Embed Size (px)
Citation preview
DépartementOffice
Si rempli : Error: Reference source not foundE
Nom de l'objet à protégerConcept de sécurité de l'information et de protection des données (concept SIPD)
Classification * INTERNE
Statut **Nom du projet ou ob-jet à protéger Objet à protéger ISDS-Konzept
Numéro du projetMandantResponsable du pro-cessusChef de projetRSIPDTraitementContrôleApprobation par le mandant du projet ou par le responsable du processusVersion 0.1
* INTERNE, CONFIDENTIEL, SECRET** En cours d'élaboration, en cours de vérification, terminé/approuvé
Exemple SIPD version 4.0 Date d'impression: 07.05.2023
Nom du projet : Objet à protéger INTERNE
Suivi des modifications, contrôle, approbation
Version Date Description, remarque Nom
Distribution
Fonction Nom Département/OfficeDSIO
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 22.03.2017 2/17
Nom du projet : Objet à protéger INTERNE
Phases du projet vuesLes tableaux indiquant les personnes qui examinent (confirment) les différentes phases peuvent être complétés par autant de noms que souhaité.
Initialisation
Fonction Nom DateCP / RSIPD
Conception
Fonction Nom DateCP / RSIPD
Réalisation
Fonction Nom DateCP / RSIPD
Déploiement
Fonction Nom DateCP / RSIPD
Finalisation / Remise à l'exploitation
Fonction Nom DateCP / RSIPDRARS
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 22.03.2017 3/17
Nom du projet Objet à protégerINTERNE
Table des matières1 Généralités 51.1 Description................................................................................................................51.2 Tailoring.....................................................................................................................51.3 But du document.......................................................................................................51.4 Validité du document................................................................................................5
2 Résumé 62.1 Généralités.................................................................................................................62.2 Résumé des risques résiduels................................................................................62.3 Remarques finales....................................................................................................62.4 Signatures..................................................................................................................7
3 Bases légales, protection des données, sécurité des informations et violation du secret de fonction conformément à l'OIAF 8
3.1 OIAF, Art. 6, Bases légales.......................................................................................83.2 OIAF, Art. 6, Protection des données......................................................................83.3 OIAF, Art. 6, Sécurité des informations..................................................................83.4 OIAF, Art. 7, Stratégies pour une société de l'information...................................93.5 OIAF, Art. 8, al. 2, Documentation...........................................................................93.6 OIAF, Art. 26a, Violation du secret de fonction, Art. 320 CP................................9
4 Liste des documents relatifs à la sécurité 105 Classification d'après les directives du Conseil fédéral 106 Description du système relative à la sécurité 116.1 Interlocuteurs et responsabilités...........................................................................116.2 Description du système global..............................................................................116.3 Description des données à traiter.........................................................................116.4 Esquisse de l'architecture et matrice de communication...................................126.5 Description de la technologie sous-jacente.........................................................12
7 Analyse des risques et mesures de protection 137.1 Couverture des risques par des concepts généraux..........................................147.2 Risques résiduels...................................................................................................14
8 Concept d'urgence 149 Respect et contrôle des mesures de protection 149.1 Contrôle de la réception du système....................................................................15
10 Liquidation 1511 Abréviations 1512 Annexe 16
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 4/17
Nom du projet Objet à protégerINTERNE
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 5/17
Nom du projet Objet à protégerINTERNE
1 Généralités
Le texte en bleu sert d'aide pour remplir le document. Il doit être supprimé après qu'un texte concret, spécifique et adapté au projet, a été inséré. Le texte en rouge correspond à des indications ou à des questions importantes, qu'il faut clarifier ou décrire concrètement.
1.1 Description
Le concept SIPD constitue le document principal de la sécurité de l'information et de la pro-tection des données dans le projet et pendant l'exploitation. La classification est réalisée conformément à l'analyse des besoins de protection selon les Directives concernant la sécu-rité informatique dans l'administration fédérale.
1.2 Tailoring
Le concept SIPD est obligatoire pour les systèmes avec impact sur la sécurité. Certains sous-chapitres peuvent toutefois être omis s'ils ne sont pas pertinents.
Si la classification selon le chapitre 5 (conformément aux Directives concernant la sécurité informatique dans l'administration fédérale) ne révèle aucun besoin élevé de protection, l'analyse des risques (selon le chapitre 7) peut être omise.
