ISO 27004

© 2010 Consulare sàrl, tous droits réservés.

‘ Savoir, prévoir et décider ‘

A la découverte du logiciel libre ESIS

ISO 27004 Métriques, Indicateurs et Tableaux de Bord

“Learn & Lunch” du 28 Janvier 2010 à Genève Animé par Philippe Le Berre


Le PDCA de l’ISO 27004 défini le Plan de Mesurage de la Sécurité de l’InformaSon pour mesure et améliorer le SMSI

2

Implémenta?on des améliora?ons dans le SMSI

Choix des mesures de sécurité qui feront l’objet d’un mesurage, selon des critères de risques, de priorité et capacité à effectuer la mesure.

Implémenta?on des mesures de sécurité . Défini?on de la méthode de mesurage (comment) et mesurage (réalisa?on).

Contrôle de la per?nence et de l’efficacité du SMSI suite à la mise en place des mesures de sécurité et leur mesurage.


Le cycle de la métrologie de l’ISO 27004

3

Les aSributs délimitent la métrique (ie. agrégat pays, organisa?onnel, par?e d’infrastructure, etc.)

Choisir les mesures de sécurité que l’on souhaite évaluer (ie. Mesure contre les codes malveillants, cloisonnement des réseaux, remontée des événements liés à la sécurité de l’informa?on, etc.)

Le moyen d’effectuer la mesure (collecte, consolida?on)

Cons?tu?on des agrégats, ra?o, moyenne, normalisa?on, etc.

Analyse du résultat. Besoin d’affiner ? D’explorer ?


ExecuSve Security InformaSon System

•  ESIS est un logiciel qui rassemble les différents processus de la ges?on de la sécurité et des risques afin d’apporter une réponse efficace, pragma?que aux besoins des entreprises. –  Chaque processus est un module à la fois autonome et capable d’échanger avec les

autres processus.

–  Une approche des métriques par la performance des processus et la consolida?on des mesures fondamentales.

–  Des workflows pragma?ques et une interface qui s’adapte à la terminologie de l’entreprise.

–  Supporte la consolida?on entre des unités (ie. filiales, clients infogérés, etc.). –  La sécurité pris en compte : ségréga?on de l’administra?on, traçabilité, etc.

•  Première version en 2004.

•  Installé et u?lisé depuis 2005 par des organisa?ons.

•  Logiciel libre – opensource – sous licence GNU GPL v3.

4

<hSp://esis.sourceforge.net>


Les métriques au sein d’ESIS : une consolidaSon sémanSque, quoSdienne, mulSdimensionnelle

•  SémanSque –  Consolida?on au sein de silo de données de tout ce qui concerne

un sujet en u?lisant la richesse de toutes les sources. •  Virus, Incidents, IT Service Management, Iden?té, Réseau, Vulnérabilités,

Email, Internet, Applica?ons, Assets, etc.

•  QuoSdienne –  Calcul de métrique pour J –  Agrégats par semaine, mois, trimestre, semestre, année.

•  MulSdimensionnelle –  Des axes mul?ples pour cons?tuer des agrégats

•  Organisa?on (ie. groupe, business unit, département, site, datacenter, etc). •  Personne (ie. individu, groupe d’u?lisateur, etc.). •  Type de fonc?on (ie. administrateur, u?lisateur, etc.) •  Réseau (ie. IP, range IP, VLAN, domaine interne, etc.) •  Assets (ie. postes client, serveurs, etc.) •  Audits, Contrôles •  Normes, standards et références internes ou externes (ie. Poli?que de

sécurité interne, normes ISO, norme PCI, ITIL, etc.)

5


Une méthodologie projet pour assurer un résultat en adéquaSon avec la société

6


Un mode de collecte mulSmodale par des sondes non intrusive -‐ sans agent

7


Le choix des métriques se fait sur la base du besoin, de l’applicabilité et de la disponibilité des données

8

© 2010 Consulare sàrl, tous droits réservés. 9

Exemple d’Intranet de métriques

Vision sécurité applicaSon internet (ie. banque en

ligne, etc.)

Intranet de métriques

groupées par thème

© 2010 Consulare sàrl, tous droits réservés. 10

Un exemple de scoring et indicateurs de haut niveau

Scoring par niveau de maturité Indicateur composite des 200 mesures de sécurité les plus importantes.


