1er semestre 2008 IUT Orsay Licence SRSI 1 Politique et management de la sécurité

  • Published on
    03-Apr-2015

  • View
    102

  • Download
    0

Embed Size (px)

Transcript

<ul><li> Page 1 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 1 Politique et management de la scurit </li> <li> Page 2 </li> <li> Politique de scurit 1er semestre 2008 IUT Orsay Licence SRSI 2 Le cadre de rfrence de la politique de scurit La politique gnrale de scurit Le schma dorganisation de la fonction scurit Les directives gnrales et les procdures Le reporting : les tableaux de bord La sensibilisation </li> <li> Page 3 </li> <li> La politique gnrale de scurit 1er semestre 2008 IUT Orsay Licence SRSI 3 Elle reprsente la position de la Direction Gnrale sur la protection de son systme dinformation La PSSI vise informer la matrise douvrage et la matrise d'uvre des enjeux tout en l'clairant sur ses choix en terme de gestion des risques susciter la confiance des utilisateurs et partenaires envers le systme d'information. Elle est spcifique un organisme, sa culture d'entreprise, ses objectifs et ses mtiers Elle est tabli en conformit avec : Les contraintes sectorielles La lgislation (textes lgaux) Dfinitions et proprits </li> <li> Page 4 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 4 Elle est prcde par une analyse des risques Elle est au cur de la norme ISO 27002 et est un pralable indispensable l'obtention de la certification 27001 Support important de sensibilisation, elle doit tre diffuse, avec tous ses documents annexes, tout les acteurs au sein de l'organisme Elle doit voluer dans le temps au sein du systme de gestion de la scurit, au travers de mesures et d'amliorations continues La politique gnrale de scurit Dfinitions et proprits </li> <li> Page 5 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 5 Elle est mise sous la signature du dirigeant de la structure Elle prsente les grands concepts de la scurit Elle explicite les enjeux de la scurit pour la structure Elle fixe les objectifs en termes de scurit de linformation Elle dtaille pour chaque acteur les droits et les devoirs vis- -vis de la scurit Elle est diffuse personnellement chaque collaborateur La politique gnrale de scurit La charte de scurit </li> <li> Page 6 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 6 Elle prsente les critres communs de scurit s'appliquant tous type de tiers SSII en rgie ou au forfait Socits de maintenance Fournisseurs disposant d'accs en tlmaintenance Partenaires accdant certaines parties du SI Elle pourra tre annexe au contrat sign avec le tiers. Des dispositions particulires chaque tiers pourront tre ajouts utilement dans le document La politique gnrale de scurit La charte de scurit pour les tiers </li> <li> Page 7 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 7 Elle prsente les objectifs suivants : Dfinition claire des droits et devoirs des utilisateurs Informer des comportements risque devant tre vits Informer sur la dimension juridique Elle respecte les rgles de bases suivantes : Transparence de la part de l'organisme sur les moyens en place Discussion avec le CE, le CHSCT et les DP Respect des liberts individuelles Sensibilisation et formation la scurit de l'information et aux outils Elle prcise les sanctions encourues La politique gnrale de scurit La charte utilisateur du S.I. </li> <li> Page 8 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 8 Il prcise : Les conditions daccs aux informations Les conditions de conservation, de transport et de diffusion des informations de lentit Il dtaille les sanctions en cas de non respect Il sadresse tous les collaborateurs de lentit toute personne devant accder des informations quelque soit son lien avec lentit et la nature de ses actions Il est obligatoirement sign par la personne La politique gnrale de scurit Lengagement de confidentialit </li> <li> Page 9 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 9 Il recense les missions / tches lies la scurit Il pr-positionne les rles et responsabilits des diffrents acteurs lgard des processus scuritaires types, notamment en matire de : Cadre gnral et pilotage de la scurit; Mise en uvre oprationnelle de la scurit; Prise en compte de la scurit dans les projets; Identification et valuation des risques lis au systme dinformation; Audits de scurit du systme