Dans les coulisses des normes ISO

1 639 vues

Publié le

Présentation de Bruno Guay de Chez Nurun Services Conseils dans le cadre du Colloque québécois de la sécurité de l'information (CQSI) 2011.

Publié dans : Technologie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 639
Sur SlideShare
0
Issues des intégrations
0
Intégrations
10
Actions
Partages
0
Téléchargements
77
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Dans les coulisses des normes ISO

  1. 1. Dans les coulisses des normes ISO<br />Bruno Guay<br />17 octobre 2011<br />
  2. 2. Plan de la présentation<br />Introduction<br />Les normes, pourquoi?<br />Une norme, c’est quoi?<br />Les normes, c’est qui?<br />Le processus ISO, c’est quoi?<br />Être membre de ISO, c’est quoi?<br />Être rédacteur d’une norme ISO, c’est quoi?<br />
  3. 3. Introduction<br />Nairobi, Kenya, 10 au 14 octobre 2011<br />11e rencontre du comité ISO/IEC JTC1/SC27<br />200+ délégués de 46 pays<br />5 déléguéscanadiens<br />Qui sontces gens?<br />Pourquoisont-ilsici?<br />
  4. 4. Introduction<br />
  5. 5. Les normes, pourquoi?<br />
  6. 6. Les normes, pourquoi?<br />Les normes sont une réponse à un besoin exprimé par l’industrie pour:<br />Permettre l’interopérabilité<br />Faciliter la communication<br />Faciliter la démonstration<br />Faciliter la certification<br />Améliorer l’efficacité et l’efficience<br />Simplifier l’acceptation<br />Réduire la maintenance<br />
  7. 7. Les normes, c’est quoi?<br />
  8. 8. Les normes, c’est quoi?<br />Unenormeest:<br />un document qui fournit des lignes directrices sur les processus, les produits, les résultats;<br />réaliste;<br />vérifiable;<br />acceptable pour toutes les parties;<br />établie par voie de consensus entre experts du domaine;<br />approuvée par un organisme de normalisation reconnu.<br />
  9. 9. Les normes, c’est quoi?<br />Quelquesexemples de Normes en sécurité de l’informationpubliées par ISO/IEC JTC1/SC27<br />ISO/IEC 27001: Systèmes de management de la sécurité de l'information -- Exigences <br />ISO/IEC 27002: Code de bonne pratique pour le management de la sécurité de l'information <br />ISO/IEC 27005: Gestion des risques liés à la sécurité de l'information (remplaceISO/IEC 13335)<br />ISO/IEC 27031: Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires <br />ISO/IEC 27033: Sécurité de réseau<br />
  10. 10. Les normes, c’est quoi?<br />Quelquesexemples de Normes en sécurité de l’information en rédaction par ISO/IEC JTC1/SC27<br />ISO/IEC 27032: Lignes directrices pour la cybersécurité<br />ISO/IEC 27034: Sécurité des applications<br />ISO/IEC 24760: Cadre pour la gestion de l'identité<br />ISO/IEC 29100: Cadre du domaineprivé (A privacy framework)<br />ISO/IEC 29115: Cadre d'assurance de l'authentification d'entité <br />ISO/IEC 29146: Cadre pour gestiond'accès<br />ISO/IEC 29147: Divulgation de vulnérabilité<br />
  11. 11. Les normes, c’est qui?<br />
  12. 12. Les normes, c’est qui?<br />ISO<br />IEC<br />JISC<br />CEN<br />COPANT<br />IEEE<br />UPU<br />ETSI<br />BNQ<br />BSI<br />ANSI<br />SCC<br />ITU<br />NIST<br />IETF<br />SAE<br />DIN<br />CENELEC<br />W3C<br />
  13. 13. Les normes, c’est qui?<br />ISO<br />IEC<br />JTC 1<br />SC 27<br />WG 1<br />WG 2<br />WG 4<br />WG 3<br />WG 5<br />
  14. 14. Les normes, c’est qui?<br />ISO/IEC JTC1/SC27 Techniques de sécurité des technologies de l'information<br />WG 1 Systèmes de management de la sécurité de l'information <br />WG 2 Cryptographie et mécanismes de sécurité <br />WG 3 Critères d'évaluation de la sécurité <br />WG 4 Contrôles et services de sécurité <br />WG 5 Gestion d'identité et technologies de domaine privé<br />
  15. 15. Les normes, c’est qui?<br />ISO/IEC JTC1/SC27<br />46 pays votants<br />200+ experts<br />5 groupes de travail<br />97 normespubliées<br />2 rencontres/an<br />1 plénière/an<br />
