1、Technologies de linformation Techniques de scurit Prconisations concernant la garantie daptitude lemploi et dadquation des mthodes dinvestigation sur incident Information technology Security techniques Guidance on assuring suitability and adequacy of incident investigative method NORME INTERNATIONAL
2、E ISO/IEC 27041 Premire dition 2015-06-15 Numro de rfrence ISO/IEC 27041:2015(F) ISO/IEC 2015 DOCUMENT PROTG PAR COPYRIGHT ISO/IEC 2015, Publi en Suisse Droits de reproduction rservs. Sauf indication contraire, aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque forme q
3、ue ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie, laffichage sur linternet ou sur un Intranet, sans autorisation crite pralable. Les demandes dautorisation peuvent tre adresses lISO ladresse ci-aprs ou au comit membre de lISO dans le pays du demandeur. ISO copyright of
4、fice Ch. de Blandonnet 8 CP 401 CH-1214 Vernier, Geneva, Switzerland Tel. +41 22 749 01 11 Fax +41 22 749 09 47 copyrightiso.org www.iso.orgISO/IEC 27041:2015(F)ii ISO/IEC 2015 Tous droits rservs ISO/IEC 27041:2015(F)Avant-propos iv Introduction v 1 Domaine dapplication . 1 2 Rfrences normatives . 1
5、 3 T ermes et dfinitions . 1 4 Symboles et abrviations . 4 5 Dveloppement de mthode et garantie dadquation 4 5.1 Vue densemble . 4 5.2 Principes gnraux 4 5.3 Dveloppement gnral et modle de dploiement . 5 5.4 Phases de garantie dadquation . 5 5.5 Collecte et analyse des exigences 6 5.5.1 Principes gn
6、raux des exigences 6 5.5.2 Exigences fonctionnelles . 7 5.5.3 Vrification des exigences 7 5.6 Conception du processus . 7 5.6.1 Vue densemble . 7 5.6.2 Slection des outils 7 5.6.3 Incertitude et valuation du risque . 8 5.7 Mise en uvre du processus . 8 5.7.1 Vue densemble . 8 5.7.2 Choix final de lo
7、util Prconisations concernant le dploiement . 9 5.8 Vrification du processus . 9 5.8.1 Principes gnraux de la vrification . 9 5.8.2 Vrification des processus . 9 5.8.3 Vrification des outils 9 5.9 Validation du processus .10 5.9.1 Principes gnraux de la validation .10 5.9.2 Validation complte . .10
8、5.9.3 Validation standard 10 5.9.4 Processus entirement valids .10 5.9.5 Validation non conforme 11 5.10 Confirmation 11 5.11 Dploiement .11 5.11.1 Choix final de loutil 11 5.12 tude et maintenance 11 6 Modles de garantie dadquation12 6.1 Vue densemble 12 6.2 Garantie dadquation assure en interne .1
9、2 6.3 Garantie dadquation assure en externe 12 6.4 Garantie dadquation mixte 12 7 Production de preuve pour la garantie dadquation .12 7.1 Vue densemble 12 7.2 Prparation antrieure la validation.13 7.3 Production de la preuve de validation .13 7.4 Maintenance de la validation .13 7.5 Validation des
10、examens 14 7.6 Validation des investigations .14 Annexe A (informative) Exemples 15 Bibliographie .19 ISO/IEC 2015 Tous droits rservs iii Sommaire Page ISO/IEC 27041:2015(F) Avant-propos LISO (Organisation internationale de normalisation) et lIEC (Commission lectrotechnique internationale) forment l
11、e systme spcialis de la normalisation mondiale. Les organismes nationaux membres de lISO ou de lIEC participent au dveloppement de Normes internationales par lintermdiaire des comits techniques crs par lorganisation concerne afin de soccuper des domaines particuliers de lactivit technique. Les comit
12、s techniques de lISO et de lIEC collaborent dans des domaines dintrt commun. Dautres organisations internationales, gouvernementales et non gouvernementales, en liaison avec lISO et lIEC, participent galement aux travaux. Dans le domaine des technologies de linformation, lISO et lIEC ont cr un comit
13、 technique mixte, lISO/IEC JTC 1. Les procdures utilises pour laborer le prsent document et celles destines sa mise jour sont dcrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des diffrents critres dapprobation requis pour les diffrents types de documents ISO
14、. Le prsent document a t rdig conformment aux rgles de rdaction donnes dans les Directives ISO/IEC, Partie 2 (voir www. iso.org/directives). Lattention est appele sur le fait que certains des lments du prsent document peuvent faire lobjet de droits de proprit intellectuelle ou de droits analogues. L
15、ISO ne saurait tre tenue pour responsable de ne pas avoir identifi de tels droits de proprit et averti de leur existence. Les dtails concernant les rfrences aux droits de proprit intellectuelle ou autres droits analogues identifis lors de llaboration du document sont indiqus dans lIntroduction et/ou
16、 dans la liste des dclarations de brevets reues par lISO (voir www.iso.org/brevets). Les appellations commerciales ventuellement mentionnes dans le prsent document sont donnes pour information, par souci de commodit, lintention des utilisateurs et ne sauraient constituer un engagement. Pour une expl
