Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
HERVÉ SCHAUER CONSULTANTSHERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Cabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetSpécialisé sur Unix, Windows, TCP/IP et Internet
Béatrice JoucreauBéatrice JoucreauJulien LevrardJulien Levrard
ISO 27001:2013ISO 27001:2013Comparatif avec la version 2005Comparatif avec la version 2005
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite2 / 28
Sommaire
Comparaison des structures
Synthèse des changements de fond
Contexte de l'organisation (4)
Leadership (5)
Planification (6)
Processus support (7)
Évaluation de la performance (9)
Amélioration (10)
Certification
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite3 / 28
Comparaison des structuresAncienne structure
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite4 / 28
Comparaison des structuresNouvelle structure
Structure imposée par l'appendice 1 de l'Annexe SL du nouveau Supplément ISO consolidé des Directives ISO/CEI, partie 1
Plan plus logique, formulations plus générales
Pas de mention explicite du PDCA, remplacé par « établir, implémenter, mettre à jour, améliorer »
Pas d'encouragement à l'approche processus dans l'introduction, mais approche processus de fait
Clauses 4 à 10 obligatoires
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite5 / 28
Comparaison des structuresComparaison des deux versions
Clauses obligatoires : 4 à 8
4 Système de management de la sécurité de l'information
4.2.1 Etablissement du SMSIDomaine d'applicationPolitiqueMéthodologie d'appréciation du risqueAppréciation des risquesTraitement des risques
4.2.2 Mise en œuvre et fonctionnement du SMSI
4.2.3 Surveillance et réexamen du SMSI
4.2.4 Mise à jour et amélioration du SMSI
4.3 Exigences relatives à la documentation
Clauses obligatoires : 4 à 10
4 Contexte de l'organisation4.3 Domaine d'application
5 Leadership5.2 Politique
6 Planification6.1.2 Appréciation des risquesde sécurité de l'information6.1.3 Traitement des risques de sécurité de l'information
7 Support7.5 Information documentée
8 Fonctionnement9 Évaluation des performances
9.1 Surveillance, mesures, analyses et évaluation9.2 Audit interne9.3 Revue de direction
10 Amélioration
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite6 / 28
Synthèse des changements de fond
Fondation du SMSI
Prise en compte accrue des parties prenantes
Le périmètre considère tout le contexte, y compris les exigences LRC
Leadership plus axé engagement, pilotage et management des personnes que « mise en œuvre »
La politique inclut un engagement de la direction
Processus du SMSI
Risques et opportunités stratégiques : probabilité que le SMSI atteigne les résultats attendus
L’appréciation des risques est moins cadrée par la norme
Sensibilisation précisée, fait l’objet d’un paragraphe entier
Pas d’indication sur la périodicité de la revue de direction, ni de l’audit
Pas de notion d’action préventive au sens de la version 2005
Gestion des incidents pas abordée dans la norme, seulement dans l'annexe A
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite7 / 28
Contexte de l’organisation (4)
Nouveau chapitre 4
Contient
Définition du contexte externe et interne (cf. ISO 31 000 5.3.1)
Définition des attentes et besoins des parties prenantes, y compris les LRC
Dans l'audit interne, vérification de la conformité aux exigences propres au SMSI, et non plus vérification de la conformité aux exigences LRC
Le périmètre tient compte du contexte et des exigences des parties prenantes
Nécessité d’un SMSI selon la présente norme
Nouveautés
Mise en valeur du contexte dans un chapitre spécifique
Mise en valeur des attentes des parties prenantes
Le périmètre découle explicitement du contexte de l'organisation et des exigences auxquelles l'organisation est soumise
Il n'est plus spécifiquement indiqué de justifier les exclusions du périmètre
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite8 / 28
Contexte de l’organisation (4)Contexte interne et externe
Contexte externe (opportunités et menaces) (ISO 31 000 5.3.2)
Environnement social et culturel, politique, légal, réglementaire, financier, technologique, économique,naturel et concurrentiel
Facteurs et tendances ayant un impact déterminant sur les objectifs de l'organisme
Relations avec les parties prenantes externes, leurs perceptions et leurs valeurs
Contexte interne (atouts et faiblesses)
Culture, processus, structure, stratégie de l'organisme (ISO 31 000 5.3.3)
Comment fonctionnons-nous ?
Quels sont nos atouts et nos faiblesses ?
Comment le SMSI devra fonctionner pour s'intégrer à ce contexte ?
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite9 / 28
Contexte de l’organisation (4)Domaine d'application
Contexte interne et externe qui influe sur la capacité à obtenir les résultats attendus du SMSI
Diagnostic : situation actuelle.
Risque qu'on n'atteigne pas les résultats + qu'on crée des effets de bord indésirables, même si les résultats sont atteints
Besoins et attentes des parties intéressées
Résultats attendus
Contexte + besoins des parties intéressées
Difficulté à atteindre les résultats attendus
Périmètre
Quel périmètre doit être inclus pour répondre aux besoins ?
Quel périmètre peut être inclus car on pourra répondre aux besoins ?