1.3 But du document
Le concept SIPD définit les indications nécessaires pour le maintien et l'amélioration de la sécurité de l'information et de la protection des données. Il récapitule les aspects de la sécurité de l'information et de la protection des données dans le projet.
1.4 Validité du document
Le concept SIPD est valable 5 ans.
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 6/17
Nom du projet Objet à protégerINTERNE
2 Résumé
2.1 Généralités
Résumé des indications figurant dans le document et concernant l'analyse des risques ef-fectuée, la sécurité de l'information et la protection des données. Il donne une image du po-tentiel de risque du système examiné.
2.2 Résumé des risques résiduels
Résumé et évaluation des risques résiduels qui doivent être assumés par les services res-ponsables.
2.3 Remarques finales
Remarques finales et conclusions importantes relatives à l'objet à protéger.
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 7/17
Nom du projet Objet à protégerINTERNE
2.4 Signatures
Par sa signature, le DSIO confirme avoir examiné le concept SIPD. Il a en particulier vérifié que le document est rempli de manière complète, que toutes les mesures sont commentées et que les informations données sont exactes tant formellement que matériellement.
Par leur signature, le mandant et le responsable des processus d'affaires approuvent le concept SIPD.
Le responsable de l’unité administrative endosse la responsabilité des éventuels risques ré-siduels1. Selon les dispositions internes à l'office, ce document peut également être signé par un autre membre de la direction.
Le concept SIPD doit être porté à la connaissance du fournisseur de prestations sous une forme appropriée2.
................................. .....................................Date Nom et signature du DSIO
................................. .....................................Date Nom et signature du mandant
................................. .....................................Date Nom et signature du responsable des processus d'affaires
................................. .....................................Date Nom et signature du responsable de l'unité administrative ou
d'un membre de la direction
D’autres signatures peuvent être ajoutées (par ex. celle du responsable chez le FP).
Les signatures peuvent aussi être apposées sous forme électronique (dans un PDF).
1 Directives du Conseil fédéral concernant la sécurité informatique dans l’administration fédérale, ch. 3.4 Risques résiduels2 Directives du Conseil fédéral concernant la sécurité informatique dans l’administration fédérale, ch. 2.2 Bénéficiaires de prestations et ch. 2.3 Fournisseurs de prestations
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 8/17
Nom du projet Objet à protégerINTERNE
3 Bases légales, protection des données, sécurité des informa-tions et violation du secret de fonction conformément à l'OIAF
Les articles 6 à 8 de l’Ordonnance sur l’informatique dans l’administration fédérale (OIAF) consti-tuent des éléments importants pour établir de bonnes bases dans un projet informatique.Les principaux aspects dont il faut tenir compte dans le cadre de l’élaboration du concept SIPD sont évoqués sommairement ci-après.
3.1 OIAF, Art. 6, Bases légales
OIAF, art. 6 al. a) que les bases légales suffisantes existent déjà ou seront créées ;
Il s'agit de citer les bases légales sur lesquelles le projet informatique (à réaliser) prend appui. Ce travail s’effectue de préférence en collaboration avec le service juridique de l’unité adminis-trative ou du département.Un modèle d'analyse des bases légales est disponible à l'adresse suivante : http://www.-hermes.admin.ch/onlinepublikation/index.xhtml?element=ergebnis_rechtsgrundlagenana-lyse.html.
3.2 OIAF, Art. 6, Protection des données
OIAF, art. 6 al. b) que la protection des données relatives aux personnes concernées est ga-rantie ;
En vertu de l’art. 13 de la Constitution fédérale et des dispositions de la Confédération en ma-tière de protection des données, toute personne a droit à la protection de sa sphère privée ainsi qu’à la protection contre l'emploi abusif des données qui la concernent. Les autorités fédérales respectent ces dispositions.
Il s’agit de déterminer si le traitement des données satisfait aux dispositions de la loi fédérale sur la protection des données. Il convient notamment de vérifier si un fichier de données doit être annoncé au PFPDT.
Grille d’analyse d’impact relative à la protection des données du PFPDTLe préposé fédéral à la protection des données et à la transparence (PFPDT) recommande de soumettre le projet à une analyse d’impact relative à la protection des données dès sa phase initiale. Le PFPDT a publié à cet effet un outil qui permet de poser dès que possible les bonnes questions quant à un projet.
