Histoire d’une révision standard internationale d’une perspective canadienne : ISO/IEC 17799:2005

Ce document a pour objectif d’expliquer le processus de révision des normes internationales à des fins éducatives. Ce document ne présente aucune information sur le vote ou les résultats du vote autre que ce qui peut être trouvé sur l’Internet. Tous les opinions ou avis exprimés ci-dessous sont la responsabilité de l’auteur. À aucun moment elles devraient être interprétées comme l’opinion de toute organisation dans laquelle l’auteurs participe.

Introduction

ISO/IEC 17799 est un recueil de pratiques. En tant que telle, elle offre des pratiques exemplaires, des directives et des conseils pour la gestion de sécurité de l’information. Cette norme cherche à permettre aux organisations un niveau élevé de sécurité par la mise en oeuvre et l’exploitation des processus de sécurité de l’information dans une organisation. Le document qui décrit la norme a subi une révision complète qui a commencé en avril 2001 et a fini en juin 2005 avec la publication de la version 2005. Les rédacteurs de cette révision sont Dr. Oliver Weissman d’Allemagne, et Dr. Angelika Plate du Royaume-Uni, deux experts internationaux en matière de sécurité informatique.

Cet article présente un examen historique de cette révision avec une perspective canadienne. Ceci a été fait pour des buts éducatifs, comme un bon exemple du processus d’entretien de normes avec une norme internationale bien connue.

Qu’est-ce que ISO 17799

ISO/IEC 17799:2000 adresse de nombreux sujets en termes de politiques et pratiques en matière de bien général. La norme est utile comme point de départ pour l’organisation. La norme indique d`s le départ que les conseils et contrôles qu’elle contient peuvent ne pas être applicables dans toutes les circonstances et que des contrôles additionnels peuvent être requis en fonction du contexte spécifique d’une organisation. La norme ne donne les détails définitifs ou la façon dont un processus, un équipement ou contrôle précis doit être mis en oeuvre. Elle adresse les sujets suivants :

  • Établissement de la politique de sécurité,
  • Infrastructure de sécurité,
  • Classification et commande de capitaux,
  • Sécurité de personnel,
  • Sécurité physique et environnementale,
  • Gestion de communications et d’opérations,
  • Contrôle d’accès,
  • Développement et entretien de systèmes,
  • Gestion de continuité d’affaires, et
  • Conformité.

ISO/IEC 17799 ne fournit le matériel définitif ou spécifique sur aucune matière de sécurité. Il fournit des conseils généraux sur la grande variété de matières énumérées ci-dessus, mais typiquement n’entre pas dans la profondeur. ISO/IEC 17799 ne fournit pas des caractéristiques détaillées de conformité nécessaires pour un programme d’organisation de gestion de sécurité de l’information. Il ne fournit pas assez d’informations pour soutenir dans la revue d’organisation de sécurité de l’information de profondeur, ou pour soutenir un programme de certification comme le programme de processus de certification de qualité d’ISO/IEC 9000. Convenablement révisé, ISO/IEC 17799 pourrait être utile comme vue d’ensemble de niveau élevé des matières de sécurité de l’information qui pourraient aider la haute direction à comprendre les questions fondamentales impliquées dans chacun des secteurs de matière. ISO/IEC 17799 devrait être augmenté par des conseils plus techniques afin de pour être employé efficacement pour une revue de sécurité.

Histoire

L’origine d’ISO/IEC 17799 se trouve au ministère du commerce du Royaume-Uni (Department of Trade and Industry’s (DTI)) et au centre de sécurité d’ordinateur de gestion et de l’industrie (Commercial Computer Security Centre (CCSC)). Fondé en mai 1987, le CCSC a eu deux mandats. Le premier fut d’aider des fournisseurs de produits de sécurité en établissant un ensemble de critères internationalement identifiés d’évaluation de sécurité et d’un arrangement associé d’évaluation et de certification. Il en a résulté l’ITSEC et l’établissement du UK ITSEC. Le second mandat fut d’aider des utilisateurs en produisant un code de bonne pratiques de sécurité et eu comme conséquence un recueil qui a été édité en 1989. Il a été développé par le centre de calcul national (NCC), et plus tard par un consortium d’utilisateurs, principalement tiré de l’industrie britannique, pour s’assurer que le code de bonnes pratiques était signicatif et utile du point de vue d’un utilisateur. Le résultat final a été édité la première fois en tant que document British Standard’s guidance document PD 0003: A code of practice for information security management, et après une période davantage de de consultation publique est devenu la norme britannique BS7799:1995.

