dans les coulisses des normes iso

Dans les coulisses des normes ISODans les coulisses des normes ISO

Bruno Guay17 octobre 2011Bruno Guay17 octobre 2011

Plan de la présentation

Introduction

Les normes, pourquoi?

Une norme, c’est quoi?

Les normes, c’est qui?

Le processus ISO, c’est quoi?

Être membre de ISO, c’est quoi?

Être rédacteur d’une norme ISO, c’est quoi?

Introduction

Nairobi, Kenya, 10 au 14 octobre 2011

11e rencontre du comité ISO/IEC JTC1/SC27

200+ délégués de 46 pays

5 délégués canadiens

Qui sont ces gens?

Pourquoi sont-ils ici?

Introduction


Les normes sont une réponse à un besoin exprimé par l’industrie pour:

Permettre l’interopérabilité

Faciliter la communication

Faciliter la démonstration

Faciliter la certification

Améliorer l’efficacité et l’efficience

Simplifier l’acceptation

Réduire la maintenance

Les normes, c’est quoi?


Une norme est:

un document qui fournit des lignes directrices sur les processus, les produits, les résultats;

réaliste;

vérifiable;

acceptable pour toutes les parties;

établie par voie de consensus entre experts du domaine;

approuvée par un organisme de normalisation reconnu.


Quelques exemples de Normes en sécurité de l’information publiées par ISO/IEC JTC1/SC27

ISO/IEC 27001: Systèmes de management de la sécurité de l'information -- Exigences

ISO/IEC 27002: Code de bonne pratique pour le management de la sécurité de l'information

ISO/IEC 27005: Gestion des risques liés à la sécurité de l'information (remplace ISO/IEC 13335)

ISO/IEC 27031: Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires

ISO/IEC 27033: Sécurité de réseau


Quelques exemples de Normes en sécurité de l’information en rédaction par ISO/IEC JTC1/SC27

ISO/IEC 27032: Lignes directrices pour la cybersécurité

ISO/IEC 27034: Sécurité des applications

ISO/IEC 24760: Cadre pour la gestion de l'identité

ISO/IEC 29100: Cadre du domaine privé (A privacy framework)

ISO/IEC 29115: Cadre d'assurance de l'authentification d'entité

ISO/IEC 29146: Cadre pour gestion d'accès

ISO/IEC 29147: Divulgation de vulnérabilité


ANSI BSI

DIN

JISC

SCC

BNQ

NIST

CEN

ETSI

COPANTUPU IEEE

W3CIETF SAE

ITU

IEC

CENELEC

ISO


ISO IECJTC 1

SC 27

WG 1 WG 2 WG 3 WG 4 WG 5


ISO/IEC JTC1/SC27 Techniques de sécurité des technologies de l'information

WG 1 Systèmes de management de la sécurité de l'information

WG 2 Cryptographie et mécanismes de sécurité

WG 3 Critères d'évaluation de la sécurité

WG 4 Contrôles et services de sécurité

WG 5 Gestion d'identité et technologies de domaine privé


ISO/IEC JTC1/SC27

46 pays votants

200+ experts

5 groupes de travail

97 normes publiées

2 rencontres/an

1 plénière/an


200 délégués

600 chapeaux!

J’ai mon opinion et mon expertise personnelle

Je représente mon pays

Je défends les intérêts de mon bailleur de fonds


Stade Document

Préliminaire Proposition de nouveau projet (NWIP)

Proposition Nouveau projet (NP)

Préparatoire Avant-projet (WD)

Comité Projet de comité (CD)

Enquête Projet de Norme internationale (DIS)

Approbation Projet final de Norme internationale (FDIS)

Publication Norme internationale (IS)

19

Experts de ce groupe de travail

Délèguent

Responsable Éditeur(s)

(60)Stade

Publication

Pays membres de ce sous-comité ISO

Amélioration

(50)Stade

Approbation

Amélioration

(40)Stade

Enquête

(30)Stade

Comité

Amélioration

(20)Stade

Préparation

Recommendent

(10)Stade

Proposition

Participent et commentent

(00)Stade

Préliminaire

Approuvent



Exemple: l’infonuagique (cloud computing)

En octobre 2010, SC27 lance l’étape préliminaire pour une norme sur la sécurité et la PRP dans l’infonuagique

L’étude d’opportunité est confiée aux groupes de travail 1, 4 et 5 (gouvernance, contrôles et PRP)

Les délégués sont invités à soumettre suggestions et matériel

On lance aussi l’invitation à des groupes externes: SC38, ISACA, NIST et ITU-T

3 responsables (rapporteurs) sont désignés pour recevoir les contributions et produire un rapport avant la prochaine rencontre


21

WG1:Yamasaki

WG5:ColinWG4:Andreas

Rapporteur

WG4 NB WG1 NB WG5 NB

ITU-TNIST

SC38ISACA

Liaisons Liaisons

Co-rapporteur Co-rapporteur

NBs NBs

Create Study report

Comments & Contribution

NBs NBs NBsNBs

Comments & Contribution Comments & Contribution


22

Liaison statement to ITU-T FG Cloud on Identity Management,

Privacy Technology, and Biometrics

ISO/IEC JTC 1/SC 27/WG 5 would like to thank ITU-T FG Cloud for their continued interest in the work

of ISO/IEC JTC 1/SC 27/WG 5.

