1 / 14

Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – 19-20 juin 2006

Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – 19-20 juin 2006. Principaux standards et approches. COBIT v. 4. Control Objectives for Information and related Technology

thuong
Download Presentation

Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – 19-20 juin 2006

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Présentation et comparaison des normes, guides et standards internationaux Atelier e-Sécurité – 19-20 juin 2006

  2. Principaux standards et approches

  3. COBIT v. 4 Control Objectives for Information and related Technology • Collection de documents et de recommandations TI considéré comme meilleures pratiques pour la gouvernance, le contrôle et l’assurance • Couvre la gestion des TI, la sécurité, le contrôle et la gestion utilisateurs • L’approche est alignés sur l’approche COSO, Sarbanes Oxley. • Correspondances avec normes ISO/IEC 17799 Code of Practice for Information Security Management, plusieurs références de NIST et FISCAM • COBIT est accepté partout dans le monde et disponible en anglais, français, Espagnol, hollandais et allemand. • Publié par l’IT Governance Institute, institut de recherche de l’ISACA regroupant des professionnels de la sécurité et de l’audit informatique

  4. COBIT Framework COBIT Framework a été conçu afin de faire le lien entre les organismes et outils de gestion de l’organisation Identifie le besoin de satisfaire les besoins de qualité, fiduciaire et de sécurité nécessaires pour garantir les flux d’informations. Ces grands lignes se retrouvent dans 7 catégories: Quality: 1. Effectiveness—Information must be relevant and pertinent to the business process as well as be delivered in a timely, correct, consistent and useable manner. 2. Efficiency—This calls for provisioning information through the most optimal(productive and economical) use of resources. Security: 3. Confidentiality—Sensitive information must be protected from unauthorised disclosure. 4. Integrity—Information must be complete and accurate and in line with business values and expectations. 5. Availability—Information, and associated resources and capabilities, must be available when needed now and in the future. Fiduciary: 6. Compliance—This deals with laws, regulation and contractual arrangements to which the business is subject. 7. Reliability of information—This category relates to provision of the information needed by management to operate the entity and to exercise financial and compliance reporting responsibilities.

  5. COBIT IT Processs

  6. ISO/IEC 17799:2000 Information Technology—Code of Practice for Information Security Management • Collection de pratiques de sécurité de l’information • établit des lignes directrices et des principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. • orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l'information. • Peut être considérer comme la base pour développer des standards internes de sécurité et de principes de gestion • Vise à améliorer l’intégrité de l’information et des relations inter- organisationnelles • Basé sur la norme British Standard BS 7799-1:1999, Code of Practice for Information Security Management. • Disponible en anglais, chinois, français, tchèque, danois, finlandais, hollandais, allemand, islandais, japonais, coréen, norvégien, portugais et suédois.

  7. L'ISO/CEI 17799:2005 - grands principes Code de bonne pratique pour les objectifs et mesures, dans les catégories suivantes de la gestion de la sécurité de l'information: • politique de sécurité; • organisation de la sécurité de l'information; • gestion des biens; • sécurité liée aux ressources humaines; • sécurité physique et environnementale; • gestion opérationnelle et gestion de la communication; • contrôle d'accès; • acquisition, développement et maintenance des systèmes d'information; • gestion des incidents liés à la sécurité de l'information; • gestion de la continuité de l'activité; • conformité.

  8. ISO – Objectifs clés Les objectifs et mesures décrits dans l'ISO/CEI 17799:2005 sont destinés à être mis en oeuvre pour répondre aux exigences identifiées par une évaluation du risque. L'ISO/CEI 17799:2005 est prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de l'organisation, mettre en oeuvre les pratiques efficaces de la gestion de la sécurité, et participer au développement de la confiance dans les activités entre organismes.

  9. FISMA Federal Information Systems security ACT • Chaque agence doit établir un program de sécurité des systèmes d’information • Revue annuelle du programme et rapport à l’OMB et au congrès • Évaluation indépendante avec rapport à l’OMB et au congrès • Rapport de l’OMB au congrès • NIST développe les standards et normes • Conditions spécifiques pour certaines agences • Tout système fédéraux, peut inclure fournisseurs, partenaires, municipalités, etc.

