Transcription of Comparatif de la nouvelle ISO27002:2013 avec la …
1 18 septembre 2013 Claire CARRE, manager chez Solucom Comparatif de la nouvelle ISO27002:2013 avec la version 2005 2 ISO 27002:2013 : quels apports et quelles perspectives ? Qu est-ce qui a chang ? La norme v2013 permet-elle de traiter les limites de la norme actuelle ? Quels impacts sur la gouvernance S curit ? 18 septembre 2013 - Propri t de Solucom, reproduction interdite 3 Une 1 re bonne nouvelle S curit de la documentation syst me Il convient de prot ger la documentation syst me contre les acc s non autoris s. Fuite d informations Toute possibilit de fuite d informations doit tre emp ch e. Mesures contre le code mobile Lorsque l utilisation de code mobile est autoris e, la configuration doit garantir que le code mobile fonctionne selon une politique de s curit clairement d finie et tout code mobile non autoris doit tre bloqu . La disparition des mesures qu on n a jamais su utiliser ! 18 septembre 2013 - Propri t de Solucom, reproduction interdite Syst me d autorisation concernant les moyens de traitement de l information Il convient de d finir et de mettre en uvre un syst me de gestion des autorisations pour chaque nouveau moyen de traitement de l information 4 Avant / apr s 18 septembre 2013 - Propri t de Solucom, reproduction interdite 11 chapitres 39 objectifs 133 mesures 14 chapitres 35 objectifs 113 mesures Qu en est-il de la structure de la norme ?
2 27002:2005 27002:2013 tude men e sur la version REVISED text for FDIS 27002 5 Au niveau de la structure des chapitres [1/2] policy of information security management resources security and environmental security and operations management control systems acquisition, development and maintenance security incident management continuity management security policies of information security resources security management control and environmental security security security acquisition, development and maintenance relationships security incident management security aspects of business continuity management Plus de coh rence sur les sujets trait s au sein des chapitres Une meilleure ad quation entre les chapitres et les acteurs de la DSI 27002:2005 27002:2013 18 septembre 2013 - Propri t de Solucom, reproduction interdite 6 Au niveau de la structure des chapitres [2/2] 18 septembre 2013 - Propri t de Solucom, reproduction interdite Les nouveaux chapitres sont principalement constitu s de mesures issues d autres chapitres System acquisition, development and maintenance Cryptography Le chapitre Communications and Operations Management est coup en 3 chapitres, clarifiant les p rim tres de responsabilit s d acteurs bien distincts Operations security Communications security Supplier relationships Le chapitre Information system acquisition, development and maintenance est scind en 2 pour mieux mettre en vidence la sujet de la cryptographie 7 Au niveau des objectifs de s curit Les objectifs sont formul s de mani re plus synth tique, ce qui offre une plus grande souplesse dans l impl mentation 18 septembre 2013 - Propri t de Solucom, reproduction interdite Objective.
3 To maximize the effectiveness of and to minimize interference to/from the information systems audit process. There should be controls to safeguard operational systems and audit tools during information systems audits. Protection is also required to safeguard the integrity and prevent misuse of audit tools. Objective: To minimise the impact of audit activities on operational systems. 27002:2005 27002:2013 Objective: To achieve and maintain appropriate protection of organizational assets. All assets should be accounted for and have a nominated owner. Owners should be identified for all assets and the responsibility for the maintenance of appropriate controls should be assigned. The implementation of specific controls may be delegated by the owner as appropriate but the owner remains responsible for the proper protection of the Objective: To identify organizational assets and define appropriate protection responsibilities. Responsibility for assets Information systems audit considerations 8 Au niveau des mesures de s curit 6 nouvelles mesures 26 mesures supprim es 29 mesures modifi es Globalement, les modifications sont plut t mineures mais de nombreuses mesures ont t d plac es 18 septembre 2013 - Propri t de Solucom, reproduction interdite Learning from information security incidents R duction des contraintes li es la mesure : les param tres analyser lors d un incident de s curit ne sont pas sp cifi s There should be mechanisms in place to enable the types, volumes, and costs of information security incidents to be quantified and monitored.
