Openstuff Wiki : MethodoSSI

HomePage :: Categories :: PageIndex :: RecentChanges :: RecentlyCommented :: Login/Register

Revision [566]

Last edited on 2007-12-12 17:26:08 by StanKju
Additions:
=====1) Critères et méthodologies d'évaluation=====
=====2) Methode d'évaluation des risques=====
===== 3) Bonnes pratiques=====
Deletions:
=====Critères et méthodologies d'évaluation=====
=====Methode d'évaluation des risques=====
===== Bonnes pratiques=====


Revision [565]

Edited on 2007-12-12 17:25:50 by StanKju
Additions:
======La sécurité organisationnelle======
En cours de rédaction....


Revision [564]

Edited on 2007-12-12 17:19:04 by StanKju
Additions:
=====Source=====
[[http://cyberzoide.developpez.com/securite/methodes-analyse-risques/ Normes de sécurité : les méthodes d'analyse des risques]]
Deletions:
Source:


Revision [563]

Edited on 2007-12-12 17:10:16 by StanKju
Additions:
[[http://fr.wikipedia.org Wikipedia]]
[[http://www.ssi.gouv.fr/fr/ Direction centrale de la sécurité des systèmes d'information]]
[[http://www.cases.public.lu/publications/recherche/these_jph/NMA-JPH_MISC24.pdf La gestion des risques pour les systèmes d’information]]
[[http://www.clusif.asso.fr/ CLUSIF]]
Deletions:
[[Wikipedia http://fr.wikipedia.org]]
[[Direction centrale de la sécurité des systèmes d'information http://www.ssi.gouv.fr/fr/]]
[[La gestion des risques pour les systèmes d’information http://www.cases.public.lu/publications/recherche/these_jph/NMA-JPH_MISC24.pdf]]
[[CLUSIF http://www.clusif.asso.fr/]]


Revision [562]

Edited on 2007-12-12 17:08:30 by StanKju
Additions:
===== Bonnes pratiques=====
Cette norme est composé de onze sections principales, qui couvrent la gestion de la sécurité aussi bien dans ses aspects techniques que dans ses aspects organisationnels :
~- La politique de sécurité.
~- L'organisation de la sécurité.
~- Classement en contrôle des informations.
~- Facteurs humains.
~- Sécurité physique.
~- Réseaux pannes et exploitation (Gestion des communications et des opérations).
~- Contrôles des accès.
~- Développement et maintenance d'applications.
~- Continuation de l'activité.
~- Respect des lois, licences, règlements, etc.
~- L'analyse de risques
=== ITIL ===
ITIL (Information Technology Infrastructure Library) est un ensemble de bonnes pratiques pour la gestion d'un système d'information, édictées par l'Office public britannique du Commerce.
Les recommandations ITIL positionnent des blocs organisationnels et des flux d'informations. La certification aux bonnes pratiques ITIL se fait pour des individus et non des organisations
Source:
[[Wikipedia http://fr.wikipedia.org]]
[[Direction centrale de la sécurité des systèmes d'information http://www.ssi.gouv.fr/fr/]]
[[La gestion des risques pour les systèmes d’information http://www.cases.public.lu/publications/recherche/these_jph/NMA-JPH_MISC24.pdf]]
[[CLUSIF http://www.clusif.asso.fr/]]
Deletions:
Cette norme indique qu’une organisation doit identifier ses exigences de sécurité en partant de trois sources principales :
~- l’analyse de risques,
~- les exigences légales, statutaires, réglementaires ou contractuelles,
~- l’ensemble des principes, objectifs et exigences relatives au traitement de l’information que l’organisation a développé pour supporter ses opérations.


Revision [561]