Une deuxième pièce, BS7799-2:1998, a été ajoutée en février 1998. Une période étendue de consultation et de révision publique a commencé en novembre 1997. En avril 1999 une révision importante de la norme a été publié. Des programmes d’accréditation et de certification ont été également lancés.

La partie 1 de la norme a été proposée comme une norme de l’ISO/IEC par l’intermédiaire du mécanisme accéléré « Fastrack » en octobre 1999 et publié avec des modifications mineures comme ISO/IEC 17799:2000 le 1er décembre 2000. BS 7799- 2:2002 la deuxième partie du BS 7799, qui couvre un ISMS dans une approche similaire à ISO/IEC 9000, a été officiellement lancé le 5 septembre 2002. Cette partie est devenue la norme ISO 27001:2005 en avril 2005 suivant un processus accéléré.

Qui travaille sur ISO 17799

L’ISO (International Standardization Organization) et la CEI (Commission Electrotechnique Internationale) forment le système de normalisation mondial. Les organismes nationaux qui sont des membres d’ISO ou de CEI participent au développement des normes internationales par les comités techniques établis par l’organisation respective pour traiter des champs particuliers d’activité technique. Les comités techniques d’ISO et de CEI collaborent dans des champs d’intérêt mutuel. D’autres organismes internationaux, gouvernements et organismes non gouvernemental (ONG) participent également aux travaux en liaison avec l’ISO et le CEI. Dans le domaine de la technologie de l’information, l’ISO et le CEI ont établi un Comité technique commun 1 (ISO/IEC JTC 1) en 1987. En 1988, le Sous Comité 27 (SC27) a été créée comme un sous-comité de ce comité technique commun (JTC1). Son titre est « techniques de sécurité ». Son domaine la normalisation des méthodes génériques et des techniques pour la sécurité de l’information.

Le JTC1-SC27 est le sous comité auquel l’ISO a assigné la norme ISO/IEC 17799. Son Président est Walter Fumy, d’Allemagne un expert reconnu et publié dans le domaine de la sécurité de l’information. Le secrétariat pour ce comité est assuré par le groupe allemand de normalisation DIN.

Les domaines d’activités du SC27 incluent :

  • Identification des conditions génériques pour les services de sécurité de système ;
  • Développement des techniques et des mécanismes de sécurité;
  • Développement des directives de sécurité; et
  • Développement de documentation et de normes de gestion.

Une liste des normes développées par SC27 dans le passé est disponible sur internet.

C’est dans ce sous comité, comme dans tous les comités ISO que des experts travaillent dans des groupes de travail axés sur des thèmes particuliers. Il a cinq groupes de travail (WG1 à WG5). ISO 17799 est dans le groupe de travail 1 (WG1). Le responsable (appelé Convenor) du groupe de travail 1 est Ted Humpreys du Royaume-Uni. M. Humpreys est un expert de renommée internationale en matière de sécurité de l’information. Il est également président du groupe d’utilisateurs international d’ISMS et a été associé à ISO/IEC 17799 dès ses débuts.

Les pays membres du ISO/IEC JTC1 SC27 via des organismes nationaux (National Bodies ou NB) participent aux activités en nommant des experts. Au Canada, le comité national pour JTC1- SC27 est le comité Consultatif canadien de la sécurité de technologie de l’information (CCC-STI), formé à l’automne 1988, à Toronto. Tout les membres cu CCC-STI sont des bénévoles, bien que plusieurs sont rénumérés par les employeurs lors de leur participation et leurs frais pour leurs déplacements sont défrayée en tout ou en partie par leur employeur.

