Conformité
Il est possible d'avoir une excellente sécurité et ne pas être conforme, et il est également possible de passer un audit de conformité et de sécurité ont une très mauvaise organisation. L'illusion que le respect égal de la sécurité a amené les organisations de dépenser trop sur le respect, au détriment de la sécurité.
Il existe cinq principes à concilier le respect de la sécurité
• Base de votre programme de sécurité sur un cadre de sécurité
• Les budgets pour les contrôles de conformité de levier sécurité de l'information
• Automatiser le respect de la politique et de l'audit
• Soyez prêt à gérer les changements dans les menaces et les règlements
• Créer une prise de conscience effective et programme de formation
Différentes organisations, l'information des professionnels de la sécurité et des sociétés de conseil du programme approche de la sécurité de différentes manières. De nombreuses organisations de suivre les démarche ISO 17799 (Organisation internationale de normalisation) et quelques-uns suivent les normes COBIT (Control Objectives for Information and Related Technology), qui sont les deux grands points de départ. Mais il est une autre approche appelée le Sherwood appliquées Business Security Architecture (SABSA).
Le modèle utilise SABSA rôles différents qui travaillent avec la perspective suivante:
• Propriétaire d'entreprise - contextuel
• Architecture - Conceptual
• Designer - logique
• Builder - Physical
• Commerçant - Composant
• Facilities Manager - Operational
SABSA modèle de tranches d'une entreprise en six couches différentes de sorte que la sécurité ne peut être plus ciblé, il est plus orientée business. Bien que le modèle est théorique et académique dans la nature, une fois qu'un organisme a ses blocs de construction de la sécurité en place, il peut évoluer de mannequin de l'ISO et de mettre en œuvre les SABSA.
6.1 Le respect des BS7799/ISO 17799
Élaborer et exécuter des considérations de Business and Technical Perspective se compose de:
Partie 1
• Code de pratique pour la gestion de sécurité de l'information
Partie 2
• Spécification des systèmes d'information de gestion
Pourquoi mettre en oeuvre:
• Aide à réaliser la politique de sécurité
• Crée un niveau de confiance des entreprises
• Rapidité et souplesse de l'architecture
• Des normes communes
• La position de force
• capacité de tirer parti des avantages commerciaux
• Élaborer des meilleures pratiques
• Introduire des normes de repère
• des normes internationales reconnues
La norme a été développée à partir des textes suivants:
• Data Protection Act 1984
• Data Protection Act 1988
• Data Protection Act 1998
• Computer Misuse Act 1990
• Copyright Designs and Patents Act 1988
• Human Rights Act 2000
• Regulatory Investigatory Powers Act 2000 (RIP Bill)
BS7799 Sommaire de la partie 1
• Portée
• Termes et définitions
• La politique de sécurité
• l'organisation de sécurité
• classification des actifs et de contrôle
• Sécurité du personnel
• sécurité physique et environnementale
• Communication et gestion des opérations
• Contrôle d'accès
• Développement et maintenance des systèmes
• Business Continuity Management
• Conformité
BS7799 Sommaire de la partie 2
• Portée
• Termes et définitions
• Information du système de gestion des exigences de sécurité
• les contrôles détaillés
1. La politique de sécurité
2. Organisme de sûreté
3. Classification des actifs et de contrôle
4. Personnel de sécurité
5. Sécurité physique et environnementale
6. Les communications et la sécurité environnementale
7. Les communications et les opérations de gestion
8. Contrôle d'accès
9. Le développement du système et maintenance
10. Business Continuity Management
11. Conformité
Les facteurs clés de réussite
• Politiques, objectifs et activités qui reflètent les objectifs d'affaires
• suffisamment de ressources
• Cohérence avec la culture
• Un soutien visible et l'engagement de la direction
• Une bonne compréhension des exigences de sécurité et des risques
• la commercialisation efficace de la sécurité à tous les employés
• Diffusion d'information à tous les partenaires, fournisseurs, employés et entrepreneurs
• Fournir une formation et une éducation adéquates
• indicateurs clés de performance
Sélection des contrôles
• Identifier les objectifs d'affaires
• Déterminer la stratégie d'entreprise
• Déterminer la stratégie de sécurité
• Identifier et mettre en œuvre des contrôles
Contrôles clés
1. Politique d'information de sécurité des documents
2. Répartition des responsabilités de sécurité
3. Information sur l'éducation et la formation de sécurité
4. Signalement des incidents de sécurité
5. Virus contrôles
6. Planification de la continuité
7. Le contrôle de la copie de logiciels propriétaires
8. La sauvegarde des documents d'entreprises
9. Respect des lois sur la protection des données
10. Le respect de la politique de sécurité
Exigences pour la certification BS7799 / ISO 17799
Organisme doit établir et maintenir un ISMS document
Cadre de gestion
1. Risk Management Approach
2. Identifier les objectifs de contrôle et les contrôles
3. Des preuves documentées:
- Une preuve des actions entreprises
- Un résumé du cadre de gestion du travail
- Les procédures adoptées pour mettre en œuvre les contrôles
- Les procédures portant sur la gestion et le fonctionnement du SMSI
En 2005, l'Organisation internationale de normalisation a publié un cahier des charges, la norme ISO 17799 en 2005, qui établit des lignes directrices et des principes généraux pour préparer, mettre en œuvre, maintenir et améliorer la sécurité de l'information dans une organisation. Ils avaient l'intention d'être mis en œuvre pour répondre aux exigences identifiées par une évaluation des risques.