Edited on 2007-12-12 16:51:49 by StanKju
Additions:
=====Critères et méthodologies d'évaluation=====
Développé par le département de la défence des Etats Unis, le "Trusted Computer System Evaluation Criteria" (TCSEC ou Orange Book), est utilisé pour évaluer des systèmes d'exploitation, des application ou des produits. Ce "livre orange" est utilisé pour vérifier les fonctionnalités, l'efficacité et l'assurance d'un produit lors de son évaluation. Il utilise pour cela différentes classes pour répondre à différents prérequis commun de sécurité.
=== Critères communs (Common Criteria for Information Technology Security Evaluation) ===
=====Methode d'évaluation des risques=====
La méthode EBIOS est développée par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI). Sa diffusion est gratuite. Elle permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI).
~1) **Étude du contexte**: vision globale et explicite du système étudié, des enjeux, des contraintes et référentiels applicables
~1) **Expression des besoins**: positionnement des éléments à protéger en terme de disponibilité, intégrité, confidentialité… et mise en évidence des impacts en cas de sinistre
~1) **Étude des menaces**: recensement des scénarios pouvant porter atteinte aux composants (techniques ou non) du SI
~1) **Identification des objectifs de sécurité**: mise en évidence des risques réels et expression de la volonté de les traiter en cohérence avec le contexte particulier de l’organisme
~1) **Détermination des exigences de sécurité**: spécification des mesures concrètes à mettre en œuvre pour traiter les risques sur la base d’une négociation argumentée
Cette norme fait l'objet d’évaluation et de certification ce qui explique l'importance vis-à-vis des aspects formalisation (documentation et enregistrement des décisions, déclaration d’applicabilité, registres, etc.) et sur les contrôles (revues, audits, etc.). A ce titre, il s’agit d’une approche très orientée qualité.
La démarche de sécurité implique de réaliser au préalable une analyse des enjeux puis des risques auxquels l’organisation est exposée et à sélectionner les mesures adéquates pour réduire ces risques à un niveau acceptable. ISO/IEC 27001 indique qu’une méthode d’analyse de risque doit être utilisée, mais elle ne fait pas partie de la norme et rien n’est proposé (ormis le cycle PDCA).
Deletions:
====Critères et méthodologies d'évaluation====
Développé par le département de la défence des Etats Unis, le "Trusted Computer System Evaluation Criteria" (TCSEC ou Orange Book), est utilisé pour évaluer des systèmes d'exploitation, des application ou des produits. Ce "livre orange" est utilisé pour vérifier les fonctionnalités, l'éfficacité et l'assurance d'un produit lors de son évaluation. Il utilise pour cela différentes classes pour répondre à différents prérequis commun de sécurité.
=== Critère commun (Common Criteria for Information Technology Security Evaluatio) ===
====Methode d'évaluation des risques====
La méthode EBIOS est développée par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI). Sa diffusion est gratuite. Elle permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l'organisme et vis-à-vis de ses partenaires afin de contribuer au processus de gestion des risques SSI.
~1) **Étude du contexte** Vision globale et explicite du système étudié, des enjeux, des contraintes et référentiels applicables
~1) **Expression des besoins** Positionnement des éléments à protéger (patrimoine informationnel) en terme de disponibilité, intégrité, confidentialité… et mise en évidence des impacts en cas de sinistre
~1) **Étude des menaces** Recensement des scénarios pouvant porter atteinte aux composants (techniques ou non) du SI
~1) **Identification des objectifs de sécurité** Mise en évidence des risques réels et expression de la volonté de les traiter en cohérence avec le contexte particulier de l’organisme
~1) **Détermination des exigences de sécurité** Spécification des mesures concrètes à mettre en œuvre pour traiter les risques sur la base d’une négociation argumentée
L’objectif de l’ISO/IEC 27001 est clairement présenté comme celui de « fournir un modèle pour établir et gérer un système de gestion de la sécurité de l’information (ISMS) d’une organisation » et « d’être utilisé soit en interne soit par des tiers, y compris des organismes de certification ».
Cet objectif d’évaluation et de certification conduit à mettre fortement l’accent sur des aspects de formalisation (documentation et enregistrement des décisions, déclaration d’applicabilité, registres, etc.) et sur les contrôles (revues, audits, etc.). A ce titre, il s’agit d’une approche très orientée qualité.
Il reste que le fond de la démarche de sécurité présentée implique de réaliser au préalable une analyse des enjeux puis des risques auxquels l’entreprise ou l’organisation est exposée et à sélectionner les mesures adéquates pour réduire ces risques à un niveau acceptable. ISO/IEC 27001 indique qu’une méthode d’analyse de risque doit être utilisée, mais elle ne fait pas
partie de la norme et rien n’est proposé (ormis le cycle PDCA).


Revision [560]

Edited on 2007-12-12 14:56:42 by StanKju
Additions:
===EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)===
===Mehari (MEthode Harmonisée d'Analyse de RIsques)===
Deletions:
==EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)===
===Mehari (MEthode Harmonisée d'Analyse de RIsques)==


Revision [559]