La section Sécurité en matière de TIC de l’UPIC (UPIC-SEC) recommande d’effectuer cette analyse d’impact relative à la protection des données et de prendre position de manière trans-parente lorsque cela s’avère nécessaire. La grille d’analyse est disponible sur le lien suivant :https://www.apps.edoeb.admin.ch/dsfa/fr/index.html.
3.3 OIAF, Art. 6, Sécurité des informations
OIAF, art. 6 al. c) que la sécurité intégrale de l'information est garantie.Cet aspect est traité par le présent concept SIPD.
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 9/17
Nom du projet Objet à protégerINTERNE
3.4 OIAF, Art. 7, Stratégies pour une société de l'information
Cet aspect doit être évalué en fonction de la situation de chaque projet. Il se peut que le projet informatique n’ait pas de lien direct avec la Stratégie pour une société de l’information.
3.5 OIAF, Art. 8, al. 2, Documentation
Tous les projets informatiques doivent être documentés sous leur forme actuelle. C’est notam-ment l’objectif du présent concept SIPD.
3.6 OIAF, Art. 26a, Violation du secret de fonction, Art. 320 CP
En vertu de l'art. 320 du code pénal suisse, il y a lieu de vérifier si des données soumises au secret de fonction (secret privé et secret de service) sont traitées par l'objet informatique à protéger et s'il existe un risque de devoir transmettre des données à des tiers externes à l'organisation lors de la mise en service, de la maintenance, de l'assistance, etc. L'UPIC recommande de consulter à ce sujet les documents suivants:
Mesure 15.2.1 de la « Protection informatique de base dans l'administration fédérale » ; « Exigences en lien avec le risque de violation du secret de fonction dans l'administration fé-
dérale » 1; Directives relatives au processus de consentement du propriétaire des données ou de l'autori-
té supérieure.
1 https://intranet.isb.admin.ch, Directives informatiques > Sécurité > Si001 - Protection de base des TIC dans l’administration fédérale
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 10/17
Nom du projet Objet à protégerINTERNE
4 Liste des documents relatifs à la sécurité
Comprend la liste complète des lois, ordonnances, directives, règlements, spécifications techniques, etc. relatifs à la sécurité de l'information. Doit être complétée par les documents propres au Département et/ou à l'office.
Type de docu-ment Titre
Loi SR 235.1 Loi fédérale du 19 juin 1992 sur la protection des données (LDP)RS 152.1 Loi fédérale du 26 juin 1998 sur l'archivage (LAr)
Ordonnance UPIC : Ordonnance sur l'informatique dans l'administration fédérale (OIAF) RS 510.411: Organe de coordination pour la protection des informations au sein de la Confédération (KISchB), IntranetRS 235.11 : Ordonnance du 14 juin 1993 relative à la loi fédérale sur la pro - tection des données (OLPD)RS 172.010.442 : Ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération
Directives UPIC : Directives du Conseil fédéral concernant la sécurité informatique dans l'administration fédérale
Stratégie UPIC : Stratégie de la Confédération en matière informatique Lignes direc-trices
UPIC : Lignes directrices relatives à la sécurité informatique dans l'adminis - tration fédérale
Méthode HERMES : La méthode suisse de gestion de projets
Autres À compléter par l'auteur
5 Classification d'après les directives du Conseil fédéral
La classification de l'objet à protéger doit être réalisée selon l'analyse des besoins de pro-tection (Schuban)1.
Les évaluations effectuées lors de l'analyse des besoins de protection permettent aussi d'estimer les éventuelles conséquences financières des besoins en matière de sécurité et de les décrire dans le présent document.
Pour l'analyse des besoins de protection approuvée, voir l'annexe.
1 https://www.isb.admin.ch/, Directives TIC > Processus et méthodes > P041 - Analyse des besoins de protection (Schuban)
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 11/17
Nom du projet Objet à protégerINTERNE
6 Description du système relative à la sécurité
Description condensée des éléments relatifs à la sécurité du système, des applications, des fichiers de données disponibles et traités ainsi que des processus qui s'y rapportent.
