Escolar Documentos
Profissional Documentos
Cultura Documentos
Aot 2011 Par: Chantale Pineault ADMA, CMC, CRISC Responsable dimplmentation 27001 ISO 27005 Risk Manager / Mhari
AGRM - Protection de linformation 1
Introduction
La scurit 100% nexiste pas. quilibre entre facilit dutilisation et scurit Il faut grer les risques. De plus en plus, la scurit de linformation devient une obligation lgale. Loi sur la protection des renseignements personnels et les documents lectroniques Conformit Sarbanes-Oxley (USA)
Introduction
Quest-ce que linformation?
L'information est un actif essentiel au fonctionnement de l'organisme et ncessite en consquence d'tre bien protg. L'information peut tre stocke sous diffrentes formes numrique, papier, connaissances des salaris. L'information peut tre transmise par diffrents moyens, notamment les messageries et la communication lectronique ou verbale. Les TIC sont un lment essentiel dans tout organisme et facilitent la cration, le traitement, le stockage, la transmission, la protection et la destruction de l'information.
Introduction
Quest-ce que la scurit de linformation?
La scurit de l'information comprend trois grandes dimensions: Disponibilit Proprit dtre accessible et utilisable la demande par une entit autorise. Intgrit Proprit de protection de lexactitude et de lexhaustivit des actifs. Confidentialit Proprit selon laquelle linformation nest pas rendue disponible ou divulgue des personnes, des entits ou des processus non autoriss.
Introduction
LOrganisation Internationale de Normalisation (ISO) est une fdration internationale dorganisations normalisatrices nationales de plus de 150 pays. Les rsultats finaux des travaux de lISO sont publis en tant que normes internationales. Plus de 16000 normes ont t publies depuis 1947. Rle : faciliter la coordination internationale et luniformisation des normes industrielles. La famille de normes ISO 27000 concerne la scurit de linformation.
Introduction
Exigences Usage obligatoire pour la certification ISO 27001 Exigences du SGSI ISO 27006 Certification de SGSI
Structure de la norme
Clause 5 Responsabilit du management Clause 8 Amlioration du SGSI
La 2e tape, Dployer, est la construction, le dveloppement et la ralisation de luvre. La 3e tape, Contrler, consiste vrifier quil ny a pas dcart entre ce que lon a dit et ce que lon a fait. La 4e tape, Agir, est la correction et lamlioration continue de la solution.
10
Situation actuelle
Politique
Objectifs
11
Dans lISO 27001, le modle PDCA est appliqu la structure de tous les processus dun Systme de gestion de la scurit de linformation (SGSI, SMSI ou ISMS). Lapproche propose est une approche processus pour ltablissement (Planifier) la mise en uvre et le fonctionnement (Dployer) la surveillance et la rvision (Contrler) la maintenance et lamlioration (Agir) du SGSI dun organisme.
12
CYCLE DE VIE DE LA DFINITION, MISE EN UVRE, CONTRLE ET AMLIORATION DU SGSI 4. Agir Maintenance et amlioration du SGSI
13
Exercice 1 - PDCA
Contexte: Audit de pare-feu Le pare-feu assure la segmentation du rseau au moyen de rgles de filtrage. Des nouvelles rgles sont ajoutes rgulirement.
Pour de nouveaux rseaux Pour de nouvelles applications Pour des tests
Une quipe comptente soccupe de grer le pare-feu. Les rgles commencent saccumuler un peu trop
14
Exercice 1 - PDCA
La quantit de rgles rend la gestion du pare-feu ardue. Beaucoup de rgles maintenant obsoltes sont toujours prsentes.
Tests achevs Applications qui nexistent plus
15
Exercice 1 - PDCA
Solution PLANIFIER
Identifier les flux autoriss. Formaliser une liste de rgles.
P A C D
DPLOYER
Configurer le pare-feu et le routeur.
CONTRLER
Sassurer que les rgles prsentes dans le pare-feu et le routeur sont cohrentes avec la liste de rgles.
AGIR
Si ce nest pas le cas, modifier la liste de rgles ou la configuration.
16
Exercice 1 - PDCA
Conclusion Important de vrifier la cohrence de lapplication de la mesure de scurit. Permet de traiter des rgles problmatiques
Supprimer des rgles obsoltes ou contradictoires Affiner les rgles dj existantes
17
18
Contact et information
AGRM-PI Socit-conseils en scurit de linformation 600 avenue Belvdre, bureau 200 Qubec, QC, G1S 3E5 Tlphone: (418) 682-2779 info@agrmpi.ca www.agrmpi.ca
AGRM - Protection de linformation 19