Cadre de gestion
• Définir la politique
• Définir le champ d'application du système de sécurité de l'information de gestion
1. Caractéristiques de l'organisation
2. Emplacement
3. Actif
4. Technologie
• Procéder à l'évaluation des risques
1. Menaces
2. Vulnérabilités
3. Impacts
4. Degré de risque
• Gérer les risques
• Sélectionner les objectifs de contrôle et contrôles
• Préparer la déclaration d'applicabilité
1. Sélection d'objectifs de contrôle et justification
2. L'exclusion des contrôles et justification
6.2 Appliquer BS7799/ISO17799
• Une approche pratique
• Analyse des écarts
• Planification des actions
• Évaluation des risques et de traitement
• Développer un programme d'amélioration
• Déclaration d'effet des Applicabilité
• Planification et établissement des coûts d'un projet BS7799/ISO17799
• ISMS (Information Security Management System)
• Audit
Comment faire des projets BS7799/ISO17799
Lesquelles interviewer
Gestion de la Sécurité -------- Sec Politique / Organisation
Gestion de la sécurité ----------- Classification et contrôle
Typiquement RH --------------------- sécurité du personnel
Sécurité du site / IT Manager ------- Sécurité physique et environnementale
Business Manager / IT Manager --------------- communications et des opérations de gestion
Système d'administration du personnel ---------------- Contrôle d'accès
Le développement du personnel -------------- Le développement du système
Business Continuity Manager ---------- Business Continuity Management
Internal Compliance Audit/Legal--------------
Le personnel approprié / ligne ----------- Management Business / Info Processus
Une bonne analyse des lacunes
• sont clairement définis
• Effacer les uns contre les constatations de contrôle (les bonnes zones ainsi que les lacunes)
• Le SMSI
• des recommandations claires et concrètes et appropriées menant à la conformité
• Toutes les recommandations renforcée et soutenue par les résultats
Finalisation Ressources
Resourcing:
• Match des actions avec les ressources internes et de confirmer la disponibilité
• identifier les manques de disponibilité
• Identifier où le soutien spécialisé est nécessaire
• Obtenir les approbations nécessaires pour SIP
Veiller à ce groupe ont accès à l'ensemble Gap rapport d'analyse pour l'orientation
Établir le SGSI par la création du Forum de sécurité de l'information
6.3 Évaluation des risques et BS7799/ISO17799
• Définir une méthode systématique d'évaluation des risques
• Identifier les risques
• Évaluer le risque
• Sélectionner les objectifs de contrôle et de contrôles pour le traitement du risque
• Identifier et évaluer les options pour le traitement du risque
Generic Steps
• Identifier les actifs
• Asset Identifier les dépendances
• Business Impact Assessment (évaluation de l'actif)
• Evaluation des menaces
• Déterminer les niveaux de risque (Risk Assessment)
• Les contre-sélection
• Carte de BS7799/ISO17799
• Traitement des risques
Document Management
BS7799/ISO17799 appels à la section 4.3
• Distribution / Mise à la disposition du personnel au besoin
• Version / de contrôle des changements
• Documents d'être daté (incluant les versions précédentes)
• En conséquences, d'individualisation et entièrement contrôlée
ISO 9001 est un avantage
Appropriées de contrôle des changements sont nécessaires pour une solution intranet
10 conseils pour réussir
1. Assurer la participation des cadres supérieurs
2. Recommander à un champ d'application réalistes et utiles
3. Développer une bonne évaluation des risques
4. Promouvoir une gestion active des risques
5. Interpréter les contrôles pour le champ d'application
6. Début d'assurer la sécurité création d'un forum
7. Assurer une utilisation maximale de la déclaration d'applicabilité
8. Get interne des partis tiers à signer jusqu'à
9. Get audits en cours de soulever l'assurance
10. Prendre au sérieux la sensibilisation du personnel
