Pour mémoire, la norme ISO/IEC 27002 (Information technology — Security techniques — Code of practice for information security controls)
- est un guide aidant à la définition/sélection de mesures de sécurité
- n’est pas un référentiel de certification (contrairement à ISO 27001 qui est un recueil d’exigences, à l’instar de l’ISO 9001 dans le domaine de la qualité)
La première version date de 2005 et devrait être remplacée, d’ici la fin de cette année, par une nouvelle version ISO/IEC 27002:2013.
Le brouillon de cette version est en appel à commentaires jusqu’à Mars 2013.
Je vous propose de découvrir l’état actuel et la nouvelle structuration de ce document normatif (j’aborderai le fond, certaines nouvelles thématiques, dans de prochains articles).
NB : La version française – « NF », n’étant évidemment pas encore d’actualité ; j’ai repris la terminologie de la précédente traduction lorsque les termes/phrases étaient strictement identiques, sinon je me suis efforcé de traduire en collant au plus près de la terminologie courante dans le domaine de la SSI.
____________________________________________________________
Préambule
0. Introduction
0.1 Historique et contexte
0.2 Besoins en sécurité de l’information
0.3 Sélection des mesures de sécurité
0.4 Mise au point des lignes directrices propres à l’organisme
0.5 Prise en compte du cycle de vie
0.6 Normes associées
1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Structure de la présente norme
4.1 Articles
4.2 Principales rubriques
5. Politiques de sécurité
5.1 Directives pour la gestion de la sécurité de l’information
5.1.1 Politiques de sécurité de l’information
5.1.2 Réexamen de la politique de sécurité de l’information
6. Organisation de la sécurité de l’information
6.1 Organisation interne
6.1.1 Rôles et responsabilités en matière de sécurité de l’information
6.1.2 Relations avec les autorités
6.1.3 Relations avec des groupes de spécialistes
6.1.4 Sécurité de l’information dans la gestion des projets
6.1.5 Séparation des tâches
6.2 Appareils mobiles et télétravail
6.2.1 Politique pour les appareils mobiles
6.2.2 Télétravail
7. Sécurité liée aux ressources humaines
7.1 Avant le recrutement
7.1.1 Sélection
7.1.2 Conditions d’embauche
7.2 Pendant la durée du contrat
7.2.1 Responsabilités de la direction
7.2.2 Sensibilisation, qualification et formation en matière de sécurité de l’information
7.2.3 Processus disciplinaire
7.3 Fin ou modification de contrat
7.3.1 Responsabilités en fin de contrat
8. Gestion des biens
8.1 Responsabilités relatives aux biens
8.1.1 Inventaire des biens
8.1.2 Propriété des biens
8.1.3 Utilisation correcte des biens
8.2 Classification de l’information
8.2.1 Classification de l’information
8.2.2 Marquage de l’information
8.2.3 Manipulation des biens
8.2.4 Restitution des biens
8.3 Manipulation des supports
8.3.1 Gestion des supports amovibles
8.3.2 Mise au rebut des supports
8.3.3 Supports physiques en transit
9. Contrôle d’accès
9.1 Exigences métier relatives au contrôle d’accès
9.1.1 Politique de contrôle d’accès
9.1.2 Politique relative à l’utilisation des services en réseau
9.2 Gestion de l’accès utilisateur
9.2.1 Enregistrement des utilisateurs
9.2.2 Gestion des privilèges
9.2.3 Gestion des secrets d’authentification des utilisateurs
9.2.4 Réexamen des droits d’accès utilisateurs
9.2.5 Retrait ou modification des droits d’accès utilisateurs
9.3 Responsabilités utilisateurs
9.3.1 Utilisation des secrets d’authentification
9.4 Contrôle d’accès au système d’exploitation et aux applications
9.4.1 Restriction d’accès à l’information
9.4.2 Ouverture de sessions sécurisées
9.4.3 Système de gestion des mots de passe
9.4.4 Emploi des utilitaires système
9.4.5 Contrôle d’accès au code source du programme
10. Cryptographie
10.1 Mesures cryptographiques
10.1.1 Réglementation relative aux mesures cryptographiques
10.1.2 Gestion des clés
11. Sécurité physique et environnementale
11.1 Zones sécurisées
11.1.1 Périmètre de sécurité physique
11.1.2 Contrôles physiques des accès
11.1.3 Sécurisation des bureaux, des salles et des équipements
11.1.4 Protection contre les menaces extérieures et environnementales
11.1.5 Travail dans les zones sécurisées
11.1.6 Zones de livraison et de chargement
11.2 Matériel
11.2.1 Choix de l’emplacement et protection du matériel
11.2.2 Services généraux
11.2.3 Sécurité du câblage
11.2.4 Maintenance du matériel