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite10 / 28
Leadership (5)
Chapitre 5 déjà existant modifié « responsabilités de la direction » -> « leadership »
Changement de registre de vocabulaire pour les responsabilités des dirigeants
S'assurer, diriger et soutenir, promouvoir, communiquer
Et non plus
Etablir, décider, déterminer, fournir, évaluer
Demande à un responsable de s'assurer
De la conformité du SMSI
De son efficacité
Rôle moteur pour l’amélioration du SMSI
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite11 / 28
Leadership (5)Politique (5.2)
La direction établit la politique de sécurité, mais ne la valide plus
« Politique du SMSI » devient « politique de sécurité »
Ne contient plus les critères de risques
Ne contient plus les exigences légales, réglementaires et contractuelles
Contient les objectifs de sécurité ou un cadre pour les définir
Précise un engagement de la direction
A satisfaire aux exigences applicables relatives à la sécurité
A améliorer en continu le SMSI
La politique n'est plus un document structurant du SMSI, sauf dans le cas où on y a défini le cadre pour définir les objectifs
C'est un engagement formel de la direction à atteindre des objectifs et à améliorer la sécurité, vis-à-vis
De l'organisation elle-même
Des parties prenantes concernées
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite12 / 28
Planification (6)
Chapitre Plan du SMSI
Chapitre fondamental pour le SMSI
6.1 Actions liées aux risques et les opportunités
6.1.1 Général
6.1.2 Appréciation des risques de sécurité de l'information
6.1.3 Traitement des risques de sécurité de l'information
6.2 Objectifs de sécurité de l'information et plans pour les atteindre
6.1.1 Gestion des risques stratégiques et projet
6.1.2 Gestion des risques de sécurité
6.1.3 Gestion des mesures de sécurité
6.2 Objectifs de sécuritéet plans
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite13 / 28
Gestion des risques stratégiques et projet (6.1.1)
Nouveau thème, provient de l'annexe SL
Prise en compte du contexte interne et externe pour la définition du périmètre
Une fois que le périmètre est défini, lors du projet SMSI
Le contexte permet de faire ressortir des risques (vulnérabilités en interne, menaces en interne et externe) sur l'atteinte des résultats
Intégrer la gestion de ces risques dans le projet SMSI, afin de permettre ainsi d'atteindre les résultats attendus
Planifier des actions pour traiter risques et opportunités
Prévoir comment intégrer ces actions dans les processus du SMSI
Évaluer l'efficacité de ces actions
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite14 / 28
Appréciation des risques de sécurité de l'information (6.1.2)
Processus d'appréciation des risques
Plus de méthode d'appréciation des risques
Identifier les risques
L'organisation doit définir et appliquer un processus d'appréciation des risques de sécurité de l'informationqui […]
c) identifie les risques de sécurité de l'information : applique le processus d'appréciation des risques de la sécurité de l'information pour identifier les risques [...]
Le détail de comment réaliserl'appréciation des risques a disparu (actifs, menaces, vulnérabilités)
Identifier les propriétaires des risques
Analyser les risques
Pas d'indication
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite15 / 28
Traitement des risques de sécurité de l'information (6.1.3)
Processus de traitement des risques
Choisir les options de traitement (non indiquées)
Modifier la DdA, car l'annexe A change
Choisir les mesures de sécurité nécessaires : depuis n'importe quelle source.
Ne pas choisir les mesures de sécurité dans l'annexe A, mais comparer les mesures choisies à l'annexe A pour vérifier qu'aucune n'a été oubliée
Autorisation de mettre en place le PTR et acceptation des risques résiduels donnée par le propriétaire des risques
Traitement des risques (ISO 27000:2012 2.71)
Processus de sélection et de mise en œuvre des mesures visant à modifier le risque
L'option de maintien du risque ne serait pas une option de traitement possible...
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite16 / 28
Objectifs de sécurité et plans pour les atteindre (6.2)
Objectifs de sécurité et plans pour les atteindre
Définir des objectifs de sécurité, en cohérence avec la politique
Les objectifs prennent en compte
Les résultats de l'appréciation des risques
Les résultats du plan de traitement des risques
Les exigences (parties prenantes, LRC...)
Objectifs de sécurité déclinés pour les fonctions et niveaux pertinents
Objectifs communiqués
Définir des plans d'action pour atteindre les objectifs
Plan d'action
Opérationnel : responsables, actions, ressources, délais, évaluation des résultats des actions
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite17 / 28
Liens entre les processus centraux
Auparavant, liens entre :
Objectifs du SMSI + Politique du SMSI → AdR → PTR → Mesures
Maintenant, liens entre :
Contexte
Exigences
Périmètre
AdR
PTRDdA
Objectifs
Politique
Plan d'actions opérationnel
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite18 / 28
Une vision possible
Exigences des parties prenantes
Objectifs de sécurité et plans pour les
atteindreContexte AdR/PTR}Périmètre
Résultat attendu grâce au SMSI= apporter de la confiance aux
parties prenantes
DdA
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite19 / 28
Points d'attention
Possibilité de définir des objectifs préexistants au SMSI
La DdA ne dépend que de l'AdR et du PTR
La DdA ne dépend pas des objectifs
La DdA ne contient pas les mesures de sécurité qui répondent à des objectifs définis en dehors de l'appréciation des risques
Position de l'implémenteur pour la DdA ?
