Openstuff Wiki : MethodoSSI

HomePage :: Categories :: PageIndex :: RecentChanges :: RecentlyCommented :: Login/Register

La sécurité organisationnelle


En cours de rédaction....


1) Critères et méthodologies d'évaluation



Orange Book / TCSEC


Développé par le département de la défence des Etats Unis, le "Trusted Computer System Evaluation Criteria" (TCSEC ou Orange Book), est utilisé pour évaluer des systèmes d'exploitation, des application ou des produits. Ce "livre orange" est utilisé pour vérifier les fonctionnalités, l'efficacité et l'assurance d'un produit lors de son évaluation. Il utilise pour cela différentes classes pour répondre à différents prérequis commun de sécurité.

Ce système est abandonné au profit des critères commun.


ITSEC (Information technology Security Evaluation Criteria)


ITSEC fus le premier essai européen pour établir un standard pour l'évaluation de la sécurité des systèmes informatique.
Egalement avandonné au profit des critères commun.


Critères communs (Common Criteria for Information Technology Security Evaluation)


Standard international: ISO/CEI 15408.
Norme internationale permettant d'évaluer la sécurité du système d'information via une approche commune.

Suivant ce modèle, une évaluation est faite sur un produit ou un système permetant d'obtenir l'assurance que celui-ci fournit une sécurité adéquate. Pour cela les critère commun sont séparé en trois partie:

Il en ressort un niveau d'assurance "Evaluation Assurance Level" (EAL) qui correspond à une séléction d'éxigences d'assurance. Plus ce niveau est élevé, plus le produit est testé en profondeur. La certification propose ainsi les 7 niveaux d'assurance suivant:

Lorsqu'un produit obtient un niveau donné, celui-ci ne s'applique uniquement à la version testé du produit et pour une certaine configuration.




2) Methode d'évaluation des risques



EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)


La méthode EBIOS est développée par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI). Sa diffusion est gratuite. Elle permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI).

La méthode EBIOS se compose de 5 guides (Introduction, Démarche, Techniques, Outillages) et d'un logiciel. Les 5 étapes qui compose cette méthode sont les suivantes:
  1. Étude du contexte: vision globale et explicite du système étudié, des enjeux, des contraintes et référentiels applicables
  2. Expression des besoins: positionnement des éléments à protéger en terme de disponibilité, intégrité, confidentialité… et mise en évidence des impacts en cas de sinistre
  3. Étude des menaces: recensement des scénarios pouvant porter atteinte aux composants (techniques ou non) du SI
  4. Identification des objectifs de sécurité: mise en évidence des risques réels et expression de la volonté de les traiter en cohérence avec le contexte particulier de l’organisme
  5. Détermination des exigences de sécurité: spécification des mesures concrètes à mettre en œuvre pour traiter les risques sur la base d’une négociation argumentée


OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)


Octave est destinée aux grandes entreprises, mais une version "lite" nommé Octave-S (Small) peut se décliner au sein d’une petite structure.

Octave est contitué de 3 phases :
  1. Vue organisationnelle Identifie les ressources informatiques importantes, les menaces associées et les exigences de sécurité
  2. Vue technique Identifie les éléments essentiels de chaque actif identifié plus haut et les audite afin d'en connaître les vulnérabilités.
  3. Stratégie de sécurité évalue les risques identifiés (impact, probabilité) et à propose les mesures permettant de les réduire (protection et plan de réduction des risques).


Mehari (MEthode Harmonisée d'Analyse de RIsques)


Dévelopée par le CLUSIF (Club de la Sécurité des Systèmes d’Information Français), cette méthode est dérivée de Melisa et Marion. Elle est utilisée par de nombreuses entreprises publiques et privé. L’objectif de MEHARI est de fournir une gamme d’outils adaptée au management de la sécurité (mise en place de plans de sécurité, de politiques de sécurité, ...).

Cette méthode est découpé en trois guides d’utilisation:


ISO/IEC 27001


La norme ISO 27001 décrit comment mettre en place un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des actifs d'une entreprise sur un périmètre défini. C'est le modèle de qualité PDCA (Plan Do Check Act) qui doit être suivi pour établir un SMSI.

Cette norme fait l'objet d’évaluation et de certification ce qui explique l'importance vis-à-vis des aspects formalisation (documentation et enregistrement des décisions, déclaration d’applicabilité, registres, etc.) et sur les contrôles (revues, audits, etc.). A ce titre, il s’agit d’une approche très orientée qualité.

La démarche de sécurité implique de réaliser au préalable une analyse des enjeux puis des risques auxquels l’organisation est exposée et à sélectionner les mesures adéquates pour réduire ces risques à un niveau acceptable. ISO/IEC 27001 indique qu’une méthode d’analyse de risque doit être utilisée, mais elle ne fait pas partie de la norme et rien n’est proposé (ormis le cycle PDCA).




3) Bonnes pratiques



ISO/IEC 17799:2005


La norme ISO 17799 fournit un recueil de lignes directrices dont les entreprises devraient (should) tirer parti, en précisant que ce recueil n’est pas exhaustif et que des mesures complémentaires peuvent être nécessaires, mais aucune méthodologie n’est indiquée pour élaborer le système complet de management de la sécurité.

Cette norme est composé de onze sections principales, qui couvrent la gestion de la sécurité aussi bien dans ses aspects techniques que dans ses aspects organisationnels :


ITIL


ITIL (Information Technology Infrastructure Library) est un ensemble de bonnes pratiques pour la gestion d'un système d'information, édictées par l'Office public britannique du Commerce.
Les recommandations ITIL positionnent des blocs organisationnels et des flux d'informations. La certification aux bonnes pratiques ITIL se fait pour des individus et non des organisations



Source


Wikipedia
Direction centrale de la sécurité des systèmes d'information
La gestion des risques pour les systèmes d’information
CLUSIF
Normes de sécurité : les méthodes d'analyse des risques
Valid XHTML 1.0 Transitional :: Valid CSS :: Powered by WikkaWiki
Page was generated in 0.0781 seconds