Edited on 2007-12-12 14:55:51 by StanKju
Additions:
====Methode d'évaluation des risques====
==EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)===
La méthode EBIOS est développée par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI). Sa diffusion est gratuite. Elle permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l'organisme et vis-à-vis de ses partenaires afin de contribuer au processus de gestion des risques SSI.
La méthode EBIOS se compose de 5 guides (Introduction, Démarche, Techniques, Outillages) et d'un logiciel. Les 5 étapes qui compose cette méthode sont les suivantes:
~1) **Étude du contexte** Vision globale et explicite du système étudié, des enjeux, des contraintes et référentiels applicables
~1) **Expression des besoins** Positionnement des éléments à protéger (patrimoine informationnel) en terme de disponibilité, intégrité, confidentialité… et mise en évidence des impacts en cas de sinistre
~1) **Étude des menaces** Recensement des scénarios pouvant porter atteinte aux composants (techniques ou non) du SI
~1) **Identification des objectifs de sécurité** Mise en évidence des risques réels et expression de la volonté de les traiter en cohérence avec le contexte particulier de l’organisme
~1) **Détermination des exigences de sécurité** Spécification des mesures concrètes à mettre en œuvre pour traiter les risques sur la base d’une négociation argumentée
===OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)===
Octave est destinée aux grandes entreprises, mais une version "lite" nommé Octave-S (Small) peut se décliner au sein d’une petite structure.
Octave est contitué de 3 phases :
~1) **Vue organisationnelle** Identifie les ressources informatiques importantes, les menaces associées et les exigences de sécurité
~1) **Vue technique** Identifie les éléments essentiels de chaque actif identifié plus haut et les audite afin d'en connaître les vulnérabilités.
~1) **Stratégie de sécurité** évalue les risques identifiés (impact, probabilité) et à propose les mesures permettant de les réduire (protection et plan de réduction des risques).
===Mehari (MEthode Harmonisée d'Analyse de RIsques)==
Dévelopée par le CLUSIF (Club de la Sécurité des Systèmes d’Information Français), cette méthode est dérivée de Melisa et Marion. Elle est utilisée par de nombreuses entreprises publiques et privé. L’objectif de MEHARI est de fournir une gamme d’outils adaptée au management de la sécurité (mise en place de plans de sécurité, de politiques de sécurité, ...).
Cette méthode est découpé en trois guides d’utilisation:
~- **Analyse des enjeux** qui débouche sur
~~- Une échelle de valeurs des dysfonctionnements (types de dysfonctionnements, paramètre influant sur la gravité, seuils)
~~- Une classification des informations et ressources (classification en terme de Disponibilité, Intégrité et Confidentialité)
~- **Diagnostic des services de sécurité** audit des services de sécurité
~- **Analyse des risques** potentialités, impacts et facteurs d’atténuation permettant de produire un indicateur de gravité de risque
=== ISO/IEC 17799:2005 ===
La norme ISO 17799 fournit un recueil de lignes directrices dont les entreprises devraient (should) tirer parti, en précisant que ce recueil n’est pas exhaustif et que des mesures complémentaires peuvent être nécessaires, mais aucune méthodologie n’est indiquée pour élaborer le système complet de management de la sécurité.
Cette norme indique qu’une organisation doit identifier ses exigences de sécurité en partant de trois sources principales :
~- l’analyse de risques,
~- les exigences légales, statutaires, réglementaires ou contractuelles,
~- l’ensemble des principes, objectifs et exigences relatives au traitement de l’information que l’organisation a développé pour supporter ses opérations.
===ISO/IEC 27001 ===
La norme ISO 27001 décrit comment mettre en place un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des actifs d'une entreprise sur un périmètre défini. C'est le modèle de qualité PDCA (Plan Do Check Act) qui doit être suivi pour établir un SMSI.
L’objectif de l’ISO/IEC 27001 est clairement présenté comme celui de « fournir un modèle pour établir et gérer un système de gestion de la sécurité de l’information (ISMS) d’une organisation » et « d’être utilisé soit en interne soit par des tiers, y compris des organismes de certification ».
Cet objectif d’évaluation et de certification conduit à mettre fortement l’accent sur des aspects de formalisation (documentation et enregistrement des décisions, déclaration d’applicabilité, registres, etc.) et sur les contrôles (revues, audits, etc.). A ce titre, il s’agit d’une approche très orientée qualité.
Il reste que le fond de la démarche de sécurité présentée implique de réaliser au préalable une analyse des enjeux puis des risques auxquels l’entreprise ou l’organisation est exposée et à sélectionner les mesures adéquates pour réduire ces risques à un niveau acceptable. ISO/IEC 27001 indique qu’une méthode d’analyse de risque doit être utilisée, mais elle ne fait pas
partie de la norme et rien n’est proposé (ormis le cycle PDCA).


Revision [558]

The oldest known version of this page was created on 2007-12-12 11:05:17 by StanKju
Valid XHTML 1.0 Transitional :: Valid CSS :: Powered by WikkaWiki
Page was generated in 0.0896 seconds