Soit la fonder uniquement sur l'AdR et le PTR
Risque de ne pas prendre en compte des mesures de sécurité
Soit la fonder aussi sur les objectifs donnés dans la politique
Risque de non-conformité avec la norme
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite20 / 28
Gestion de la documentation (7)
Chapitre beaucoup plus court que dans la version 2005
Plus de distinction entre documents et enregistrements
Le terme « enregistrement » n'apparaît plus
Utilisation du terme « information documentée »
Liste des documents requis non reprise car détaillée au fil de la norme
Les documents qui doivent faire partie du SMSI sont :
tous ceux requis par la norme
ceux nécessaires à l'efficacité du SMSI
Mêmes documents, mais leur besoin est mieux justifié
Procédures
Requises pour pouvoir s'assurer que les processus ont été menés comme prévu
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite21 / 28
Ressources, compétences, sensibilisation, communication (7)
Ressources
Formulation beaucoup plus générale et plus courte
Compétences
Compétence des personnes qui peuvent affecter la sécurité
Pas compétence des seuls acteurs du SMSI
Sensibilisation
Sensibilisation aux sanctions applicables en cas de non respect des exigences du SMSI
Communication
Nouveau processus
Communication interne et externe (sur quoi, quand, avec qui, par qui...)
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite22 / 28
Évaluation des performances (9)
Surveillance
Pas de notion d'incidents de sécurité
Toujours pas de notion explicite d'indicateurs
Surveillance des mesures de sécurité et des processus
Audit interne
Pas de vérification de la conformité aux exigences LRC, ni aux exigences de sécurité
Vérification de la conformité aux exigences propres au SMSI
Les résultats d'audit doivent être remontés au management
Pas d'indication sur le délai de mise en œuvre des actions correctives
L'auditeur n'a pas à donner son avis sur le délai de correction
Revue de direction
Rien n'indique qu'elle doive être réalisée une fois par an
Modification de forme des entrées/sorties
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite23 / 28
Amélioration (10)
Les termes « action préventive » et « action corrective » ont disparu
Ces actions existent toujours même si elles ne sont pas définies
Actions d'ordre préventif : éliminer les causes d'une non-conformité, qu'elle se soit déjà produite ou non
Actions d'ordre correctif : limiter les effets des non-conformités
Définition différente de l'ancienne norme
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite24 / 28
Certification de SMSIAdaptation du SMSI
Si approche clause par clause
Mise à jour difficile
Si approche processus de gestion de la sécurité
Peu de changements à apporter
Dans tous les cas
Analyse d'écart nécessaire avant d'opérer des modifications
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite25 / 28
Certification de SMSIModalités de transition
Modalité de transition de la version 2005 à la version 2013
Définies par l'International Accreditation Forum
Entreprises déjà certifiées ISO 27001:2005
Transition possible jusqu'au 1er octobre 2015
Avec un audit en août 2015 au plus tard
Certification initiale ISO 27001:2005
Possible jusqu'au 1er octobre 2014
Avec un audit en juin 2014 au plus tard
Certification initiale ISO 27001:2013
Déjà possible
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite26 / 28
Certification de personneModalités de transition
Examens sur la version 2013
Depuis le 2 janvier 2014
Provisional version 2005 → certificat version 2005
Possible jusqu'au 30 juin 2014
Provisional version 2005 → provisional version 2013
Transition impossible
Provisional version 2005 → certificat version 2013
Attestation de mise à niveau (formation d'une journée)
Et demande de certificat
Certificat version 2005 → certificat version 2013
Demande expresse de nouveau certificat avec attestation de mise à niveau (formation)
Ou transition lors de la surveillance / renouvellement avec preuve de mise à niveau (formation, prestation...)
Suppression des registres et certificats version 2005 au 31 décembre 2016
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite27 / 28
Merci
Questions ?
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite28 / 28
Sources
slide 13: Cauliflower Romanseco, by SputnikGNU Free Documentation License http://commons.wikimedia.org/wiki/File:Cauliflower_romanesco.JPG
slide 16 : Tarako spaghetti, by OcdpLicense : http://creativecommons.org/licenses/by-sa/3.0/deed.enhttp://commons.wikimedia.org/wiki/File:Tarako_spaghetti.jpg
slide 17 : Couple, group, people, users icon, by Everaldo CoelhoLicense : http://www.gnu.org/licenses/lgpl.htmlhttps://www.iconfinder.com/icons/3503/couple_group_people_users_icon#size=128
slide 17 : Box, content, inventory icon, by Andy GongeaLicense : License: Free for commercial usehttps://www.iconfinder.com/icons/33548/box_content_inventory_icon#size=64
slide 17 : Target, value icon, by IFALicense : License: Free for commercial usehttps://www.iconfinder.com/icons/104583/target_value_icon#size=128
slide 17 : Checklist, by Oliver TwardowskiLicense : Free for commercial use (Include link to package) https://www.iconfinder.com/iconsets/flavour