4 Knowledge gained from analysing and resolving information security incidents should be used to reduce the likelihood or impact of future incidents. 27002:2005 27002:2013 Secure log-on procedures Modification du p rim tre de la mesure : la s curisation des acc s est cadr e par la politique de contr le des acc s Access to operating systems should be controlled by a secure log-on procedure. Where required by the access control policy, access to systems and applications should be controlled by a secure log-on procedure. Security requirements analysis and specification Simplification de la formulation de la mesure Statements of business requirements for new information systems, or enhancements to existing information systems should specify the requirements for security controls. The information security related requirements should be included in the requirements for new information systems or enhancements to existing information systems.
5 9 Et sur le fond ? Les big bang [1/3] 18 septembre 2013 - Propri t de Solucom, reproduction interdite La norme demande de prendre en compte la s curit dans la gestion de projet, quels que soient les types de projets (chapitre organization of information security) Les exigences sont plus g n rales et s appliquent mieux toute sorte de projet de d veloppement suppression de l objectif correct processing in applications (validation des donn es en entr e et en sortie, int grit des messages, etc.) Les mesures font un focus sur les applications sensibles: sur les r seaux publics et g rant des transactions Les bonnes pratiques de s curit applicative sont renforc es Le sujet de la gestion des donn es de tests est abord dans ce chapitre et non plus dans operations et communication management 14 System acquisition, development and maintenance Security related requirements included in the requirements for systems Secure system engineering principles System acceptance testing (code analysis tool, vulnerability scanners) Secure development policy System security testing during development Secure development environment Outsourced developement S curit applicative Objective: to ensure that information security is designed and implemented within the developement lifecycle of information systems 10 Et sur le fond ?
6 Les big bang [2/3] La norme traite maintenant de la continuit de la s curit de l information et non de la continuit business ! Les mesures sont organis es selon une logique PDCA Un objectif de s curit compl mentaire redundancies concerne la disponibilit des information processing facilities Une unique mesure demande de mettre en place de la redondance des composants ou des architectures pour r pondre aux exigences de disponibilit Une note indique que les informations sur le business continuity management sont disponibles dans les normes ISO 22301, 27301, 22313 Planning Implementing Verify, review and evaluate 18 septembre 2013 - Propri t de Solucom, reproduction interdite 17 Information security aspects of business continuity management Objective: Information security continuity should be embedded in the organization s business continuity management systems 11 Et sur le fond ? Les big bang [3/3] 18 septembre 2013 - Propri t de Solucom, reproduction interdite Le chapitre se concentre sur la gestion des acc s des utilisateurs et sur l acc s aux applications et aux syst mes Suppression du contr le d acc s r seau Suppression du contr le d acc s l OS Suppression du t l travail 25 14 mesures Le cycle de vie des habilitations est plus complet La gestion du mot de passe est largie la gestion des secret authentication Un focus sp cifique est fait sur l acc s au code source User registration and de-registration 9 Access control Review of user access rights User access provisioning Management of secret authentication information of users Removal or adjustment of access rights Objective: to ensure authorized user access and to prevent unauthorized access to systems and services 12 Et sur le fond ?
7 Les petites nouveaut s [1/2] 18 septembre 2013 - Propri t de Solucom, reproduction interdite Suppression des l ments li s la s curit des external parties Ces points sont partiellement repris dans le chapitre supplier relationships Int gration d un objectif relatif aux mobile devices et au t l travail Organization of information 6 Tous les sujets relatifs la gestion des biens sont regroup s au sein de ce chapitre, ce qui inclut : Return of assets issu du chapitre human resource security Media handling issu du chapitre operations and communication management Asset management 8 Ajout de quelques pr cisions dans la gestion des incidents Une phase de assessment of and decision on information security events pour d cider si les v nements sont consid r s comme des incidents de s curit Une phase de traitement response to information security incidents La phase d apprentissage suite l analyse des incidents est assouplie : il n est plus n cessaire d valuer le type, le volume et les co ts des incidents Information security incident management 16 13 Et sur le fond ?