La dernière ronde de révision de la norme, d’avril 2001 à avril 2005

Le début du processus de révisions, de la perspective canadienne, était la production, par des membres de CCC-STI d’un rapport de défectuosité en 2000.

Oslo, Norvège

Lors de la réunion du groupe de travail 1 d’ISO/IEC JTC1 SC27, tenue à Oslo, en Norvège, du 23 au 27 avril 2001, il a été accepté, par un vote majoritaire des participants, de débuter la révision d’ISO/IEC 17799. Le responsable du groupe de travail 1, M. Ted Humpryes, a noté que c’était conforme aux résolutions de la réunion de Tokyo (16 au 25 octobre 2000) et avec le plan d’affaires 2001 du SC27, qui a déclaré que la révision de 17799 serait accordée la priorité la plus élevée. Nous sommes ici à l’étape 3 : Étape du Comité. Les discussions sur ISO/IEC 17799 ont débuté le matin du 25 avril 2001. À ce stade la version en cours du document ISO/IEC 17799:2000 devient le point de départ pour les discussions par les experts internationaux représentant les différents comités nationaux en sessions plénières.

Il fut accepté d’envoyer un appel à tout les comités nationaux pour des contributions au processus de révision et des mises en nomination pour identifier un rédacteur de projet (Project Editor). Le 27 Avril 2001, lors de la réunion plénière finale du groupe de travail 1, deux résolutions ont été votées. La première résolution fut de mettre à jour ISO/IEC 17799 et, en même temps, étudier et rendre compte des mécanismes pour l’accréditation d’organisations contre la norme ISO/IEC 17799. La seconde résolution porta sur la nomination d’un rédacteur temporaire de projet pour commencer la révision immédiatement. Dr. Oliver Weissman est ainsi devenu rédacteur de projet d’ISO/IEC 17799 avec un mandat temporaire.

Séoul, République de la Corée

Du 15 au 24 octobre 2001 une réunion du groupe de travail 1 d’ISO/IEC JTC1 SC27 a été tenue à Séoul, en République de Corée. Lors de cette réunion, sous la présidence du rédacteur temporaire, Dr. Weissman, deux jours ont été consacrés à des discussion éditoriales sur des commentaires et des contributions reçus de comités nationaux. Selon les participants, de bon progrès ont été accompli lors de cette réunion d’édition. Dix pays y furent représenté.

Deux rédacteurs de projet (PE) pour ISO/IEC 17799 furent désignés, Dr. Oliver Weissman (Allemagne) et Dr. Angelika Plate (Royaume-Uni). Suite à la réunion, les rédacteurs ont préparé ce qui est devenu la 1ère ébauche de comité de la révision de la norme ISO/IEC 17799.

Berlin

Une réunion de groupe de travail 1 a été tenue à Berlin, Allemagne du 22 au 26 avril 2002. La réunion d’édition pour ISO/IEC 17799 a eu lieu sur trois jours. Plus de 30 délégués ont participé. Les rédacteurs avaient reçu plus de 750 commentaires sur ISO/IEC 17799, que les rédacteurs avaient organisée en catégories, telles que technique, structurel et éditorial. Il y eu, naturellement, des discussion parmi les experts présents sur les commentaires. Le groupe d’édition a travaillé ensemble pour accomplir beaucoup de progrès et atteindre un consensus. En conséquence, une majorité des commentaires furent adressé.

Comme point d’intérêt, deux votes informels ont été tenus:

  • sur l’utilisation d’un style volontaire (should) par opposition à un style obligatoire (shall), et
  • sur la volonté de ne pas introduire la certification dans ISO/IEC 17799, ni produire une norme séparée de certification.