Exemple de reporSng

11


Les avantages pour l’entreprise

Pour la DirecSon

  Une vison globale et une approche mul?-‐domaines

  Un repor?ng “au bout des doigts” et exploitable pour la direc?on générale

  Le contrôle des objec?fs et des accords de niveau de service

  L’auditabilité et la traçabilité des processus

Pour la Sécurité, la DSI et les méSers

  Une plate-‐forme de partage de l’informa?on avec toutes les par?es concernées (SI, lignes business, RH, Juridique, Finances, etc.)

  Approche proac?ve de la concep?on de processus

  Une plus grande autonomie et une déléga?on mul?-‐domaines.

  Une presta?on et solu?on facilitant le travail d’équipe

  Moins de d’ou?ls de repor?ng bureau?que hétérogènes

  Une presta?on et solu?on évolu?ve et modulaire 12


Les points de l’ISO 27004 et ESIS

Points clés de l’ISO 27004 ESIS Un processus répétable capable de collecter et rapporter des données per?nentes pour fournir une tendance dans le temps (5.3.c) ✔

Des mesures quan?ta?ves basées sur les objec?fs du SMSI (5.3.d) ✔

Des données facilement accessible pouvant être u?lisées pour les mesures (5.3.e) ✔

Collecte périodique et consistante, analyse, et rapport sur la métrologie d’une façon per?nente (5.3.g) ✔

Obten?on de mesures répétables, objec?ves et per?nentes (5.2) ✔

Permet de démontrer la conformité vis-‐à-‐vis des contraintes légales, réglementaires, etc applicable à l’organisme. (5.3.1) ✔

Permet l’iden?fica?on de problème de sécurité précédemment non détectés ou inconnus (5.3.2) ✔

Répondre aux besoins du management en repor?ng notamment d’historiques des métriques pour les ac?vités présentes et passées (5.3.3) ✔

U?lisable comme source pour le processus de ges?on des risques, les audits interne et la conduite des revues de direc?on du SMSI (5.3.4) ✔

Collecte des données, et, si nécessaire, modifica?on du SMSI pour faciliter la créa?on et la collecte de données (8.2.b) ✔

Communica?on des changements dans la collecte des données aux par?es prenantes. (8.2.c) ✔

Maintenance et suivi des informa?on sur la collecte, les compétences requises, des types de données, ou?ls et procédures de collecte (8.2.d) ✔

Développement de poli?que et de procédures définissant l’u?lisa?on des métriques au sein de l’organisme, la dissémina?on de ces informa?ons, l’audit et la revue du programme de mesure de la sécurité de l’informa?on (8.2.e)

✔

L’intégra?on de l’analyse des données et du repor?ng dans les processus clés pour s’assurer régulièrement de leur efficacité (8.2.f) ✔

Surveillance, revue et analyse des métriques (8.2.g) ✔

Défini?on d’un processus d’évolu?on des métriques pour supprimer, remplacer ou ajouter de nouvelle métrique afin de s’assurer que celle-‐ci évolue en avec l’organisme (8.2.h)

✔

Défini?on d’un processus pour détermine le cycle de vie des historiques de données pour le calcul de tendance dans le temps (8.2.i) ✔

13


Les points de l’ISO 27004 et ESIS

Points clés de l’ISO 27004 ESIS

Collecte des données requises à intervalle régulier en u?lisant une méthode choisie de collecte (8.3.a) ✔

Documenta?on de la collecte des données (8.3.b) ✔

-‐ date, heure et source/localisa?on de la collecte de données (8.3.b.1) ✔

-‐ informa?on sur le moyen de collecte (collector) (8.3.b.2) ✔

-‐ informa?on sur le propriétaire et les sources (8.3.b.3) ✔

-‐ toutes informa?on sur des points significa?fs concernant la collecte des données (8.3.b.4) ✔

-‐ informa?on pour la vérifica?on des données et la valida?on des mesures (8.3.b.5) ✔

Vérifica?on de la collecte des données selon des critères de sélec?on et de valida?on du calcul des indicateurs. (8.3.c) ✔

Mul?ple PMSI selon les besoins et la taille de l’organisme ✔

14


C O N S U L A R E ‘ Savoir, prévoir et décider ‘

C O N S U L A R E

Rue de la Rotisserie 8 CH-1204 Genève

Suisse

[email protected] +41 (0)22.510.2425 +41 (0)79.915.2611 www.consulare.ch

‘ Savoir, prévoir et décider ‘

15

ISO 27004

Documents

Transcript of ISO 27004