ISO/IEC JTC 1/SC 27/WG 5 would like to inform the ITU-T Focus Group Cloud Computing about the

output of our WG 1, WG 4 and WG 5 Study Period on “Cloud computing security and privacy”. This

Study Period recommended text for a WG 5 New Work Item Proposal (NWIP) for Cloud data

protection controls. The proposed New Work Item is considered to be built based on the ISO/IEC

27000 series and is intended to establish commonly accepted data protection control objectives,

controls, and guidelines for implementing controls to meet the requirements identified by a risk

assessment. In particular, it will provide guidelines based on ISO/IEC 27001, taking also into

consideration the regulatory requirements for data protection which may be applicable within the

context of the organization's information security risk environment(s).

ISO/IEC JTC 1/SC 27/WG 5 also acknowledges receipt of the ITU-T Deliverable on "Cloud Security"

that will be studied in ITU-T with collaboration with related SDOs.


Exemple: cloud computing (suite)

En avril 2011, SC27 décide qu’il est opportun de produire une telle norme et de continuer l’étude d’opportunité sur les détails du projet

En octobre 2011, SC27 décide de proposer trois projets et désigne des éditeurs qui doivent préparer un premier avant-projet (preliminary working draft)

Les pays membres de SC27 doivent se prononcer par vote avant la prochaine rencontre

Si le vote est positif, le travail en comités commencera à la prochaine rencontre à l’étape préparatoire


24


Être invité en tant qu’expert par son organisme national

Au Canada c’est le Conseil canadien des normes

Participer aux rencontres nationales

4 rencontres par année à Ottawa (ou téléconférence)

Participer aux discussions en ligne nationales et internationales

Listes de courriels, forums, Skype

Lire et commenter des normes en rédaction


Commentaire Proposition de changement

“Such identity-based decisions may concern access to applications or other resources.”Both “concern” and “access” are vague. Also access control ultimately applies to information or data.

Replace with “Such identity-based decisions may involve allowing or denying access to information or other resources.”

Proposition “which operate on behalf of individuals or organizations” applies only to information technology components.

Remove comma after “components”


Participer aux rencontres internationales

5 jours en octobre , 7 jours en avril/mai

L’hôte est un pays membredont la candidature est approuvée

Organisée par un comité de bénévoles qui doit:

• trouver des fonds (parrains, annonceurs) et• organiser la logistique (locaux, hébergement, transport,

pauses, réseau, électricité…)

Dernière au Canada: 2003 à Québec

Le CCN nous reconnaît comme délégué officiel du Canada

• sans statut diplomatique


Participer aux rencontres internationales

Coût: 20 jours d’absence + avion, hôtel, repas

Chaque délégué doit financer son voyage• de sa poche, ou• par son employeur, ou• par une association ou groupe d’intérêt

Le Canada ne fournit que l’assurance (vie, médicale, enlèvement) en voyage

Présence accrue et influence croissante des géants de l’industrie

• pas grave pour les normes sur les vis et les boulons• préoccupant pour les normes sur la sécurité et la PRP


Les rencontres internationales sont essentielles

Ateliers de travail• On y façonne les normes en

discutant du contenu et des commentaires

Plénières de groupes de travail• On y valide les recommandations

des groupes de travail• On y prend les décisions pour le

contenu des normes

Plénières de SC27• On y approuve les recommandations des groupes de travail• On y prend les décisions pour la gestion du cycle de vie des

normes


Les rencontres internationales sont essentielles

Rencontres de délégation• On y décide la stratégie nationale

Réseautage d’experts• On y retrouve un bagage

d’expertise impressionnant

Politique, conciliabules, magouilles• On prend plus de décisions dans

les corridors que dans les auditoriums

Un évènement social officiel• Qui détermine la réputation du pays hôte!• (et parfois, celle des délégués..)


Défis et avantages


Défis

Absences prolongées – il faut gérer le travail qui s’accumule, les perceptions

Inconfort – ex: 36 heures de vol, 12 heures de décalage

Problèmes logistiques – réservations, électricité, internet, volcans, tsunamis

Enjeux culturels – langue, coutumes, lois différentes

C’est un crime de photographier un soldat au Kenya

Risques pour la santé – eau, nourriture, maladies tropicales

Milieux hostiles – instabilité politique, économique et sociale


Avantages

Réseautage avec des experts internationaux

Formation – vision élargie, expérience variéeÊtre sénior ne veut pas dire faire la même chose pendant 20 ans

Bonification du CV personnel et d’entreprise

Liens d’amitié avec des gens de provenances diverses

Voyages – occasion de sortir des sentiers battus

Économie – bonne occasion pour des vacances éloignées!

Pour la firme, c’est l’occasion d’être un acteur plutôt qu’un spectateur

démontrer qu’elle est prête à investir dans la croissance et la maturité du domaine


Rédiger le document

Le déposer avant l’échéance

Recevoir les commentaires

Traiter les commentaires

Présider les ateliers de travail

Intégrer les commentaires dans une nouvelle version du document

Recommencer pour chaque itération tous les 6 mois

200 à 300 heures par année

En conclusion

Les normes élaborées par le SC27 sont d’une importance croissante pour la sécurité de l’information

Elles sont de plus en plus reconnues dans l’industrie

Ces normes sont le résultat d’un consensus entre experts internationaux

Ces experts effectuent un travail énorme en coulisses

Pour le bien de tous, davantage de partenaires doivent s’impliquer dans le processus