Octobre 2002

Troublé par l’intérêt croissant à ISO/IEC 17799 au Canada, en octobre 2002, le CCC-STI a produit un document (en anglais seulement) intitulé : RAPPORT LIÉ À L’UTILISATION D’ISO/IEC 17799 AU CANADA

‘International Standard 17799: 2000 Code of practice for information security management was reviewed by the Canadian Advisory Committee on Information Technology Security (CAC- ITS), the national expert body, on behalf of the Standards Council of Canada (SCC), during the National Body review period in 2000. The CAC- ITS, representing SCC, is the Canadian national representative to ISO/IEC on IT security techniques. Canada voted disapproval of the standard as an International Standard (IS), at the international level, and found that the standard was unacceptable for use in Canada as a Canadian National Standard.

The rationale for disapproval rested on serious flaws within the draft IS. These ranged from conflict with Canadian legislation and the Canadian socio- cultural environment, to incongruity and internal inconsistency within the standard. Canada and several other Nations voted against the standard, with significant comments. There was, however, no satisfactory outcome, and the draft standard was approved by a minimum number of approving votes.

Immediately following approval of the standard, Canada submitted a number of Defect Reports on the IS, an action that was supported by a majority of members of the pertinent ISO/IEC committee, Sub- committee 27 IT Security techniques. As a result, the standard was immediately brought into committee for revision. Canadian experts are extensively involved in the revision process, with the objective of improving the standard and thereby ensuring that the revised version will be acceptable for use in Canada. Until the review is completed, and a revised standard approved at the international level, IS 17799 remains unacceptable for use in Canada.’

Varsovie, Pologne

Une autre réunion de groupe de travail d’ISO/IEC JTC1 SC27 a été tenue octobre 7 15, 2002, à Varsovie, Pologne. Lors de cette réunion ISO/IEC 17799 était encore à l’ordre du jour. En raison du volume de commentaires, plus de 600, le comité d’édition put seulement adresser un tiers d’entre eux. Les participants ont accepté de tenir une réunion ad hoc pour essayer d’obtenir la résolution de plus de commentaires. Malheureusement, un trop grand nombre des représentants de comités nationaux ont indiqué qu’ils ne pourraient pas voyager à une réunion ad hoc (n’importe où elle pourrait s’être tenu), et les participants ont déterminé qu’il était probable qu’il n’y ait aucun quorum, rendant nulle les résultats de la réunion. On l’a décidé, donc, de tenir une réunion ad hoc de trois jours, juste avant la prochaine réunion, prévue pour Québec en avril 2003.

Ville du Québec

Les 5 et 6 mai 2003, une réunion SC27 a été tenu dans la ville du Québec. Suivant cette réunion, la version résultante d’ISO/IEC 17799 a été enregistrée comme ébauche de comité. Après cet enregistrement l’ébauche de norme a été distribuée pour un vote de 3 mois finissant en septembre 2003. Elle fut approuvée.

Paris 2003

Sur le 20ème au le 24ème octobre 2003, à Paris, France, une réunion d’ISO/IEC JTC1 SC27 a été tenue. 32 pays membres de catégorie P (Participants) du SC27 furent représenté. Le groupe de travail 1 a requis deux jours et demi pour mettre à jour la 1ère ébauche du Comité (CD) d’ISO/IEC 17799. Plus de 212 pages de commentaires, dont 480 commentaires techniques, avaient été reçus. À ce point, le document, un standard international existant est en processus formel de mise à jour, c’est l’étape 3 : Étape du Comité du processus de norme de l’ISO, durant laquelle le document doit passer par un processus complet de revue.

Les résultats de la réunion étaient un plan de travail pour la résolution des commentaires restants, qui a été considéré à une certaine longueur à la session plénière WG1 sur le Th octobre de 24 et après une certaine révision, basée sur la discussion plénière, était approuvé et a été publié. Il fut convenu que :

Les rédacteurs développeraient une disposition proposée de tous les commentaires restants et circuleraient ce document aux participants. Basé sur le feedback des participants les rédacteurs prépareraient alors une nouvelle ébauche complète contenant les résolutions proposées qui serait redistribué aux participants. Ce fut accompli en janvier 2004.

Si c’est insuffisant, c’est-à-dire s’il est impossible d’atteindre un consensus sur la résolution des commentaires, alors une réunion Ad hoc devra être tenue, en février 2004, à Berlin.

