Você está na página 1de 19

Prsentation de lISO 27001 et du modle PDCA

Aot 2011 Par: Chantale Pineault ADMA, CMC, CRISC Responsable dimplmentation 27001 ISO 27005 Risk Manager / Mhari
AGRM - Protection de linformation 1

Introduction
La scurit 100% nexiste pas. quilibre entre facilit dutilisation et scurit Il faut grer les risques. De plus en plus, la scurit de linformation devient une obligation lgale. Loi sur la protection des renseignements personnels et les documents lectroniques Conformit Sarbanes-Oxley (USA)

AGRM - Protection de linformation

Introduction
Quest-ce que linformation?
L'information est un actif essentiel au fonctionnement de l'organisme et ncessite en consquence d'tre bien protg. L'information peut tre stocke sous diffrentes formes numrique, papier, connaissances des salaris. L'information peut tre transmise par diffrents moyens, notamment les messageries et la communication lectronique ou verbale. Les TIC sont un lment essentiel dans tout organisme et facilitent la cration, le traitement, le stockage, la transmission, la protection et la destruction de l'information.

AGRM - Protection de linformation

Introduction
Quest-ce que la scurit de linformation?
La scurit de l'information comprend trois grandes dimensions: Disponibilit Proprit dtre accessible et utilisable la demande par une entit autorise. Intgrit Proprit de protection de lexactitude et de lexhaustivit des actifs. Confidentialit Proprit selon laquelle linformation nest pas rendue disponible ou divulgue des personnes, des entits ou des processus non autoriss.

AGRM - Protection de linformation

Introduction
LOrganisation Internationale de Normalisation (ISO) est une fdration internationale dorganisations normalisatrices nationales de plus de 150 pays. Les rsultats finaux des travaux de lISO sont publis en tant que normes internationales. Plus de 16000 normes ont t publies depuis 1947. Rle : faciliter la coordination internationale et luniformisation des normes industrielles. La famille de normes ISO 27000 concerne la scurit de linformation.

AGRM - Protection de linformation

Introduction
Exigences Usage obligatoire pour la certification ISO 27001 Exigences du SGSI ISO 27006 Certification de SGSI

ISO 27000 Vocabulaire

ISO 27002 Mesures de scurit

Guides Usage facultatif

ISO 27007 Audit de SGSI

ISO 27005 Gestion des risques ISO 27004 Indicateurs SGSI

ISO 27799 Organisations de sant

ISO 27003 Mise en uvre

AGRM - Protection de linformation

Prsentation de lISO 27001 ISO 27001


Gestion de la scurit de l'information Spcification pour les systmes de management de la scurit de l'information
Spcifie les exigences pour la conception, la mise en place et la documentation des SGSI Spcifie les exigences pour la mise en uvre de contrles conformment aux besoins des organisations Lannexe A se compose de 11 sections comportant 133 contrles de ISO 27002 Les organisations peuvent postuler la certification cette norme.

AGRM - Protection de linformation

Prsentation de lISO 27001

Structure de la norme
Clause 5 Responsabilit du management Clause 8 Amlioration du SGSI

Clause 4.2.1 Mise en place du SGSI

Clause 4.2.4 Amlioration du SGSI

Clause 4.2.2 Implmentation et exploitation du SGSI

Clause 6 Audits internes du SGSI

Clause 4.2.3 Contrle et revue du SGSI

Clause 7 Revue du SGSI

AGRM - Protection de linformation

Prsentation de lISO 27001


2007 2005 2002 2001 2000 1999 1998 1995 ISO 27002:2005 ISO 17799:2005 et ISO 27001:2005 approuvs Nouveau BS 7799-2 accept Nouveau BS 7799-2 (draft) ISO/IEC 17799:2000 Nouvelle sortie du BS 7799 Partie 1 & 2 BS 7799 Partie 2 BS 7799 Partie 1
AGRM - Protection de linformation 9

Modle PDCA et SGSI


Aussi connu sous le nom de Roue de Deming, le modle PDCA (Plan-DoCheck-Act) est lillustration dune mthode de gestion en 4 tapes. La 1re tape, Planifier, consiste planifier la ralisation. Elle se droule gnralement en 3 phases: 1. 2. 3. Identifier le problme Rechercher les causes laborer des solutions et un cahier des charges C A P D

La 2e tape, Dployer, est la construction, le dveloppement et la ralisation de luvre. La 3e tape, Contrler, consiste vrifier quil ny a pas dcart entre ce que lon a dit et ce que lon a fait. La 4e tape, Agir, est la correction et lamlioration continue de la solution.