  16. 16. Les normes, c’est qui?<br />J’aimon opinion et mon expertise personnelle<br />200 délégués<br />600 chapeaux!<br />Je représentemon pays<br />Je défends les intérêts de monbailleur de fonds<br />
  17. 17. Le processus ISO, c’est quoi?<br />
  18. 18. Le processus ISO, c’est quoi?<br />
  19. 19. Le processus ISO, c’est quoi?<br />19<br />
  20. 20. Le processus ISO, c’est quoi?<br />Exemple: l’infonuagique (cloud computing)<br />En octobre 2010, SC27 lance l’étapepréliminaire pour unenormesur la sécurité et la PRP dansl’infonuagique<br />L’étuded’opportunitéestconfiée aux groupes de travail 1, 4 et 5 (gouvernance, contrôles et PRP)<br />Les déléguéssontinvités à soumettre suggestions et matériel<br />On lance aussil’invitation à des groupesexternes: SC38, ISACA, NIST et ITU-T<br />3 responsables (rapporteurs) sontdésignés pour recevoir les contributions et produire un rapport avant la prochainerencontre<br />
  21. 21. Le processus ISO, c’est quoi?<br />21<br />
  22. 22. Le processus ISO, c’est quoi?<br />22<br />Liaison statement to ITU-T FG Cloud on Identity Management, Privacy Technology, and Biometrics <br />ISO/IEC JTC 1/SC 27/WG 5 would like to thank ITU-T FG Cloud for their continued interest in the work of ISO/IEC JTC 1/SC 27/WG 5. <br />ISO/IEC JTC 1/SC 27/WG 5 would like to inform the ITU-T Focus Group Cloud Computing about the output of our WG 1, WG 4 and WG 5 Study Period on “Cloud computing security and privacy”. This Study Period recommended text for a WG 5 New Work Item Proposal (NWIP) for Cloud data protection controls. The proposed New Work Item is considered to be built based on the ISO/IEC 27000 series and is intended to establish commonly accepted data protection control objectives, controls, and guidelines for implementing controls to meet the requirements identified by a risk assessment. In particular, it will provide guidelines based on ISO/IEC 27001, taking also into consideration the regulatory requirements for data protection which may be applicable within the context of the organization's information security risk environment(s). <br />ISO/IEC JTC 1/SC 27/WG 5 also acknowledges receipt of the ITU-T Deliverable on "Cloud Security" that will be studied in ITU-T with collaboration with related SDOs. <br />
  23. 23. Le processus ISO, c’est quoi?<br />Exemple: cloud computing (suite)<br />En avril 2011, SC27 décidequ’ilestopportun de produireunetellenorme et de continuer l’étude d’opportunité sur les détails du projet<br />En octobre 2011, SC27 décide de proposer troisprojets et désigne des éditeurs qui doiventpréparer un premier avant-projet (preliminary working draft)<br />Les pays membres de SC27 doivent se prononcer par vote avant la prochainerencontre<br />Si le vote estpositif, le travail en comitéscommencera à la prochainerencontre à l’étapepréparatoire<br />
  24. 24. Le processus ISO, c’est quoi?<br />24<br />
  25. 25. Être membre de ISO, c’est quoi?<br />
  26. 26. Être membre de ISO, c’est quoi?<br />Êtreinvité en tantqu’expert par son organisme national<br />Au Canada c’est le Conseilcanadien des normes<br />Participer aux rencontresnationales<br />4 rencontres par année à Ottawa (outéléconférence)<br />Participer aux discussions en lignenationales et internationales<br />Listes de courriels, forums, Skype<br />Lire et commenter des normes en rédaction<br />
  27. 27. Être membre de ISO, c’est quoi?<br />
  28. 28. Être membre de ISO, c’est quoi?<br />
  29. 29. Être membre de ISO, c’est quoi?<br />Participer aux rencontresinternationales<br />5 jours en octobre , 7 jours en avril/mai<br />L’hôteest un pays membredont la candidature estapprouvée<br />Organisée par un comité de bénévoles qui doit:<br />trouver des fonds (parrains, annonceurs) et<br />organiser la logistique (locaux, hébergement, transport, pauses, réseau, électricité…)<br />Dernière au Canada: 2003 à Québec<br />Le CCN nous reconnaîtcommedéléguéofficiel du Canada<br />sans statutdiplomatique<br />
