Norme d'audit dans la sécurité informatique

Disponible uniquement sur Etudier
  • Pages : 8 (1959 mots )
  • Téléchargement(s) : 0
  • Publié le : 8 décembre 2009
Lire le document complet
Aperçu du document
CHAPITRE 3 : LES NORMES D’AUDIT DE LA SECURITE INFORMATIQUE 1- La Norme BS 7799-2 La norme BS7799 a été publiée pour la première fois par le British Standard Institute en 1995. Son objectif est de permettre la mise en place d'un système de management de la sécurité de l'information ou SMSI (ISMS ou Information Security Management System) dans l'entreprise. Pour cela, la BS 7799 impose le modèlePDCA (Plan, Do, Check, Act ) qui oblige tous les processus relatifs à la sécurité à être cycliquement : planifiés, mis en place, vérifiés puis améliorés. La norme est caractérisée par sa simplicité et son pragmatisme. Un pragmatisme qui a permis à la norme de connaître un essor rapide. L'ISO en a tiré l'ISO17799, en cours de révision, qui se limite pour le moment à donner une liste de bonnespratiques en matière de sécurité. la norme n'impose pas de formalisme particulier et laisse libre du choix des méthodes utilisées pour l'analyse de risques et le contrôle.

Les apports de la BS 7799 dans la vie quotidienne du système d'information 1) Certification BS7799 : Le processus de certification BS7799 peut couvrir l'ensemble du SI de l'entreprise. Cependant, le coût économique et humain d'untel projet à l'échelle globale du SI est tel que seuls quelques processus stratégiques bien ciblés sont retenus pour la certification. La certification BS7799 entraîne l'entreprise dans un cycle de contrôles récurrents sur trois ans. 2) Formaliser les procédures relatives à la sécurité : l'intérêt principal de cette norme est de permettre la mise en place effective de procédures relatives à lasécurité. La réflexion BS7799 oblige à faire le point sur ce qui est important et sur ce qui l'est moins, sur ce qu'il faut protéger, et comment. Elle oblige surtout à mettre en application le fruit de cette réflexion. Elle contribue par là à une amélioration notable de la sécurité du système d'information.
1/11

3) Passer à la tradition écrite : La norme BS7799 contraint toutes les partiesprenantes de la sécurité, de la direction jusqu'à la production, à passer d'une société de tradition orale à une société de tradition écrite, sans pour autant sombrer dans une bureaucratie contre productive

2/11

2- ISO 17799 « Code de bonnes pratiques pour un système de gestion de sécurité informatique SGSI » Le standard ISO 17799 est un ensemble de recommandations pour la gestion de la sécuritéde l'information issu de la norme britannique BS7799, il couvre autant les aspects techniques, administratifs que juridiques et peut être utilisé par n'importe quel organisme quelque soit son activité et sa dimension. Ces aspects sont regroupées au travers de dix grandes thématiques : La politique de sécurité : pour exprimer les objectifs et les exigences de la direction L'organisation de lasécurité : pour définir les rôles et responsabilités des gestionnaires, utilisateurs, contractuels et fournisseurs de services, propriétaires des biens et pour définir les mécanismes de sécurité à mettre en place afin d'assurer la sécurisation de l'accès des tiers aux informations et ressources de l'organisme. La classification et le contrôle de biens : pour faire l'inventaire des biens, leur affecter unpropriétaire, les classifier; déterminer leur niveau de protection et établir les mesures de sécurité à mettre en place selon leur utilisation. La sécurité du personnel : pour intégrer la sécurité dans les procédures de définition des tâches et des ressources afin de réduire les risques d'origine humaine par la formation des utilisateurs et la gestion des incidents. La sécurité physique : pourpréciser les mesures à mettre en place pour sécuriser le matériel et éviter les accès non autorisés dans les locaux ainsi que les dommages pouvant affecter les biens et les opérations quotidiennes. La gestion des opérations et des communications : pour assurer le bon fonctionnement des équipements, la sécurité des réseaux de télécommunication, des systèmes d'exploitation et des applications et...