Cartographie de l’ISO 27001 et du Nist

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

ISO / IEC 27001 est un cadre de sécurité de l’information publié par l’Organisation internationale de normalisation de la sécurité de l’information (ISO) et le National Institute of Standards and Technology (NIST) en tant que cadre commun. Cette norme fait partie de la norme ISO / IEC pour la gestion des systèmes d’information. Dans cette session, il y aura des aspects techniques de l’ISO 27002 et de la cartographie du NIST, ainsi que de l’application de cette norme à la sécurité des données. Sources : 14,5,10]

En termes simples, la norme ISO 27001 définit les exigences d’audit auxquelles une organisation doit répondre, et l’annexe A contient tous les contrôles de sécurité requis pour établir un système de gestion de la sécurité de l’information (SGSI). La sécurité des données fait l’objet d’une section entière de la norme ISO / CEI (Annexe B), couvrant tout, de la gestion des incidents à la gestion des données et au contrôle d’accès aux données (CAD). Cependant, la norme ISO 27002 fournit des contrôles spécifiques nécessaires à la mise en œuvre effective de la norme ISO 26001, ainsi que des directives spécifiques pour la mise en œuvre et la maintenance d’un SMSI que les individus doivent respecter afin de soutenir la norme ISO 28001. L’ISO 27002 contient des règles spécifiques pour le contrôle spécifique nécessaire à la mise en œuvre effective de l’ISO 29001 et de la cartographie d’imbrication. Sources : 0,1,11]

L’essentiel est que de nombreux systèmes de sécurité utilisés ne répondent pas directement aux exigences du NIST 800 – 171. Cela signifie que seul le cadre Nist 800.53 répond à toutes les exigences de la norme ISO 27001 en matière de gestion de la sécurité des données et de contrôle d’accès, et que seul le cadre de cybersécurité du NIST est inadéquat pour la couverture. L’attribution du NISM CSF permet à l’équipe de gestion de déterminer le champ d’application en l’utilisant, et l’équipe de gestion peut ensuite se concentrer sur la mise en œuvre des contrôles nécessaires. Le processus est facilité par le document de cartographie matricielle ci-joint, fourni par votre organisation. [Sources : 1,1,11,13]

Les exigences GDPR de l’entreprise utilisent spécifiquement le NIST SP 800.53, qui contient plusieurs recommandations pour répondre à plusieurs des exigences de l’article 32 GDPR. La mise en œuvre complète de la norme ISO 27001 montre qu’une entreprise a identifié ses risques de sécurité, a établi des systèmes contrôlés pour limiter les dommages et dispose d’un système de gestion de la sécurité de l’information (SGSI) bien étayé. Par exemple, la norme Nist 800-53 exige que les entrepreneurs du gouvernement protègent et contrôlent leurs systèmes en combinant l’attribution de CSF NISM et les systèmes de contrôle d’accès. [Sources : 12,1,10]

Le NIST a également déployé des efforts considérables pour élaborer les principales cybernormes mondiales telles que l’ISO 27001 et le NIST SP 800. Le NIST a également déployé des efforts considérables pour concevoir et mettre en œuvre un large éventail de systèmes de gestion de la cybersécurité, et a déployé des efforts énormes pour les développer et les mettre en œuvre. [Sources : 8,8]

Pour rendre la norme ISO 27002 plus visible, elle est essentiellement conforme à la norme du NIST SP 800, mais avec un nom légèrement différent. La différence entre les termes « ISO 27001 » et « NISTSP 800 » est intéressante. « En termes de nombre de pages. [Sources : 4,1]

Tenable a ajouté des références croisées aux audits Nessus pour de nombreuses normes différentes, allant des normes spécifiques à l’industrie telles que la CIP du NERC aux normes spécifiques à l’industrie telles que les normes de la C IP « NERC ». CSF mappe ces sous-catégories comme une référence informative aux normes existantes, mais pas à la norme elle-même. Sources : 3,9]

Le cadre du NIST pour les exigences et la conformité au GDPR est conforme à la norme ISO 27001 et a été récemment mis à jour pour mieux répondre aux exigences de protection des données des consommateurs. La déclaration d’exigences est attribuée aux contrôles correspondants de la norme ISO 28001 et aux déclarations d’exigences du « NIST 800 – 53 », qui contiennent des exigences en matière de confidentialité, de protection des données, de sécurité, de protection des données et d’intégrité des données. Sources : 12,1,7]

Le tableau ci-dessous permet d’identifier où les différents produits ComplianceForge se chevauchent avec leurs exigences respectives ISO 27001 et NIST. Les références croisées sont fournies par les termes PCI et ISO 28001, PCI – DSS, PCI-3.0 et PCI et les exigences des normes PCI. Sources : 9,6,1]

Le champ d’application de l’ISO 27001 et du NIST varie, mais tous deux impliquent l’introduction de contrôles de sécurité pour les informations. Bien que le cadre de sécurité le plus courant soit la norme PCI – DSS et PCI-3.0, la clé pour adapter les exigences de ComplianceForge et d’autres outils de conformité tels que PCI est d’appliquer les meilleures pratiques et les meilleures pratiques qui sont conformes aux normes de l’Organisation internationale de normalisation (ISO) et du National Institute of Standards and Technology (Nist). La première étape consistant à demander aux experts en cybersécurité d’identifier leur cadre de meilleures pratiques préféré provenait à la fois du NISM et de l’ISO. Sources : 2,1,1]

L’ISO est un peu plus confuse, car en 2007 il y a eu un rebranding, où les documents de sécurité informatique de l’ISO ont été stockés dans les catalogues de documentation ISO 27000 et l’ISO 17799 a été renommée et rebaptisée ISO 27002. Pour éviter toute confusion, l’ISO 27002 est le document qui soutient l’utilisation des normes PCI – DSS et PCI-3.0 pour le contrôle de la sécurité de l’information. Sources : 1,1]

La conformité au NIST 800.53 est une exigence réglementaire qui comprend tous les processus et contrôles requis pour les entités gouvernementales qui y sont associées. L’inconvénient du Nist CSF est sa brièveté, ce qui le rend moins utile au grand public que les normes de sécurité informatique ISO. Sources : 1,11]

Sources: 

  • [0] : https://www.cm-alliance.com/cybersecurity-blog/nist-gdpr-pci-dss-iso-27001-csf-fca-on-cyber-incident-response
  • 1] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
  • 2] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs-nist-cybersecurity-framework
  • [3] : https://insights.sei.cmu.edu/blog/mapping-cyber-hygiene-to-the-nist-cybersecurity-framework/
  • [4] : https://hyperproof.io/resource/nist-sp-800-53-compliance-guide/
  • [5] : https://darkcubed.com/cybersecurity-frameworks
  • [6] : https://www.cipherspace.com/compliance/
  • [7] : https://www.maytech.net/features/nist-800-171-compliance
  • [9] : https://www.tenable.com/blog/security-frameworks-based-auditing-with-nessus
  • [10] : https://satalyst.com/a-guide-to-information-standards/
  • [11] : https://grcmusings.com/a-beginners-guide-to-information-security-frameworks/
  • [12] : https://www.riskmanagementstudio.com/how-to-use-nist-frameworks-for-gdpr-requirements/
  • [13] : https://www.standardfusion.com/blog/mapping-pci-dss-to-nist-csf/
  • [14] : https://www.linkedin.com/pulse/pecb-webinar-isoiec-27701-vs-27001-nist-essential-things-geelen-