Suivant cette réunion, la version en cours d’ISO/IEC 17799 a été enregistrée comme seconde ébauche de comité et soumis à une période de vote de 3 mois qui se termina par l’approbation le 19 mai 2004.

Singapour 2004

Sur le 19ème au le 23ème avril 2004, une réunion d’ISO/IEC JTC1 SC27 a été tenue à Singapour. Lors de cette réunion où le présent 50 délègue représenter 22 membres de P et un O les pays membres.

Dix pays envoient des commentaires concernant ISO/IEC 17799 avant cette réunion. 694 commentaires au total où fait, 303 techniques et éditorial 391. La plupart des commentaires techniques où adresses lors de la réunion. À la fin on l’a décidé d’avoir une réunion de groupe hoc d’annonce de trois jours les 7ème à le 9 juin 2004, à Berlin. Ceci afin de finir la révision des commentaires et adressée les nouveaux commentaires reçus. Les organismes nationaux ont eu jusqu’à ce que le 19 mai pour envoyer à leur des commentaires sur la dernière version.

Après la réunion, la version d’ISO/IEC 17799 a été soumise à une période de vote de quatre mois FCD qui pris fin en octobre, 2004. Elle fut approuvée.

Berlin 2004

Du 6 au 9 juin 2004, une réunion ad hoc d’ISO/IEC JTC1 SC27 WG1 portant sur ISO/IEC 17799 a eu lieu à Berlin, en Allemagne. À cette réunion participèrent de délégués de 17 pays. Cette réunion ad hoc a été tenue pour aborder des questions non résolues lors des rencontres précédentes avec ISO/IEC 17799 pour s’assurer qu’elle progresse dans les délais impartis. Ceci a été considéré nécessaire lors de la réunion de Singapour, à la fin de laquelle 315 commentaires techniques ou de commentaires demeuraient non résolus. Suite à la rencontre de Berlin, les rédacteurs ont produit en juin 2004:

  • un texte révisé final (FCD);
  • une dispositions des commentaires.

À la fin de la rencontre un vote fut tenu pour évaluer s’il y avait suffisamment de soutien au progrès du document de l’étape de projet définitif du Comité (FCD) à l’étape 4, le projet de norme internationale (DIS). Le résultat des participants qui avaient fourni des contributions et de ceux qui ont donné des procurations était l’approbation unanime (100%). Le document révisé, les dispositions des commentaires et le vote résultent où envoyé au secrétariat SC27 pour action et traitement dans SC27.

Le Brésil 2004

Du 18 au 22 octobre 2004, une réunion d’ISO/IEC JTC1 SC27 a été tenue à Fortaleza, au Brésil. Pour cette réunion 270 commentaires avaient été reçus et où adressés. Suivant cela, le document a été approuvé par acclamation (aucune désapprobation ou abstention) pour progresser à l’étape 5 : Projet de norme internationale Final (FDIS).

En avril 2005, lors de la réunion tenue à Vienne en Autriche, ISO/IEC 17799 a atteint l’étape 6 : Publication. Elle a été publiée officiellement comme norme internationale le 10 juin 2005. En 2007 elle a changé de numérotation pour devenir la norme ISO 27002, permettant de la remettre en relation avec la norme ISO 27001.

copyright 2007 Marc-André Léger, révisé le 06 mars 2007

References
INTERNATIONAL STANDARD ISO/IEC 17799, Information technology — Security techniques — Code of practice for information security management Technologies de l’information — Techniques de sécurité — Code de pratique pour la gestion de sécurité d’information, First edition, 2000
INTERNATIONAL STANDARD ISO/IEC 17799, Information technology — Security techniques — Code of practice for information security management Technologies de l’information — Techniques de sécurité — Code de pratique pour la gestion de sécurité d’information, Second edition, 2005-06-15
eReferences
http://www.iso.org/iso/en/commcentre/pressreleases/2005/Ref963.html
http://17799-news.the-hamster.com/breaking-news-1.htm
http://www.bsi-global.com/Seminars/17799/index.xalter
http://www.callio.com/