17、ication de la signification des termes et expressions spcifiques de lISO lis lvaluation de la conformit, ou pour toute information au sujet de ladhsion de lISO aux principes de lOrganisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien suivant: www.i
18、so.org/iso/fr/foreword.html. Le comit responsable de ce document est lISO/IEC JTC 1, Technologies de linformation, sous-comit SC 27, Techniques de scurit.iv ISO/IEC 2015 Tous droits rservs ISO/IEC 27041:2015(F) Introduction propos de la prsente Norme internationale La prsente Norme internationale vi
19、se garantir que le processus dinvestigation utilis est appropri lincident soumis investigation et aux rsultats exigs. Elle dcrit galement de manire abstraite le concept de scission de processus en apparence complexes en une srie dlments atomiques plus petits, dont il convient quils contribuent au dv
20、eloppement de mthodes dinvestigation simples mais efficaces. Il convient quelle soit prise en compte par toute personne autorisant, grant ou menant une investigation, ou bien donnant des instructions concernant une investigation. Il convient de lappliquer avant toute investigation, dans le contexte
21、des principes et processus (tels quils sont dfinis dans lISO/IEC 27043:2015) et dune prparation et dune planification appropries (telles quelles sont dfinies dans lISO/IEC 27035-2 1) , afin de garantir laptitude lemploi des mthodes appliquer dans les processus dinvestigation dcrits dans lISO/IEC 270
22、37:2012 et lISO/IEC 27042:2015. Relation avec dautres normes La prsente Norme internationale est destine complter dautres normes et documents donnant des prconisations concernant linvestigation, et la prparation linvestigation, sur des incidents de scurit de linformation. Elle ne constitue pas un gu
23、ide exhaustif, mais dicte certains principes fondamentaux visant garantir que les outils, les techniques et les mthodes soient choisis de manire approprie et que leur adquation avec lapplication vise puisse tre dmontre, le cas chant. La prsente Norme internationale vise galement informer les dcideur
24、s devant dterminer la fiabilit des preuves numriques qui leur sont soumises. Elle sapplique aux organismes devant protger, analyser et prsenter des preuves numriques ventuelles. Elle est pertinente dans le contexte des organismes en charge de ltablissement de politiques, qui crent et valuent des mod
25、es opratoires en rapport avec les preuves numriques, souvent dans le cadre dun ensemble plus vaste de preuves. La prsente Norme internationale dcrit une partie dun processus dinvestigation complet, portant sans sy limiter sur les thmatiques suivantes: gestion des incidents, comprenant la prparation
26、et la planification des investigations; traitement des preuves numriques; utilisation de lexpurgation et problmes en dcoulant; systmes de prvention et de dtection des intrusions, comprenant les informations pouvant tre obtenues partir de ces systmes; scurit du stockage, comprenant le nettoyage du st
27、ockage; vrification de ladquation avec lapplication vise des mthodes dinvestigation; analyse et interprtation des preuves numriques; connaissance des principes et processus lis linvestigation des preuves numriques; gestion des vnements dincident de scurit, comprenant ltablissement de preuve partir d
28、e systmes impliqus dans la gestion des vnements dincident de scurit; relation entre la dcouverte lectronique et les autres mthodes dinvestigation, et utilisation des techniques de dcouverte lectronique dans dautres investigations; gouvernance des investigations, comprenant les investigations forensi
29、ques. Ces thmatiques sont couvertes partiellement dans les normes ISO/IEC suivantes: ISO/IEC 27037:2012; 1) Publication en attente. ISO/IEC 2015 Tous droits rservs v ISO/IEC 27041:2015(F) La prsente Norme internationale dcrit les moyens par lesquels les personnes impliques dans les premires phases d
30、une investigation, comprenant la rponse initiale, peuvent sassurer que des preuves numriques potentielles suffisantes sont recueillies pour permettre de poursuivre linvestigation de manire approprie. ISO/IEC 27038:2014; Certains documents peuvent contenir des informations dont il ne faut pas quelles
31、 soient divulgues auprs de certaines communauts. Des documents modifis peuvent tre diffuss auprs de ces communauts, aprs un traitement appropri du document dorigine. Le processus consistant supprimer les informations ne pas divulguer est intitul lexpurgation. Lexpurgation numrique des documents est
32、un domaine relativement rcent des pratiques de gestion documentaire, qui soulve des problmes spcifiques et pose des risques potentiels. Lors de lexpurgation de documents numriques, il faut que les informations supprimes ne soient pas rcuprables. Ds lors, il est ncessaire de prendre des prcautions po
