Quelques mots sur la Sécurité des Systèmes d'Informations

Bientôt la norme ISO 27002:2013

0

Pour mémoire, la norme ISO/IEC 27002 (Information technology — Security techniques — Code of practice for information security controls)

  • est un guide aidant à la définition/sélection de mesures de sécurité
  • n’est pas un référentiel de certification (contrairement à ISO 27001 qui est un recueil d’exigences, à l’instar de l’ISO 9001 dans le domaine de la qualité)

La première version date de 2005 et devrait être remplacée, d’ici la fin de cette année, par une nouvelle version ISO/IEC 27002:2013.

Le brouillon de cette version est en appel à commentaires jusqu’à Mars 2013.
Je vous propose de découvrir l’état actuel et la nouvelle structuration de ce document normatif (j’aborderai le fond, certaines nouvelles thématiques, dans de prochains articles).

NB : La version française – « NF », n’étant évidemment pas encore d’actualité ; j’ai repris la terminologie de la précédente traduction lorsque les termes/phrases étaient strictement identiques, sinon je me suis efforcé de traduire en collant au plus près de la terminologie courante dans le domaine de la SSI.

____________________________________________________________

Préambule

0. Introduction

0.1 Historique et contexte

0.2 Besoins en sécurité de l’information

0.3 Sélection des mesures de sécurité

0.4 Mise au point des lignes directrices propres à l’organisme

0.5 Prise en compte du cycle de vie

0.6 Normes associées

1. Domaine d’application

2. Références normatives

3. Termes et définitions

4. Structure de la présente norme

4.1 Articles

4.2 Principales rubriques

5. Politiques de sécurité

5.1 Directives pour la gestion de la sécurité de l’information

5.1.1 Politiques de sécurité de l’information

5.1.2 Réexamen de la politique de sécurité de l’information

6. Organisation de la sécurité de l’information

6.1 Organisation interne

6.1.1 Rôles et responsabilités en matière de sécurité de l’information

6.1.2 Relations avec les autorités

6.1.3 Relations avec des groupes de spécialistes

6.1.4 Sécurité de l’information dans la gestion des projets

6.1.5 Séparation des tâches

6.2 Appareils mobiles et télétravail

6.2.1 Politique pour les appareils mobiles

6.2.2 Télétravail

7. Sécurité liée aux ressources humaines

7.1 Avant le recrutement

7.1.1 Sélection

7.1.2 Conditions d’embauche

7.2 Pendant la durée du contrat

7.2.1 Responsabilités de la direction

7.2.2 Sensibilisation, qualification et formation en matière de sécurité de l’information

7.2.3 Processus disciplinaire

7.3 Fin ou modification de contrat

7.3.1 Responsabilités en fin de contrat

8. Gestion des biens

8.1 Responsabilités relatives aux biens

8.1.1 Inventaire des biens

8.1.2 Propriété des biens

8.1.3 Utilisation correcte des biens

8.2 Classification de l’information

8.2.1 Classification de l’information

8.2.2 Marquage de l’information

8.2.3 Manipulation des biens

8.2.4 Restitution des biens

8.3 Manipulation des supports

8.3.1 Gestion des supports amovibles

8.3.2 Mise au rebut des supports

8.3.3 Supports physiques en transit

9. Contrôle d’accès

9.1 Exigences métier relatives au contrôle d’accès

9.1.1 Politique de contrôle d’accès

9.1.2 Politique relative à l’utilisation des services en réseau

9.2 Gestion de l’accès utilisateur

9.2.1 Enregistrement des utilisateurs

9.2.2 Gestion des privilèges

9.2.3 Gestion des secrets d’authentification des utilisateurs

9.2.4 Réexamen des droits d’accès utilisateurs

9.2.5 Retrait ou modification des droits d’accès utilisateurs

9.3 Responsabilités utilisateurs

9.3.1 Utilisation des secrets d’authentification

9.4 Contrôle d’accès au système d’exploitation et aux applications

9.4.1 Restriction d’accès à l’information

9.4.2 Ouverture de sessions sécurisées

9.4.3 Système de gestion des mots de passe

9.4.4 Emploi des utilitaires système

9.4.5 Contrôle d’accès au code source du programme

10. Cryptographie

10.1 Mesures cryptographiques

10.1.1 Réglementation relative aux mesures cryptographiques

10.1.2 Gestion des clés

11. Sécurité physique et environnementale

11.1 Zones sécurisées

11.1.1 Périmètre de sécurité physique

11.1.2 Contrôles physiques des accès

11.1.3 Sécurisation des bureaux, des salles et des équipements

11.1.4 Protection contre les menaces extérieures et environnementales

11.1.5 Travail dans les zones sécurisées

11.1.6 Zones de livraison et de chargement

11.2 Matériel

11.2.1 Choix de l’emplacement et protection du matériel

11.2.2 Services généraux