6.1 Interlocuteurs et responsabilités
Qui NomGestionnaire de clientsExploitant du systèmeChef de projet ou interlocuteur auprès du FPDSIDDSIOCPDOPropriétaire des donnéesResponsable des applicationsCercle d'utilisateursAutres services
6.2 Description du système global
Description des fonctionnalités ayant un impact sur la sécurité, telles que les répartitions de rôles, la méthode d'authentification, la sauvegarde, les processus de support et de mainte-nance (év. à distance), les SLA, etc.Il est aussi possible de faire référence aux documents correspondants (nom, date de créa-tion, lieu d'enregistrement, etc.). La description doit être complète et pouvoir être comprise par des personnes non impliquées.
6.3 Description des données à traiter
Description des données et des structures (par ex. base de données utilisée). Les questions suivantes doivent être clarifiées et exposées :
Fichier de données annoncé au PFPDT ? Un règlement de traitement doit-il être établi ? Consultez à cet égard le
Règlement de traitement ou l'ordonnance relative à la loi fédérale sur la protection des données (OLPD) ainsi que le document disponible sous le lien suivant : Guide re-latif aux mesures techniques et organisationnelles de la protection des données
Existe-t-il une base légale relative au traitement électronique des données ? Les données doivent-elles être mises à la disposition des Archives fédérales sous
forme électronique ? Si les informations sont classifiées, l'OPrI et les prescriptions de traitement doivent
être respectées (voir RS 510.411 Ordonnance concernant la protection des informa-tions (OPrI), Intranet).
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 12/17
Nom du projet Objet à protégerINTERNE
6.4 Esquisse de l'architecture et matrice de communication
Insérer ici une esquisse de l'architecture et une matrice de communication.
6.5 Des
cription de la technologie sous-jacente
Description des techniques utilisées, telles que plate-forme de serveurs, système(s) d'exploi-tation, environnement système, réseaux utilisés, fonctions cryptographiques, etc. Ces tech-niques doivent être décrites de manière complète et pouvoir être comprises aussi par des personnes non impliquées.
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 13/17
Nom du projet Objet à protégerINTERNE
7 Analyse des risques et mesures de protection
Les risques/risques résiduels et les mesures de protection décidées qui découlent du pro-cessus GRAES doivent être, comme les autres risques, consignés dans le concept SIPD et régulièrement actualisés au cours du développement du projet. Description des facteurs de risques pertinents (disponibilité, confidentialité, intégrité et tra-çabilité), liste et évaluation des risques.
L'analyse des risques détaillée doit être effectuée à l'aide du fichier Excel faisant partie du concept.
Les points suivants doivent être remplis :- Feuille « Index_SIPD » : feuille de garde, reprise des informations du document
Word.- Feuille « Risque » : évaluer les dangers et les menaces mentionnés en fonction des
quatre aspects confidentialité, disponibilité, intégrité et traçabilité.- Lors de l'évaluation des risques dans le cadre de l'établissement du concept SIPD, il
faut avant tout vérifier si la protection informatique de base a été mise en œuvre (voir la première exigence de la feuille Excel «Besoins-Mesures-Risque résiduel»). Les risques résiduels qui peuvent éventuellement résulter de cette mise en œuvre doivent aussi être indiqués dans ce document. S'il existe un document, par exemple du FP, dans lequel la protection informatique de base est décrite, une vérification détaillée de la mise en œuvre n'est pas nécessaire. Cette information doit être mentionnée dans l'analyse des risques. Toutes les exigences allant au-delà de la protection infor-matique de base (d'où l'établissement en général d'un concept SIPD) doivent être dé-taillées dans ce document.
- Feuille « Besoins-Mesures-Risque résiduel ». Résultats
- Les feuilles « Disponibilité », « Confidentialité », « Intégrité », « Traçabilité », « Syn-thèse » et « Synthèse Radar » sont des graphiques desquels ressort la catégorie du risque évalué.
o Vert : ces risques sont soit inhérents (à l'objet à protéger en tant que tel) ou peuvent être négligés. Ils doivent pouvoir être réduits par des mesures simples.
o Jaune : ces risques ont des conséquences considérables et doivent donc être réduits.
o Rouge : ces risques sérieux ont des conséquences critiques à catastro-phiques. Ils doivent impérativement être réduits.
Les exigences de sécurité concernant la protection informatique de base figurent dans les normes ISO 27001 et 27002 et sont disponibles sous le lien interne suivant : UPIC : Télé - chargement des normes ISO et dans les BSI Grundschutzkatalogen (disponibles uniquement en allemand).