33、ur que les informations expurges soient supprimes dfinitivement du document numrique (par exemple il ne faut pas quelles soient simplement masques dans des parties non affichables du document). LISO/IEC 27038:2014 spcifie les mthodes dexpurgation numrique de documents numriques. Elle spcifie galemen
34、t les exigences concernant les logiciels utilisables pour lexpurgation. ISO/IEC 27040:2015; La prsente Norme internationale donne des prconisations techniques dtailles concernant la manire dont les organismes peuvent dfinir un niveau appropri dattnuation du risque grce lemploi dune approche reconnue
35、 et cohrente de la planification, la conception, la documentation et la mise en uvre de la scurit de stockage des donnes. La scurit du stockage sapplique la protection (la scurit) des informations l o elles sont stockes et la scurit des informations transfres au moyen des liaisons de communication a
36、ssocies au stockage. La scurit du stockage comprend la scurit des dispositifs et des supports, la scurit des activits de management associes aux dispositifs et aux supports, la scurit des applications et des services et la scurit relative aux utilisateurs finaux pendant la dure de vie de leurs dispo
37、sitifs et supports et aprs la fin de leur utilisation. Les mcanismes de scurit tels que le chiffrement et le nettoyage peuvent affecter la capacit dinvestigation dune personne en mettant en place des mcanismes dobfuscation. Ils doivent tre pris en compte en amont et au cours dune investigation. Ils
38、peuvent galement tre importants pour sassurer que le stockage des matriaux probatoires, au cours et en aval dune investigation, soit prpar et scuris de manire adquate. ISO/IEC 27042:2015; La prsente Norme internationale dcrit les modes de conception et de mise en uvre des mthodes et processus utilis
39、er au cours dune investigation, afin de permettre une valuation correcte des preuves numriques ventuelles, linterprtation des preuves numriques et la consignation pertinente des dcouvertes. ISO/IEC 27043:2015; La prsente Norme internationale dfinit les grands principes et processus communs sous-jace
40、nts une investigation sur incident, et fournit un modle cadre pour toutes les phases des investigations. Les projets ISO/IEC suivants couvrent galement en partie les thmatiques identifies ci-dessus et peuvent conduire la publication de normes pertinentes, suite la publication de la prsente Norme int
41、ernationale. ISO/IEC 27035 (toutes les parties) 2) ; 2) Publication en attente.vi ISO/IEC 2015 Tous droits rservs ISO/IEC 27041:2015(F) Cette norme en trois parties fournit aux organismes une approche structure et planifie de la gestion des incidents de scurit. Elle se compose des parties suivantes.
42、 ISO/IEC 27035-1 3) ; Cette partie prsente les concepts de base et les phases de la gestion des incidents de scurit de linformation. Elle combine ces concepts des principes selon une approche structure de dtection, consignation, valuation, rponse et application des enseignements tirs. ISO/IEC 27035-
43、2 4) ; Cette partie prsente les concepts planifier et prparer dans le cadre de la rponse aux incidents. Ces concepts, comprenant la politique et le plan de gestion des incidents, la constitution de lquipe de rponse aux incidents, et les runions dinformation et la formation de sensibilisation, sont b
44、ass sur la phase de planification et de prparation du modle prsent dans lISO/IEC 27035-1 5) . Cette partie couvre galement la phase du modle intitule Enseignements tirs. ISO/IEC 27035-3 6) ; Cette partie couvre les responsabilits du personnel et les activits pratiques de rponse aux incidents pour le
45、nsemble de lorganisme. Une attention particulire est accorde aux activits de lquipe de rponse aux incidents, comprenant les activits de surveillance, de dtection, danalyse et de rponse menes sur les donnes recueillies ou les vnements de scurit. ISO/IEC 27050 (toutes les parties) 7) ; Ce projet couvr
46、e les activits lies la dcouverte lectronique, comprenant sans sy limiter lidentification, la prservation, la collecte, le traitement, la revue, lanalyse et la production de stockage lectronique dinformations (ESI). Il fournit en outre des prconisations concernant les mesures, allant de la cration in
47、itiale dESI leur limination finale, quun organisme peut prendre pour attnuer les risques et rduire les dpenses, sil savre que la dcouverte lectronique devient problmatique. Il concerne la fois les membres du personnel associs des fonctions techniques et non techniques, impliqus dans tout ou partie des activits de dcouverte lectronique. Il est important de noter que ces prconisations ne se destinent pas contredire ou se substituer aux
