web-dev-qa-db-fra.com

La norme ISO / IEC 27001 est-elle incompatible avec un logiciel gratuit / open source?

La série ISO/IEC 27000 de standards établit comment créer et gérer un système de gestion de la sécurité des informations (ISMS). Le document ISO/CEI 27001 fournit le principal organe de la norme et est augmenté par un certain nombre de documents directrices sectoriels.

Le document 27001 inclut une longue annexe répertoriant une liste complète de 114 contrôles, regroupés en 14 clauses et 35 catégories, contre les ISMS peuvent être audités.

Control A.9.4.5, "Le contrôle d'accès au code source du programme" indique les éléments suivants:

L'accès au code source du programme doit être restreint.

Cela signifie-t-il que ISO 27001 est incompatible avec un logiciel gratuit/open source, pour lequel le code source n'est pas et ne peut pas être restreint?

Y a-t-il un moyen de renoncer à cela, ou si un tel logiciel produit par une organisation doit-il simplement être exclu de la portée de la certification 27001?

opensourceiso27001
3
Rumperuu

"L'accès au code source du programme doit être restreint." ne signifie pas que personne ne devrait pouvoir accéder au code source mais qu'il est défini qui peut accéder à et changer le code. Le point principal ne doit pas avoir le secret du code source, mais pour empêcher les modifications non autorisées et non auditées du code source.

Et ceci est vrai pour utiliser Open Source également: il ne faut pas simplement importer et utiliser du code ou des correctifs de quelque part sans que le code ait réellement le comportement attendu et seulement cela, IETHAT ne contient pas de porte-portefeuilles et non Bugs critiques, etc. Ce "en quelque sorte sûr" ne signifie pas tout audit de vous-même mais pourrait également signifier faire confiance à des distributions et de responsables en amont pour faire la bonne chose. Combien de confiance en amont ou combien de temps de révision de Code vous-même dépend bien sûr de la part de l'amont et de la manière dont le code est critique qui utilise du code tiers.

Mais à l'aveuglette à l'aide de NPM, CPAN, PIP, etc. pour installer des modules peut être dangereux et s'oppose à l'esprit d'utilisation et à la rédaction de code sécurisé, voir petit monde à haut risque: une étude des menaces de sécurité dans l'écosystème NPM ou modules malveillants - ce que vous devez savoir lors de l'installation de packages NPM .

5
Steffen Ullrich

Focus de la norme 27001

La norme de sécurité ISO/CEI 27001 s'applique à toutes sortes d'organisations, son accent est mis sur le système de gestion, afin de se conformer à la norme que l'organisation ne devrait pas appliquer tous les 114 contrôles, mais d'appliquer systématiquement une gestion des risques. stratégie axée sur la sécurité des processus et des actifs dans la portée.

En fait, il existe une déclaration d'applicabilité (SOA), dans laquelle l'organisation déclare quelles contrôles seront appliquées, avec une courte explication de la manière dont le contrôle sélectionné doit être mis en œuvre et pour ces contrôles inapplicables, une justification, donc si le L'organisation est alignée sur FOSS, cela devrait être expliqué et documenté dans la SOA. Cette documentation devrait sauvegarder la sélection de ce contrôle ou son exclusion.

le spirit de la commande A.9.4.5

L'esprit de ce contrôle spécifique, comme indiqué dans la norme ISO/IEC 27002 (qui explique chacun des 114 contrôles ) est:

... pour prévenir l'introduction de fonctionnalités non autorisées et éviter des changements non intentionnels ainsi que de maintenir la confidentialité de la précieuse propriété intellectuelle.

Ainsi, ce contrôle est destiné à protéger le code source contre les changements non autorisés et à protéger la propriété intellectuelle.

Si le contrôle est sélectionné pour être mis en œuvre, plusieurs directives peuvent être appliquées même si l'organisation embrasse FOSS, par exemple:

  • le code source ne doit pas être détenu dans les systèmes opérationnels (production).
  • le code source doit être géré selon les procédures établies (dans le cas de la FOSS, ces procédures devraient également exister et être appliquées).

Si l'organisation utilise FOSS, il devrait toujours y avoir des choses comme le contrôle de la version, de modifier le contrôle et la commande dans l'utilisation du code source. C'est à quoi ressemble ce contrôle.

Toutes ces directives doivent être envisagées, pas nécessairement adoptées ni appliquées. Chaque organisation définit les contrôles à appliquer et comment le faire.

Conclusion

L'important pour être en conformité de cette norme est de vous expliquer et de se conformer aux décisions de l'organisation en ce qui concerne chaque contrôle. Ainsi, la norme ISO 27001 peut être compatible avec FOSS, la compatible dépend de la cohérence de la politique et des procédures appliquées par l'organisation.

Cela dit, il est clair que les auteurs de la norme n'avaient pas de logiciels libres/open source à l'esprit lorsqu'ils écrivaient la norme, probablement les organisations pour lesquelles ces normes ont été construites au cours de la première place n'étaient pas concentrées sur Foss, mais la La norme peut être adoptée par une organisation orientée pour utiliser FOSS.

Dans la norme ISO27001, il existe une absence d'autres termes qui ont récemment grandi dans la notoriété, comme Cloud computing , Internet des choses ou cybersécurité . La norme est complétée par d'autres documents de la famille ISO 27000 qui sont en cours de développement après la norme principale, espérons que FOSS sera inclus dans l'un des derniers documents.

0
ram0nvaldez