractual arrangements to which the business is subject. 7. Reliability of information—This category relates to provision of the information needed by management to operate the entity and to exercise financial and compliance reporting responsibilities.
5
COBIT IT Processs
6
ISO/IEC 17799:2000 Information Technology—Code of Practice for Information Security Management Collection de pratiques de sécurité de l’information établit des lignes directrices et des principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l'information. Peut être considérer comme la base pour développer des standards internes de sécurité et de principes de gestion Vise à améliorer l’intégrité de l’information et des relations inter- organisationnelles Basé sur la norme British Standard BS :1999, Code of Practice for Information Security Management. Disponible en anglais, chinois, français, tchèque, danois, finlandais, hollandais, allemand, islandais, japonais, coréen, norvégien, portugais et suédois.
7
L'ISO/CEI 17799:2005 - grands principes
Code de bonne pratique pour les objectifs et mesures, dans les catégories suivantes de la gestion de la sécurité de l'information: politique de sécurité; organisation de la sécurité de l'information; gestion des biens; sécurité liée aux ressources humaines; sécurité physique et environnementale; gestion opérationnelle et gestion de la communication; contrôle d'accès; acquisition, développement et maintenance des systèmes d'information; gestion des incidents liés à la sécurité de l'information; gestion de la continuité de l'activité; conformité.
8
ISO – Objectifs clés Les objectifs et mesures décrits dans l'ISO/CEI 17799:2005 sont destinés à être mis en oeuvre pour répondre aux exigences identifiées par une évaluation du risque. L'ISO/CEI 17799:2005 est prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de l'organisation, mettre en oeuvre les pratiques efficaces de la gestion de la sécurité, et participer au développement de la confiance dans les activités entre organismes.
9
FISMA Federal Information Systems security ACT Chaque agence doit établir un program de sécurité des systèmes d’information Revue annuelle du programme et rapport à l’OMB et au congrès Évaluation indépendante avec rapport à l’OMB et au congrès Rapport de l’OMB au congrès NIST développe les standards et normes Conditions spécifiques pour certaines agences Tout système fédéraux, peut inclure fournisseurs, partenaires, municipalités, etc.
10
Federal IS Control and Audit Manual
FISCAM Federal IS Control and Audit Manual Développé par l’office de l’auditeur général Complément au manuel financier Développements: Orange book Black book IMTECH book 1995- FISCAM (en révision) FISCAM est une méthode, pas un standard Référentiel pour la mise en place et la révision de la gestion de la sécurité informatique
11
Programme de gestion de la sécurité Contrôle d’accès
FISCAM (Suite) Domaines: Programme de gestion de la sécurité Contrôle d’accès Développement d’applications et mises-à-jour Operating system Séparation des tâches Continuité des opérations intégrité des données Complétude Intégrité des processus
12
Stratégie nationale pour la sécurité informatique
Conclusions Stratégie nationale pour la sécurité informatique Référentiel pour la gestion et la supervision de la sécurité informatique dans les organismes publiques Programme Rapport et monitoring
13
Liens sur les standards et meilleures pratiques
SECURITY STANDARDS AND BEST PRACTICES The Information Systems and Control Association and Foundation. The guidelines and framework for the Control Objectives for Information Technology (COBIT) can be downloaded from this website. Also, lots of research an best practices. The International Information Systems Security Certification Consortium The Global Information Assurance Certification related to the SANS institute mentioned above under standards and best practices The Diffuse project provides reference and guidance information on available and emerging standards and specifications that facilitate the electronic exchange of information, including a comprehensive listing of information security standards. A good starting point. ISO/IEC 17799:2000 Information technology -- Code of practice for information security management. BS :1999 Information security management -- Specification for information security management systems. AS/NZS :1999 Information security management --Specification for information security management systems. The website dedicated to the Statement on Auditing Standards Number 70 developed by the American Institute of Certified Public Accountants (AICPA) The website of the Computer Security Resource Centre of the USA’s National Institute for Standards and Technology. It links to the standard NIST
14
Liens sur les standards et meilleures pratiques (suite)
The International Telecommunications Union produces recommendations that are developed and published as standards by the International Standards Organization (ISO) and the International Electrotechnical Commission (IEC). These include the X.509 standard for digital certificates and the X.800 series of standards for electronic commerce related activities The Internet Engineering Task Force is the major international forum for the discussion and development of Internet-related technical standards – the pages “IETF Security Area” were under construction in mid April 2002. The Computer Security Resource Center is maintained by the US Government National Institute of Standards and Technology. Good resource for US Government standards and other resources. This website also has links to the security standards activities of the Institution of Electrical and Electronic Engineers (IEEE), the European Computer Manufacturers Association (ECMA), also working on the development of security related standards as well as to the work of other bodies. US Government Commercial Product Evaluations, with links to the “Common Criteria” (Common Criteria Information Technology Security Evaluation CCITSE), the “Rainbow Series” (Trusted Computer System Evaluation Criteria TCSEC) and the Evaluated Products List. Work in progress to create a Common Body of Knowledge (CBK) through a series of Commonly Accepted Security Practices and Recommendations (CASPR). It is expected that this material will become available later in 2002. The System Administration and Networking Security Institute provides guidance, training and information on a broad range of information security matters. The Information Systems Security Association – a website primarily for information security professionals The Computer Security Institute The Information Technology Infrastructure Library (ITIL) originated in the UK Government’s Central Computing and Communications Agency and developed since intoan autonomous business unit providing documentation, guidance, consultancy and other activites Worldwide professional association for business continuity professionals.
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.