Cartographie de l’ISO 27001 au Nist CSF

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ISO 27005 est une norme internationale qui répond aux exigences de la norme ISO 27001. Dans cette session, il faut voir de l’utilisation de cette norme par le NIST CSF et le National Institute of Standards and Technology. Dans ce blog, il y a lieu de partager avec vous ce qui prescrit la cyber-réponse et plus encore. Ce blog couvre un large éventail de sujets, notamment la cybersécurité, la protection des données, la gestion des cyber-incidents, la sécurité et la gestion de la sécurité des données. [Sources : 3,7,0]

En termes simples, la norme ISO 27001 définit les exigences d’audit auxquelles une organisation doit répondre, et l’annexe A contient tous les contrôles de sécurité requis pour établir un système de gestion de la sécurité de l’information (SGSI). Cependant, la norme ISO 27002 fournit les contrôles spécifiques nécessaires à la mise en œuvre effective de la norme ISO 27001, et comprend des lignes directrices pour la mise en œuvre et la maintenance d’un SMSI, ainsi que des lignes directrices auxquelles les individus doivent adhérer pour le soutenir. Une section entière de l’annexe B est consacrée à la gestion des défaillances, y compris la sécurité des données, la protection des données, la réponse aux cyberincidents, la sécurité et la gestion des données. [Sources : 3,2,4]

En définitive, le cadre de sécurité utilisé dans les normes ISO 27001 et NIST 800-171 et le SGSI ne répondent pas directement aux exigences du Nist 800-171. La qualité de la protection et de la gestion des données d’un SMSI ainsi que le degré de gestion des erreurs sont comparés. [Sources : 2,8]

Le NIST CSF est un sous-ensemble du NIST 800 – 53 et le RGPD et l’ISO 27001 constituent la base de la fonctionnalité du CCF. Le SCFbe est un surensemble qui couvre tous les contrôles du Nist 800-171 et du NIS-800-53, et pas seulement ceux de la norme ISO-27002. [Sources : 2,2,5]

Plusieurs organisations ont proactivement mis en correspondance leurs contrôles avec les contrôles NIST 800-53, ISO 27001 et NIS-800-53. Pour les petites organisations qui n’ont pas à répondre aux exigences plus strictes des normes ISO-27002 ou Nist 800-43, il faut adapté la fonctionnalité CCF de SCFbe aux exigences spécifiques de chaque organisation et à ses contrôles spécifiques, tels que le RGPD et le CSF. [Sources : 5,5]

Ces contrôles sont mis en correspondance avec le NIST CSF et constituent un moyen pratique de déterminer le niveau de référence pour chaque organisation. Ces contrôles ont été attribués à NIS-800-53, ISO 27001 et NISM 800-43. Ce contrôle met en correspondance ses contrôles de la ToS et fournit un moyen pratique d’identifier le niveau de référence de l’organisation – organisations au niveau. [Sources : 8,8]

Pour embrouiller un peu la situation, il est important de noter que les entreprises ne peuvent pas être certifiées selon la norme ISO 27002, mais seulement selon la norme ISO 27001. L’ISO est un peu plus confuse, car en 2007 il y a eu un rebranding pour garder les documents de sécurité informatique de l’ISO dans les catalogues de documentation de l’ISO 27000 (l’ISO 17799 a été renommée et est devenue l’ISO-27002). [Sources : 2,2]

S’il est mené correctement, le processus de certification confirme l’efficacité de la méthode d’évaluation des risques utilisée, qu’il s’agisse de l’ISO 27001, de la sécurité de l’information ou de la gestion des risques. Mais il faut plus qu’un ensemble de lignes directrices et de normes, il ajoute un tout nouveau niveau de gestion et d’évaluation des risques pour l’organisation informatique. [Sources : 9,2,8]

La norme ISO 27001 du NIST implique l’introduction de contrôles de sécurité pour les informations, mais la portée varie. Les contrôles CIS complètent cela en se concentrant sur un certain nombre de domaines différents, dont certains ont des objectifs et des portées très, très différents, par exemple. ISO 29001 et ISO 28001, qui impliquent toutes deux la mise en place de contrôles de sécurité des informations. Le champ d’application de la norme ISO 2701001 dans le Nist varie, et les contrôles de la SCI qu’elle contient varient. [Sources : 8,1]

Le mappage pour Office 365 nécessite une combinaison unique de licences et de directives pour répondre aux exigences de la norme ISO 2701001 et du NIST CSF pour chacun des trois types de contrôles CIS. [Sources : 5]

Puisqu’il existe clairement différents niveaux d’attentes, il est important de comprendre ce qui est requis pour répondre à chacun des trois différents types de contrôles CIS et à leurs exigences. Les cadres de sécurité les plus courants sont l’ISO 27001, le NIST 800-53 et le CSF du National Institute of Standards and Technology (Nist). Cela en fait un bon choix pour les petites entreprises qui ont besoin d’une approche plus souple de la gestion de la sécurité, comme les PME, où les normes ISO-27002 et NISM-800-53 sont les deux seules qui répondent chacune à une exigence de conformité unique. Il s’agit pour les experts en cybersécurité d’identifier leurs meilleures pratiques préférées – les cadres proviennent à la fois de NIST et d’ISO, mais la clé pour faire correspondre les meilleures pratiques pour Office 365 et d’autres applications en nuage – est le fait qu’un large éventail de cadres de meilleures pratiques est disponible pour chaque type de sécurité. [Sources : 2] (en anglais)

Sources: 

  • [0] : https://www.cuelogic.com/blog/cybersecurity-frameworks
  • [1] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs-nist-cybersecurity-framework
  • [2] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
  • [3] : https://www.cm-alliance.com/cybersecurity-blog/nist-gdpr-pci-dss-iso-27001-csf-fca-on-cyber-incident-response
  • [4] : https://grcmusings.com/a-beginners-guide-to-information-security-frameworks/
  • [5] : http://zuipvakanties.nl/a1-strategies-swing/nist-csf-controls-mapping.html
  • [6] : https://hyperproof.io/resource/nist-sp-800-53-compliance-guide/
  • [7] : https://www.linkedin.com/pulse/pecb-webinar-isoiec-27701-vs-27001-nist-essential-things-geelen-
  • [8] : http://goldlab.ro/forks-hongkongpools-flyback/cis-top-20-vs-nist-csf.html
  • [9] : https://www.pivotpointsecurity.com/blog/iso-27001-nist-cybersecurity-framework-compliance/