dinformation; La politique gnrale de scurit Le schma dorganisation de la fonction scurit </li> <li> Page 10 </li> <li> Responsable Scurit Systmes dInformation (RSSI) Matre douvrage de la gestion des risques S.I. Direction Gnrale Directions oprationnelles Mtiers DSI Responsable Scurit Informatique (RSI) Matre duvre de la matrise des risques informatiques et tlcoms Division Risk Management Correspondant. Scurit Systmes dInformation (CSSI) Interrelations fonctionnelles tudes &amp; Dveloppements Architectes &amp; Experts Exploitants &amp; Administrateurs Interrelations fonctionnelles Comit Directeur Audit Inspection Gnrale Comit Risques Commission Scurit des Systmes dInformation (COSSI) Instance dorientation &amp; darbitrage Matrise douvrage SSI Matrise duvre SSI Instance de pilotage et de coordination Instance daudit et de contrle Instance denqutes </li> <li> Page 11 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 11 La politique gnrale de scurit Directives gnrales de scurit (1/5) Elles reprsentent le rfrentiel de scurit de lentreprise Elles regroupent par grands domaines les rgles de scurit respecter Elles sont en ligne avec les enjeux, risques majeurs et proccupations prioritaires souligns au sein du document de politique gnrale Elles tiennent compte des principes scuritaires dj mis en uvre, que ce soit au sein des infrastructures informatiques et de tlcommunication proprement dites, comme au sein des processus mtier Elles sont ralises partir dentretiens avec les diffrents responsables techniques et fonctionnels de lentreprise </li> <li> Page 12 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 12 La politique gnrale de scurit Directives gnrales de scurit (2/5) Origine Normes et standards (ISO 27002, IETF,) Bonne pratiques de scurit (CoBit) Recommandations (Ble II, Commission bancaire,) Expertises Natures 15 directives dominante informatique (rseaux, postes de travail, Internet, messagerie lectronique, tlphonie,) 6 directives dominantes non informatique (classification, continuit des activits, ressources humaines,) </li> <li> Page 13 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 13 La politique gnrale de scurit Directives gnrales de scurit (3/5) Elles sont mises jours rgulirement pour tenir compte des volutions : technologiques (nouvel OS, nouveau langage de programmation,) darchitecture physique ou logicielle Elles sont diffuses largement et dun accs ais Enonc de la r gle Niveau de s curit (S, R, M) Acteurs impliqu s Les dispositifs de filtrage, de commutation et de routage doivent tre configur s pour garantir l acheminement des seuls flux autoris s aux seuls destinataires devant les recevoir. S Administrateur dispositifs de s curit </li> <li> Page 14 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 14 La politique gnrale de scurit Directives gnrales de scurit (4/5) Scurit Standard (S) Il sagit dun principe ou dune rgle dont la mise en uvre est ncessaire, quelle que soit la criticit de la ressource sur laquelle il/elle est appliqu(e). Le niveau de scurit standard correspond la mise en uvre de dispositifs relevant avant tout de bonnes pratiques scuritaires , dans le respect des principes et objectifs dfinis dans la Politique de Scurit. Scurit Renforce (R) Il sagit dun principe ou dune rgle dont la mise en uvre est souhaitable lorsque l'valuation des menaces et des enjeux peut amener les Matrises dOuvrage demander la mise en place de moyens de scurit complmentaires sous la forme de dispositifs plus robustes. Scurit Maximale (M) Il sagit dun principe ou dune rgle dont la mise en uvre est a priori recommande lorsque des situations spcifiques imposent la mise en uvre de solutions sur mesure (non ncessairement du march ou standard). </li> <li> Page 15 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 15 La politique gnrale de scurit Directives gnrales de scurit (5/5) Les acteurs Maitrise douvrage RSSI : Responsable de la Scurit des Systmes dInformation, Propritaire dinformation, Responsable mtier / hirarchique, Utilisateur Maitrise duvre Equipe dveloppements, Architecte / expert scurit SI, Administrateur droits daccs, Administrateur dispositifs de scurit, Equipe exploitation, Responsable surveillance scurit Les fonctions supports Ressources humaines (formation, contrats de travail, ), Juridique, Communication, etc. Les fonctions de contrle