11.2.3 Sécurité du câblage

11.2.4 Maintenance du matériel

11.2.5 Retrait des biens

11.2.6 Sécurité du matériel et des biens hors des locaux

11.2.7 Mise au rebut ou recyclage sécurisé(s) du matériel

11.2.8 Matériel utilisateur laissé sans surveillance

11.2.9 Politique du bureau propre et de l’écran vide

12. Sécurité de l’exploitation

12.1 Procédures et responsabilités liées à l’exploitation

12.1.1 Procédures d’exploitation documentées

12.1.2 Gestion des modifications

12.1.3 Dimensionnement

12.1.4 Séparation des équipements de développement, de test et d’exploitation

12.2 Protection contre les codes malveillants

12.2.1 Mesures contre les codes malveillants

12.3 Sauvegardes

12.3.1 Sauvegarde des informations

12.4 Journalisation et surveillance

12.4.1 Rapport d’audit

12.4.2 Protection des informations journalisées

12.4.3 Journal administrateur et journal des opérations

12.4.4 Synchronisation des horloges

12.5 Mesure relative aux logiciels en exploitation

12.5.1 Installation des logiciels sur des systèmes en exploitation

12.6 Gestion des vulnérabilités techniques

12.6.1 Gestion des vulnérabilités techniques

12.6.2 Restrictions relatives à l’installation des logiciels

12.7 Prises en compte de l’audit du système d’information

12.7.1 Contrôles de l’audit du système d’information

13. Sécurité des télécommunications

13.1 Gestion de la sécurité des réseaux

13.1.1 Mesures sur les réseaux

13.1.2 Sécurité des services réseau

13.1.3 Cloisonnement des réseaux

13.2 Transfert des informations

13.2.1 Politiques et procédures de transfert des informations

13.2.2 Accords de transfert

13.2.3 Messagerie électronique

13.2.4 Engagements de confidentialité ou de non-divulgation

14. Acquisition, développement et maintenance

14.1 Exigences de sécurité applicables aux systèmes d’information

14.1.1 Analyse et spécification des exigences de sécurité

14.1.2 Sécuriser les services applicatifs sur les réseaux publics

14.1.3 Protection des transactions de services applicatifs

14.2 Sécurité en matière de développement et d’assistance technique

14.2.1 Politique de développement sécurisé

14.2.2 Procédures de contrôle des modifications

14.2.3 Réexamen technique des applications après modification de la plateforme d’exploitation

14.2.4 Restrictions relatives à la modification des progiciels

14.2.5 Procédures de développement du système

14.2.6 Environnement de développement sécurisé

14.2.7 Externalisation du développement

14.2.8 Tests de sécurité du système

14.2.9 Tests d’acceptation du système

14.3 Données d’essai

14.3.1 Protection des données d’essai

15. Relation avec les fournisseurs

15.1 Sécurité dans les relations avec les fournisseurs

15.1.1 Politique de sécurité de l’information avec les fournisseurs

15.1.2 Sécurité dans les accords conclu avec les fournisseurs

15.1.3 Informations et télécommunications dans la chaîne d’approvisionnement

15.2 Gestion de la prestation de service par un fournisseur

15.2.1 Surveillance et réexamen des services d’un fournisseur

15.2.2 Gestion des modifications dans les services d’un fournisseur

16. Gestion des incidents liés à la sécurité de l’information

16.1 Gestion des incidents liés à la sécurité de l’information

16.1.1 Responsabilités et procédures

16.1.2 Signalement des événements

16.1.3 Signalement des failles

16.1.4 Evaluation et prise en compte des évènements

16.1.5 Réponse aux incidents

16.1.6 Exploitation des incidents déjà survenus

16.1.7 Collecte de preuves

17. Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité

17.1 Continuité de la sécurité de l’information

17.1.1 Planification de la continuité de la sécurité de l’information

17.1.2 Mise en œuvre de la continuité de la sécurité de l’information

17.1.3 Vérifier, réexaminer et évaluer la continuité de la sécurité de l’information

17.2 Redondance

17.2.1 Disponibilité des moyens de traitement de l’information

18. Conformité

18.1 Revue de la sécurité de l’information

18.1.1 Revue indépendante de la sécurité de l’information

18.1.2 Conformité avec les politiques de sécurité et les standards

18.1.3 Contrôle de la conformité technique

18.2 Conformité avec les exigences légales et contractuelles

18.2.1 Identification de la législation en vigueur

18.2.2 Droits de propriété intellectuelle

18.2.3 Protection des enregistrements de l’organisme

18.2.4 Protection des données et confidentialité des informations relatives à la vie privée

18.2.5 Réglementation relative aux mesures cryptographiques

19. Bibliographie

Laissez un commentaire