ITIL, ISO 27001, OSSTMM:
This presentation is the property of its rightful owner.
Sponsored Links
1 / 38

ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008 PowerPoint PPT Presentation


  • 120 Views
  • Uploaded on
  • Presentation posted in: General

ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008. © 2008 SOLUZEN. © 2008 DREAMLAB TECHNOLOGIES AG. 2. Participants. Didier Drapeau, Soluzen Philipp Egli, Dreamlab Technologies SA Alexandre Fernandez-Toro, HSC.

Download Presentation

ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Itil iso 27001 osstmm convergence des bonnes pratiques pour un syst me d information plus fiable et plus s r 30 j

ITIL, ISO 27001, OSSTMM:Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr30. Janvier 2008

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Participants

2

Participants

  • Didier Drapeau, Soluzen

  • Philipp Egli, Dreamlab Technologies SA

  • Alexandre Fernandez-Toro, HSC

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Agenda

3

Agenda

  • Positionnement des Standards

  • OSSTMM 3.0

    • Présentation de la methode

    • Complementarité et Compatibilité avec l‘ISO 27001

  • Pause

  • Mutualisation entre ITIL et ISO 27001

  • Convergence entre ITIL, ISO 27001 et OSSTMM

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Itil iso 27001 osstmm

4

ITIL, ISO 27001, OSSTMM

  • Pour un système d’information plus fiable et plus sûr

    • Pourquoi ? (2001)

      • Comment ? (2008)

  • Avec l’ISO 20000 (ITIL)/27001

    • insuffisant car pas de garantie du niveau de sécurité

      • Ce qu’offre l’OSSTMM

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Positionnement des standards

Positionnement des Standards

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Itil iso 27001 osstmm convergence des bonnes pratiques pour un syst me d information plus fiable et plus s r 30 j

6

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Iso 27001 et osstmm dans la d marche globale de s curit

Pare-feux

PRA

Stockage…

Plan directeur

Politique

directives

Contrôles

Mise en conformité

Projets

Certificat

ISO27001

Certificat

OSSTMM

Diag./Audit initial

Mise en œuvre

ISO 27001 et OSSTMM dans la démarche globale de sécurité

7

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Sommes nous prot g s

Sommes nous protégés?

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Sommes nous prot g s osstmm 3 0

Sommes nous protégés?OSSTMM 3.0

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


S curit parfaite

10

Sécurité parfaite...

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


S curit parfaite adapt e la situation

11

Sécurité parfaite... adaptée à la situation

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm signification

12

OSSTMM signification

  • Open Source Security Testing Methodology Manual

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm historique

13

OSSTMM historique

  • Depuis 2001 (Version actuelle 3.0)

  • Edité par ISECOM (Institute for Security and Open Methodologies)

  • Concept pour « mesurer » la sécurité des systèmes operationels

  • Scientifique (Transparence / Reproductibilité)

  • Université de La Salle (Barcelone) qui inclus les formations OPSA et OPST dans leur programme MBA (ECTS). (Berne / Bienne / Fribourg)

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


La m thode investigations

14

la méthode: Investigations

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


La m thode tests

15

la méthode: Tests

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm une m trique de s curit le rav risk assessment value

16

OSSTMM: Une métrique de sécurité, le RAV(Risk Assessment Value)

  • Le calcul du RAV est composé de trois éléments

  • Operational Security (OPSEC) (Porosité de l‘asset mesuré)

    • Pour être operationel un système doit être ouvert aux communications ce qui le rend vulnérable

  • Controls (Mesures de sécurité)

    • Class A controls: 5 types de mesures qui sécurisent les interactions

    • Class B controls: 5 types de mesures qui sécurisent les procesus

  • Limitations „Vulnérabilités“

    • les classes de vulnérabilités

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Balance

17

Balance

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm opsec

18

OSSTMM: OPSEC

  • OPSEC (Dependant du vecteur d‘attaque)

    • Visibility: Les cibles visibles dans le périmètre. Exemple: Scan de serveurs qui donne leurs adresses IP

    • Access: Toutes les possibilités pour acceder les cibles: Exemple: Le serveur a deux ports ouverts.

    • Trust: Relations de confiance. Exemple: Lien sans authentification entre un Serveur de base de donne et un serveur Web.

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm controls a

19

OSSTMM: Controls A

  • INTERACTIVE (Class A)

    • Authentication: Mot de passe

    • Indemnification: Bannière „Défense d‘entrer“

    • Resilience: Malgré la perte du certificat de chiffrement le disque dur reste chiffré et les données protégées.

    • Subjugation (Renforcement): Redirection automatique des flux http vers https.

    • Continuity: Load Balancing / Redondance

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm controls b

20

OSSTMM: Controls B

  • PROCESS (Class B)

    • Non-repudiation: Traces utilisateurExemple: Log Files qui permet de déterminer l‘identité d‘un visiteur d‘un site web.

    • Confidentiality: Encryption des données et des flux

    • Privacy: Transactions au sein d‘une zone sécurisée sans chiffrement.

    • Integrity: Checksum / Algorithme

    • Alarm: IDS / Monitoring / Surveillance

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm limitations

21

OSSTMM: Limitations

  • Limitations

    • Vulnerability: Possibilité de contourner les mesures de sécurité.

    • Weakness: Vulnérabilités liées aux mesures de sécurité classe A. (Authentication, Indemnification, etc,)

    • Concern: Vulnérabilités liées aux mesures de sécurité classe B. (Confidentiality, Privacy, Alarm, etc.)

    • Exposure: Divulgation d‘informations

    • Anomaly: Operations anormalesExemple: Serveur visible par intermittence sans raisons apparentes

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Outil de calcul du rav

22

Outil de calcul du RAV

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm rav

23

OSSTMM: RAV

  • Avons nous calculé le risque avec le RAV?

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm rav1

24

OSSTMM: RAV

  • Avons nous calculé le risque avec le RAV?

  • Non

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm et gestion de risques avant application des mesures

25

OSSTMM et gestion de risquesAvant application des mesures

Impact

Téléphonie

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Matrice impact probabilit

26

Matrice Impact - Probabilité

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Risque apr s les corrections

27

Risque après les corrections

Impact

Téléphonie

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Pilotage outils de calcul automatiques du rav

28

PilotageOutils de calcul automatiques du RAV

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Certification

29

Certification

  • Par qui: ISECOM et Organisme Certificateur

  • Quoi: Produits, services, Personnes

  • Conditions:

    • Maintien du RAV > 90 %

    • Certification annuelle

    • Recertification en cas de changement de périmètre

  • Personnels certifiés:

    • Testeur (OPST)

    • Analyste (OPSA)

    • Expert (OPSE)

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Compl mentarit s osstmm iso 27001

Complémentarités OSSTMM / ISO 27001

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Iso27001 pilotage ma trise des risques

ISO27001 : Pilotage & maîtrise des risques

31

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Iso27001 contr les et mesure du niveau de s curit

ISO27001: Contrôles et mesure du niveau de sécurité

32

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


S curit du syst me d information certification

Sécurité du système d’information: certification

33

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm vs iso 27001

OSSTMM vs ISO 27001

34

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Osstmm vs iso 270011

OSSTMM: vs ISO 27001

35

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Questions pause

Questions / Pause

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Convergences

Convergences

37

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


Perspectives

Perspectives

38

© 2008 SOLUZEN

© 2008 DREAMLAB TECHNOLOGIES AG


  • Login