  10. FISCAM Federal IS Control and Audit Manual • Développé par l’office de l’auditeur général • Complément au manuel financier • Développements: • 1976-81 Orange book • 1981-84 Black book • 1984-94 IMTECH book • 1995- FISCAM (en révision) • FISCAM est une méthode, pas un standard • Référentiel pour la mise en place et la révision de la gestion de la sécurité informatique

  11. FISCAM (Suite) Domaines: • Programme de gestion de la sécurité • Contrôle d’accès • Développement d’applications et mises-à-jour • Operating system • Séparation des tâches • Continuité des opérations • intégrité des données • Complétude • Intégrité des processus

  12. Conclusions • Stratégie nationale pour la sécurité informatique • Référentiel pour la gestion et la supervision de la sécurité informatique dans les organismes publiques • Programme • Rapport et monitoring

  13. Liens sur les standards et meilleures pratiques SECURITY STANDARDS AND BEST PRACTICES • http://www.isaca.org/ The Information Systems and Control Association and Foundation. The guidelines and framework for the Control Objectives for Information Technology (COBIT) can be downloaded from this website. Also, lots of research an best practices. • http://www.isc2.org/ The International Information Systems Security Certification Consortium • http://www.giac.org/ The Global Information Assurance Certification related to the SANS institute mentioned above under standards and best practices • http://www.diffuse.org/secure.html#help The Diffuse project provides reference and guidance information on available and emerging standards and specifications that facilitate the electronic exchange of information, including a comprehensive listing of information security standards. A good starting point. • http://www.iso.ch/cate/d33441.html ISO/IEC 17799:2000 Information technology -- Code of practice for information security management. • http://www.bsi-global.com/group.xhtml BS 7799-2:1999 Information security management -- Specification for information security management systems. • http://www.standards.com.au/ AS/NZS 4444-2:1999 Information security management --Specification for information security management systems. • http://www.sas70.com The website dedicated to the Statement on Auditing Standards Number 70 developed by the American Institute of Certified Public Accountants (AICPA) • http://csrc.nist.gov The website of the Computer Security Resource Centre of the USA’s National Institute for Standards and Technology. It links to the standard NIST 800-37

  14. Liens sur les standards et meilleures pratiques (suite) • http://www.itu.int/ The International Telecommunications Union produces recommendations that are developed and published as standards by the International Standards Organization (ISO) and the International Electrotechnical Commission (IEC). These include the X.509 standard for digital certificates and the X.800 series of standards for electronic commerce related activities • http://www.ietf.org The Internet Engineering Task Force is the major international forum for the discussion and development of Internet-related technical standards – the pages “IETF Security Area” were under construction in mid April 2002. • http://csrc.nist.gov/publications/ The Computer Security Resource Center is maintained by the US Government National Institute of Standards and Technology. Good resource for US Government standards and other resources. This website also has links to the security standards activities of the Institution of Electrical and Electronic Engineers (IEEE), the European Computer Manufacturers Association (ECMA), also working on the development of security related standards as well as to the work of other bodies. • http://www.radium.ncsc.mil/tpep/ US Government Commercial Product Evaluations, with links to the “Common Criteria” (Common Criteria Information Technology Security Evaluation CCITSE), the “Rainbow Series” (Trusted Computer System Evaluation Criteria TCSEC) and the Evaluated Products List. • http://www.caspr.org Work in progress to create a Common Body of Knowledge (CBK) through a series of Commonly Accepted Security Practices and Recommendations (CASPR). It is expected that this material will become available later in 2002. • http://www.sans.org The System Administration and Networking Security Institute provides guidance, training and information on a broad range of information security matters. • http://www.issa.org The Information Systems Security Association – a website primarily for information security professionals http://www.gocsi.com/ The Computer Security Institute http://www.itil-itsm-world.com/security.htm The Information Technology Infrastructure Library (ITIL) originated in the UK Government’s Central Computing and Communications Agency and developed since intoan autonomous business unit providing documentation, guidance, consultancy and other activites • http://www.survive.com/ Worldwide professional association for business continuity professionals.

More Related