8 Les petites nouveaut s [2/2] 18 septembre 2013 - Propri t de Solucom, reproduction interdite Ce chapitre concentre tous les mesures li es au r seau Il reprend : Celles issues du chapitre operation and communication management : network security management et exchange of information Celles issues du chapitre access control en ne conservant que la mesure segregation of networks Communications Security 13 Ce chapitre conserve les mesures propres l exploitation Operational procedures and responsibilities Protection from malware Back up Logging and monitoring Il est compl t par quelques mesures issues d autres chapitres Control of operational software Technical vulnerability management Information systems audit considerations Operations security 12 Ce chapitre concentre toutes les mesures li es la gestion des fournisseurs, en rempla ant la notion de third party par supplier Une nouvelle mesure est ajout e sur le report des exigences de s curit sur la chaine de sous-traitance La mesure sur identification of risks related to external parties a t supprim e Supplier relationships 15 14 Et sur le fond ?
9 Circulez, y a rien voir ! [1/2] 18 septembre 2013 - Propri t de Solucom, reproduction interdite Au lieu d une politique de s curit unique, la norme fait maintenant r f rence un ensemble de politiques plusieurs niveaux Une Information security policy qui d crit les objectifs et les principes de s curit Des topic-specific policies Information security policies 5 Les tiers ne font plus partie des cibles de ce chapitre Les contractors sont toujours adress s Les sujets return of assets et removal of access rights sont maintenant trait s respectivement dans les chapitres asset management et access control Human resource security 7 Peu de modifications Une pr cision est apport e sur la gestion des cl s tout au long du cycle de vie (g n ration, stockage, archivage, etc.) Cryptography 10 15 Et sur le fond ? Circulez, y a rien voir ! [2/2] 18 septembre 2013 - Propri t de Solucom, reproduction interdite Conservation de toutes les mesures, certaines sont l g rement reformul es Ajout des 2 mesures sur unattended user equipement et clear desk and clear screen policy issues du chapitre access control Physical and environmental security 11 Conservation de toutes les mesures, sauf de l objectif information systems audits considerations , qui est repris dans le chapitre operation security Compliance 18 16 ISO 27002:2013 : quels apports et quelles perspectives ?
10 Qu est-ce qui a chang ? La norme 2013 permet-elle de traiter les limites de la norme actuelle ? Quels impacts sur la gouvernance S curit ? 18 septembre 2013 - Propri t de Solucom, reproduction interdite 17 En synth se 18 septembre 2013 - Propri t de Solucom, reproduction interdite Pas de r volution, mais des volutions qui vont dans le bon sens Plus de coh rence des sujets abord s au sein de chaque chapitre Plus de lisibilit pour les acteurs hors p rim tre s curit Des objectifs de s curit plus clairs Suppression des mesures obsol tes et ajout de quelques nouvelles mesures 18 Des points qui ne sont toujours pas trait s [1/2] 18 septembre 2013 - Propri t de Solucom, reproduction interdite Certaines mesures sont encore peu auditables system administrator and system operator activities should be logged and the logs protected and regularly reviewed 3 points de contr le en 1 Certaines mesures de base ne sont pas prises en compte Durcissement des postes de travail / des terminaux Durcissement des socles R seaux sans Certaines mesures restent trop macroscopiques pour constituer des bonnes pratiques de s curit networks should be managed and controlled to protect information in systems and applications groups of information services, users and information systems should be segregated on networks se d cline en nombreux sous-points 19 Des points qui ne sont toujours pas trait s [2/2] 18 septembre 2013 - Propri t de Solucom, reproduction interdite Les nouvelles menaces (cybercriminalit )
