bg-intro-1-banner

ISO 27799:2016

Thales peut aider votre organisation à se conformer à la norme ISO 27799:2016

ISO 27799:2016:

map
Réglementation |  Active

ISO 27799 est une norme internationale qui fournit des directives sur la protection optimale de la confidentialité, de l’intégrité et de la disponibilité des données de santé personnelles de quiconque travaillant dans le secteur de la santé ou de ses environnements d’exploitation uniques.

Thales fournit un grand nombre de solutions requises pour se conformer à cette norme ISO, y compris :

  • des contrôles d’accès aux données et gestion des accès privilégiés ;
  • une gestion et une protection des clés de chiffrement ;
  • une surveillance et une protection des dossiers pour empêcher toute corruption.

1ISO 27799, deuxième édition de la norme 2016-07-01 : Informatique de santé — Management de la sécurité de l’information relative à la santé en utilisant l’ISO/IEC 27002. https://www.iso.org/fr/standard/62777.html

2ISO/IEC 27002, deuxième édition de la norme 2013-10-01 : Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information https://www.iso.org/fr/standard/54533.html

  • Réglementation
  • Conformité

Récapitulatif de la réglementation

La norme ISO 27799 requiert la mise en place de bonnes pratiques, parmi lesquelles :

  • des contrôles d’accès aux données, y compris la gestion des accès privilégiés
  • un contrôle cryptographique des données sensibles
  • une gestion et une protection des clés de chiffrement
  • l’enregistrement et l’archivage de « tous les événements significatifs concernant l’utilisation et la gestion des identités d’utilisateur et des informations d’authentification secrètes » et la protection de ces enregistrements contre les « violations et les accès non autorisés ».2

Récapitulatif de conformité

Thales peut vous aider à vous conformer aux normes ISO 27799:2016 grâce à :

  • des contrôles d’accès qui limitent la récupération des données aux utilisateurs autorisés uniquement ;
  • un chiffrement et une tokénisation des données, de sorte à les rendre illisibles et donc inutilisables si des cybercriminels venaient à les dérober ;
  • une gestion centralisée et un stockage sécurisé des clés de chiffrement dans toute l’organisation ;
  • des journaux de renseignements de sécurité protégés pour identifier les situations d’accès irrégulières et les fuites de données existantes ;

un contrôle d’accès ;

CipherTrust Data Security Platform fournit un contrôle des accès utilisateurs de pointe.

  • Séparation des utilisateurs privilégiés et des données sensibles appartenant aux utilisateurs. Grâce à CipherTrust Data Security Platform, les organisations peuvent créer une séparation des devoirs solide entre les administrateurs privilégiés et les propriétaires des données. CipherTrust Transparent Encryption chiffre les fichiers sans toucher aux métadonnées. De cette manière, les administrateurs informatiques (y compris les administrateurs d’hyperviseur, de Cloud, de stockage et de serveur) peuvent effectuer leurs tâches d’administration de système sans pouvoir obtenir un accès privilégié aux données sensibles résidant dans les systèmes qu’ils gèrent.
  • Séparation des devoirs d’administration. Il est possible de mettre en place des politiques de séparation des devoirs robustes pour s’assurer qu’aucun administrateur ne bénéficie d’un contrôle complet sur les activités de sécurité des données, les clés de chiffrement ou l’administration. De plus, CipherTrust Manager prend en charge l’authentification à deux facteurs pour l’accès administrateur.
  • Contrôles d’accès granulaires privilégiés. La solution de Thales peut mettre en application des politiques de gestion des accès d’utilisateurs les moins privilégiés à niveau de granularité élevé, permettant la protection des données contre les abus d’utilisation et les menaces persistantes avancées. Il est possible d’appliquer des politiques de gestion des accès d’utilisateurs privilégiés granulaires en fonction de l’utilisateur, du processus, du type de fichier, de l’heure et d’autres paramètres. Les options de mise en application peuvent contrôler non seulement les permissions d’accès aux données en clair, mais également les commandes de système de fichiers disponibles pour les utilisateurs.

Protection axée sur les données

Thales protège les données mêmes grâce à CipherTrust Transparent Encryption et sa solution intégrée Key Management pour les données au repos, CipherTrust Application Data Protection, CipherTrust Tokenization, et bien plus encore. Ces techniques rendent les données illisibles et inutilisables sans les outils nécessaires pour les déchiffrer.

Gestion des clés unifiée

CipherTrust Enterprise Key Management de Thales fournit une plateforme robuste, basée sur les normes, pour la gestion des clés de chiffrement depuis des sources disparates dans l’entreprise. Elle simplifie la gestion et les défis administratifs autour de la gestion des clés de chiffrement pour garantir que les clés sont protégées et toujours fournies aux services de chiffrement autorisés.

Journaux de renseignements de sécurité

Thales permet à l’entreprise de surveiller et d’identifier un accès aux données irrégulier. CipherTrust Security Intelligence fournit des journaux de gestion détaillés qui précisent quels processus et utilisateurs ont accédé aux données protégées. Ces journaux indiquent :

  • les utilisateurs et les processus ayant accédé aux données, les données consultées et les politiques régissant les accès ;
  • si les demandes d’accès ont été acceptées ou refusées.
  • Découvrez les tentatives d’utilisation d’une commande telle que le changement d’utilisateur par les utilisateurs privilégiés dans le but d’essayer d’imiter les informations d’identification d’un autre utilisateur.

Le partage de ces journaux avec une plateforme SIEM pour la gestion des informations et des événements de sécurité permet de découvrir les accès de processus et d’utilisateurs irréguliers pouvant déclencher une enquête supplémentaire.

  • Ressources associées
  • Autres réglementations de protection des données et sécurité importantes

    RGPD

    RÉGLEMENTATION
    EN VIGUEUR

    Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

    PCI DSS

    MANDAT
    EN VIGUEUR

    Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

    Lois sur la notification des brèches de données

    RÉGLEMENTATION
    EN VIGUEUR

    Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".