Les risques qui ne peuvent pas être traités (réduits) ou qui ne peuvent l'être que de manière insuffisante doivent être présentés dans le concept SIPD comme des risques résiduels (cha-pitre 7). Il faut en informer les responsables, à qui il incombe de les écarter. Ils doivent aussi être récapitulés brièvement dans le résumé (chapitre 2.2).
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 14/17
Nom du projet Objet à protégerINTERNE
7.1 Couverture des risques par des concepts généraux
Les risques et les dangers sont partiellement couverts par des concepts généraux de sécuri-té ou par des SLA. Des analyses de risques ont déjà été effectuées à un niveau plus géné-ral. La liste ci-après a pour but de montrer quels concepts généraux de sécurité ont une in-fluence sur le projet.
Concept / SLA / Base Version Date de validation Description de la protection
Exigences minimales de sécuri-té selon les Directives du Cf 01.01.2016 Protection générale de base
7.2 Risques résiduels
Doivent être mentionnés explicitement ici tous les risques déterminés à partir du fichier Excel qui ne peuvent pas être couverts (réduits) malgré toutes les mesures prises en matière de sécurité.
N° Valeur Risque résiduelMesures supplémentaires / Re-marques
8 Concept d'urgence
Décrit la planification des cas d'urgence et la prévention des catastrophes afin de garantir le maintien et le rétablissement des activités dans les situations extraordinaires. Vous pou-vez vous appuyer sur les documents suivants :
- Exemple de concept d'urgence (uniquement en allemand)- la norme BSI 100-4 Gestion des cas d'urgence (uniquement en allemand), à
l'adresse www.bsi.bund.de, à la rubrique IT-Grundschutz-Standards (norme de pro-tection informatique de base),
- les normes ISO ISO/IEC 27001 et 27002 (chapitre 17 : Gestion de la continuité d'acti-vité).
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 15/17
Nom du projet Objet à protégerINTERNE
9 Respect et contrôle des mesures de protection
Décrit le règlement d'exécution des révisions et contrôles, annoncés ou non, des activités de sécurité de l'information dans le projet, puis dans l'exploitation.
9.1 Contrôle de la réception du système
Les systèmes, nouveaux ou actualisés, doivent faire l'objet d'un examen et d'un contrôle poussés lors du processus de développement, comprenant la préparation d'une planification approfondie des activités, d'informations sur les tests internes et des dépenses attendues dans différentes conditions. Tout comme pour les projets de développement, ce type d'exa-mens doit tout d'abord être effectué par l'équipe de développement. Ensuite, des examens de réception indépendants doivent être entrepris (pour les projets de développement in-ternes comme pour les projets externalisés) afin de vérifier que le système fonctionne comme prévu (et uniquement comme prévu, voir ISO 27002:2013, chapitre 14.1.1 et 14.1.2). La portée de ces examens doit correspondre à l'importance et à la qualité du système.
Résumé des audits (qui, quand, quoi, résultat)
10 Liquidation
Décrit les points à observer en cas de mise hors service d'un système, d'une application ou d'un fichier de données.
11 Abréviations
Définitions, acronymes et abréviations
Acronymes / Abréviations Contexte
Concept SIPD Concept de sécurité de l'information et de protection des données CPDO Conseiller à la protection des données de l'organisationDSID Responsable de la sécurité informatique du département DSIO Délégué à la sécurité informatique de l'unité d'organisation
GRAES Méthode de gestion des risques visant à réduire les activités d'es-pionnage de services de renseignement
LPD Loi fédérale du 19 juin 1992 sur la protection des donnéesOLPD Ordonnance relative à la loi fédérale sur la protection des données
PFPDT Préposé fédéral à la protection des données et à la transparence
ProtAn Protect Analyzer, outil informatique permettant de déterminer le be-soin de protection de manière détaillée ou approfondie
RA Responsable d'application
RSIPD Responsable de la sécurité de l'information et de la protection des données dans le cadre du projet, selon HERMES
Schuban Analyse des besoins de protection
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 16/17
Nom du projet Objet à protégerINTERNE
Acronymes / Abréviations Contexte
SLA Service Level Agreement
12 Annexe
Ajouter ici les documents complémentaires correspondants, tels que
l'analyse des besoins de protection, les résultats de ProtAn, si disponibles, le règlement de traitement selon la loi sur la protection des données LPD, si dispo-
nible Autres documents.
Exemple SIPD version 4.0 / Document - Version 0.1 Date d'impression 07.05.2023 17/17