AGRM - Protection de linformation

10

Modle PDCA et SGSI


Quest-ce quun systme de gestion? Dfinition formelle de lISO 9000: Cest un systme permettant: Dtablir une politique Dtablir des objectifs Datteindre ces objectifs

Situation actuelle

Politique

Objectifs

AGRM - Protection de linformation

11

Modle PDCA et SGSI

Dans lISO 27001, le modle PDCA est appliqu la structure de tous les processus dun Systme de gestion de la scurit de linformation (SGSI, SMSI ou ISMS). Lapproche propose est une approche processus pour ltablissement (Planifier) la mise en uvre et le fonctionnement (Dployer) la surveillance et la rvision (Contrler) la maintenance et lamlioration (Agir) du SGSI dun organisme.

AGRM - Protection de linformation

12

Modle PDCA et SGSI

Modle PDCA appliqu aux processus SGSI


1. Planifier tablissement du SGSI 2. Dployer Mise en uvre et fonctionnement du SGSI

CYCLE DE VIE DE LA DFINITION, MISE EN UVRE, CONTRLE ET AMLIORATION DU SGSI 4. Agir Maintenance et amlioration du SGSI

3. Contrler Surveillance et rvision du SGSI

AGRM - Protection de linformation

13

Exercice 1 - PDCA

Contexte: Audit de pare-feu Le pare-feu assure la segmentation du rseau au moyen de rgles de filtrage. Des nouvelles rgles sont ajoutes rgulirement.
Pour de nouveaux rseaux Pour de nouvelles applications Pour des tests

Une quipe comptente soccupe de grer le pare-feu. Les rgles commencent saccumuler un peu trop

AGRM - Protection de linformation

14

Exercice 1 - PDCA

Ncessit de protger les donnes sensibles par filtrage du rseau


11.4.5. Cloisonnement des rseaux

La quantit de rgles rend la gestion du pare-feu ardue. Beaucoup de rgles maintenant obsoltes sont toujours prsentes.
Tests achevs Applications qui nexistent plus

Lobjectif de protection rseau nest plus atteint.

Consigne: Remdier ce problme avec le PDCA

AGRM - Protection de linformation

15

Exercice 1 - PDCA
Solution PLANIFIER
Identifier les flux autoriss. Formaliser une liste de rgles.

P A C D

DPLOYER
Configurer le pare-feu et le routeur.

CONTRLER
Sassurer que les rgles prsentes dans le pare-feu et le routeur sont cohrentes avec la liste de rgles.

AGIR
Si ce nest pas le cas, modifier la liste de rgles ou la configuration.

AGRM - Protection de linformation

16

Exercice 1 - PDCA

Conclusion Important de vrifier la cohrence de lapplication de la mesure de scurit. Permet de traiter des rgles problmatiques
Supprimer des rgles obsoltes ou contradictoires Affiner les rgles dj existantes

Rduit les risques de flux non autoris


Contrevenant la politique de scurit

AGRM - Protection de linformation

17

Spcifications lgard de la documentation


ISO/CEI 27000, Technologies de linformation Techniques de scurit Systmes de management de la scurit de linformation Vue densemble et vocabulaire ISO/CEI 27001, Norme internationale, Technologies de linformation Techniques de scurit Systmes de gestion de la scurit de linformation Exigences, anne 2005 ISO/CEI 27002, Norme internationale, Technologies de linformation Techniques de scurit Code de bonne pratique pour la gestion de la scurit de linformation, anne 2005 ISO/CEI 27799, Informatique de sant Gestion de la scurit de linformation relative la sant en utilisant lISO/CEI 27002, anne 2008 Alexandre Fernandez-Toro, Management de la scurit de linformation : Implmentation ISO 27001 : Mise en place dun SMSI et audit de certification. Paris : Eyrolles, anne 2008 www.iso.org

AGRM - Protection de linformation

18

Contact et information

AGRM-PI Socit-conseils en scurit de linformation 600 avenue Belvdre, bureau 200 Qubec, QC, G1S 3E5 Tlphone: (418) 682-2779 info@agrmpi.ca www.agrmpi.ca
AGRM - Protection de linformation 19

Você também pode gostar