11.2.5 Retrait des biens
11.2.6 Sécurité du matériel et des biens hors des locaux
11.2.7 Mise au rebut ou recyclage sécurisé(s) du matériel
11.2.8 Matériel utilisateur laissé sans surveillance
11.2.9 Politique du bureau propre et de l’écran vide
12. Sécurité de l’exploitation
12.1 Procédures et responsabilités liées à l’exploitation
12.1.1 Procédures d’exploitation documentées
12.1.2 Gestion des modifications
12.1.3 Dimensionnement
12.1.4 Séparation des équipements de développement, de test et d’exploitation
12.2 Protection contre les codes malveillants
12.2.1 Mesures contre les codes malveillants
12.3 Sauvegardes
12.3.1 Sauvegarde des informations
12.4 Journalisation et surveillance
12.4.1 Rapport d’audit
12.4.2 Protection des informations journalisées
12.4.3 Journal administrateur et journal des opérations
12.4.4 Synchronisation des horloges
12.5 Mesure relative aux logiciels en exploitation
12.5.1 Installation des logiciels sur des systèmes en exploitation
12.6 Gestion des vulnérabilités techniques
12.6.1 Gestion des vulnérabilités techniques
12.6.2 Restrictions relatives à l’installation des logiciels
12.7 Prises en compte de l’audit du système d’information
12.7.1 Contrôles de l’audit du système d’information
13. Sécurité des télécommunications
13.1 Gestion de la sécurité des réseaux
13.1.1 Mesures sur les réseaux
13.1.2 Sécurité des services réseau
13.1.3 Cloisonnement des réseaux
13.2 Transfert des informations
13.2.1 Politiques et procédures de transfert des informations
13.2.2 Accords de transfert
13.2.3 Messagerie électronique
13.2.4 Engagements de confidentialité ou de non-divulgation
14. Acquisition, développement et maintenance
14.1 Exigences de sécurité applicables aux systèmes d’information
14.1.1 Analyse et spécification des exigences de sécurité
14.1.2 Sécuriser les services applicatifs sur les réseaux publics
14.1.3 Protection des transactions de services applicatifs
14.2 Sécurité en matière de développement et d’assistance technique
14.2.1 Politique de développement sécurisé
14.2.2 Procédures de contrôle des modifications
14.2.3 Réexamen technique des applications après modification de la plateforme d’exploitation
14.2.4 Restrictions relatives à la modification des progiciels
14.2.5 Procédures de développement du système
14.2.6 Environnement de développement sécurisé
14.2.7 Externalisation du développement
14.2.8 Tests de sécurité du système
14.2.9 Tests d’acceptation du système
14.3 Données d’essai
14.3.1 Protection des données d’essai
15. Relation avec les fournisseurs
15.1 Sécurité dans les relations avec les fournisseurs
15.1.1 Politique de sécurité de l’information avec les fournisseurs
15.1.2 Sécurité dans les accords conclu avec les fournisseurs
15.1.3 Informations et télécommunications dans la chaîne d’approvisionnement
15.2 Gestion de la prestation de service par un fournisseur
15.2.1 Surveillance et réexamen des services d’un fournisseur
15.2.2 Gestion des modifications dans les services d’un fournisseur
16. Gestion des incidents liés à la sécurité de l’information
16.1 Gestion des incidents liés à la sécurité de l’information
16.1.1 Responsabilités et procédures
16.1.2 Signalement des événements
16.1.3 Signalement des failles
16.1.4 Evaluation et prise en compte des évènements
16.1.5 Réponse aux incidents
16.1.6 Exploitation des incidents déjà survenus
16.1.7 Collecte de preuves
17. Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité
17.1 Continuité de la sécurité de l’information
17.1.1 Planification de la continuité de la sécurité de l’information
17.1.2 Mise en œuvre de la continuité de la sécurité de l’information
17.1.3 Vérifier, réexaminer et évaluer la continuité de la sécurité de l’information
17.2 Redondance
17.2.1 Disponibilité des moyens de traitement de l’information
18. Conformité
18.1 Revue de la sécurité de l’information
18.1.1 Revue indépendante de la sécurité de l’information
18.1.2 Conformité avec les politiques de sécurité et les standards
18.1.3 Contrôle de la conformité technique
18.2 Conformité avec les exigences légales et contractuelles
18.2.1 Identification de la législation en vigueur
18.2.2 Droits de propriété intellectuelle
18.2.3 Protection des enregistrements de l’organisme
18.2.4 Protection des données et confidentialité des informations relatives à la vie privée
18.2.5 Réglementation relative aux mesures cryptographiques
19. Bibliographie