Audit, Inspection, Contrle des risques, etc. </li> <li> Page 16 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 16 La politique gnrale de scurit Procdures de scurit Dcrivent une suite logique d'actions visant atteindre un objectif Rubriques dune procdure Llment dclenchant, Le responsable Les acteurs La description des tches unitaires Les livrables attendus pour chaque tche Les conditions de contrle et de conservation des traces </li> <li> Page 17 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 17 Le reporting : Le tableau de bord Cest un outil de synthse et de visualisation de la politique de scurit mise en uvre: Au niveau stratgique. Il permet: Le suivi de lapplication de la politique de scurit De se positionner vis--vis des autres structures De prparer les choix et les arbitrages Au niveau du pilotage. Il permet : Le contrle de la ralisation Lamlioration de la qualit Au niveau oprationnel. Il permet : De mesurer la production et les efforts entrepris pour atteindre les objectifs De motiver et dynamiser les quipes </li> <li> Page 18 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 18 Il est constitu de diffrents indicateurs slectionns partir des objectifs valids dans la politique de scurit. Les formats des indicateurs : Un dnombrement, Un degr mesur ou estim sur une chelle de valeur, Un taux, Un ratio, Une note estime en fonction dune grille de notation Le reporting : Le tableau de bord </li> <li> Page 19 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 19 Ces indicateurs ont les qualits suivantes : Facilement quantifiables (construit partir dinformations ou de processus gnrant des informations quantifiables) afin de permettre des comparaisons (entre systmes ou entre priodes). Il sagit le plus souvent de pourcentage, de taux, de ratio, de moyenne et/ou de nombres bruts ; Les informations ncessaires doivent tre faciles obtenir et/ou collecter; sappuyer sur des processus stables et aisment reproductibles ; permettre la mesure des volutions suite des actions correctives ; tre fiable sur la dure et autoriser une analyse des carts ; Le reporting : Le tableau de bord </li> <li> Page 20 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 20 Un indicateur possde les caractristiques suivantes : Un indicateur est une donne objective qui permet dapprcier une situation, du strict point de vue quantitatif. un rfrentiel (la performance atteindre ou respecter), un seuil dalerte (niveau partir duquel des actions correctrices doivent tre dclenches), des points de mesure (les informations lmentaires collecter), une valeur (lexpression du constat : nombre, pourcentage, diffrence...), une frquence de calcul, une frquence de diffusion, un responsable nommment dsign. Le reporting : Le tableau de bord </li> <li> Page 21 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 21 Proportion de traces contrles o Calcul : Volume des traces contrles x 100 / volume des traces o Valeur cible : 100% volution du nombre de comptes inutiliss o Calcul : Nombre de comptes inutiliss o Valeur cible : 0 Renouvellement des sensibilisations et informations des personnels techniques o Calcul : Somme des dlais couls depuis la dernire sensibilisation ou information de chaque personnel technique / nombre de personnels techniques o Valeur seuil : dlai moyen maximal fixer Le reporting : Le tableau de bord </li> <li> Page 22 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 22 La sensibilisation Cest axe primordial da la politique de scurit Elle concerne tous les collaborateurs de lentreprise quelque soit le mtier exerc et le niveau de responsabilit Elle doit tre adapte : Au profil des collaborateurs Au mtier exerc dans lentreprise Elle peut porter sur un axe particulier de la scurit et accompagner la mise en uvre de pratiques nouvelles Lutte anti virale Renforcement de lauthentification </li> <li> Page 23 </li> <li> 1er semestre 2008 IUT Orsay Licence SRSI 23 La sensibilisation Elle nest pas unique Elle peut prendre une forme ludique (quizz, concours,) Elle rappelle les obligations professionnelles et lgales Elle traite de cas concrets et dvnements rels Elle prend des formes diverses Interventions des dirigeants lors de manifestation Stage daccueil Journal dentreprise et campagne daffichage dans les locaux Messages sur lIntranet ou louverture de session Jeux </li> </ul>

Recommended

View more >