  30. 30. Être membre de ISO, c’est quoi?<br />
  31. 31. Être membre de ISO, c’est quoi?<br />Participer aux rencontres internationales<br />Coût: 20 joursd’absence + avion, hôtel, repas<br />Chaque délégué doit financer son voyage<br />de sapoche, ou<br />par son employeur, ou<br />par une association ou groupe d’intérêt<br />Le Canada ne fournit que l’assurance (vie, médicale, enlèvement) en voyage<br />Présence accrue et influence croissante des géants de l’industrie<br />pas grave pour les normes sur les vis et les boulons<br />préoccupant pour les normes sur la sécurité et la PRP<br />
  32. 32. Être membre de ISO, c’est quoi?<br />Les rencontres internationales sont essentielles<br />Ateliers de travail<br />On y façonne les normes en discutant du contenu et des commentaires<br />Plénières de groupes de travail<br />On y valide les recommandationsdes groupes de travail<br />On y prend les décisions pour lecontenu des normes<br />Plénières de SC27<br />On y approuve les recommandations des groupes de travail<br />On y prend les décisions pour la gestion du cycle de vie des normes<br />
  33. 33. Être membre de ISO, c’est quoi?<br />Les rencontres internationales sont essentielles<br />Rencontres de délégation<br />On y décide la stratégie nationale<br />Réseautage d’experts<br />On y retrouve un bagaged’expertiseimpressionnant<br />Politique, conciliabules, magouilles<br />On prend plus de décisionsdansles corridors quedans les auditoriums<br />Un évènement social officiel<br />Qui détermine la réputation du pays hôte!<br />(et parfois, celle des délégués..)<br />
  34. 34. Être membre de ISO, c’est quoi?<br />
  35. 35. Être membre de ISO, c’est quoi?<br />
  36. 36. Être membre de ISO, c’est quoi?<br />Défis et avantages<br />
  37. 37. Être membre de ISO, c’est quoi?<br />Défis<br />Absences prolongées – il faut gérer le travail qui s’accumule, les perceptions<br />Inconfort – ex: 36 heures de vol, 12 heures de décalage<br />Problèmes logistiques – réservations, électricité, internet, volcans, tsunamis<br />Enjeux culturels – langue, coutumes, lois différentes<br />C’est un crime de photographier un soldat au Kenya<br />Risques pour la santé – eau, nourriture, maladies tropicales<br />Milieux hostiles – instabilité politique, économique et sociale<br />
  38. 38. Être membre de ISO, c’est quoi?<br />Avantages<br />Réseautage avec des experts internationaux<br />Formation – vision élargie, expériencevariée<br />Êtresénior ne veut pas dire faire la même chose pendant 20 ans<br />Bonification du CV personnel et d’entreprise<br />Liens d’amitié avec des gens de provenances diverses<br />Voyages – occasion de sortir des sentiersbattus<br />Économie – bonne occasion pour des vacanceséloignées!<br />Pour la firme, c’est<br />l’occasion d’être un acteurplutôtqu’unspectateur<br />démontrerqu’elleestprête à investirdans la croissance et la maturité du domaine<br />
  39. 39. Être rédacteur d’une norme ISO, c’est quoi?<br />
  40. 40. Être rédacteur d’une norme ISO, c’est quoi?<br />Rédiger le document<br />Le déposeravantl’échéance<br />Recevoir les commentaires<br />Traiter les commentaires<br />Présider les ateliers de travail<br />Intégrer les commentairesdansune nouvelle version du document<br />Recommencer pour chaqueitérationtous les 6 mois<br />200 à 300 heures par année<br />
  41. 41. En conclusion<br />Les normesélaborées par le SC27 sontd’une importance croissante pour la sécurité de l’information<br />Ellessont de plus en plus reconnuesdansl’industrie<br />Cesnormessont le résultat d’un consensus entre experts internationaux<br />Ces experts effectuent un travail énorme en coulisses<br />Pour le bien de tous, davantage de partenairesdoivents’impliquerdans le processus<br />

×