Sécurité de l Information
|
|
|
- Jean-Philippe Bouffard
- il y a 8 ans
- Total affichages :
Transcription
1 Sécurité de l Information Patrick BOCHART Conseiller en sécurité Banque Carrefour de la Sécurité Sociale Audit Interne & Sécurité de l Information Chaussée Saint-Pierre 375 B-1040 BRUXELLES patrick.bochart@ksz-css.fgov.be security@ksz-bcss.fgov.be Site web :
2 Agenda Organisation de la sécurité Conseiller en sécurité Sécurité de l Information Normes minimales
3 Agenda Organisation de la sécurité Principes généraux Service interne «Sécurité de l Information» Conseiller en sécurité Sécurité de l Information Normes minimales
4 Organisation de la sécurité (Principes) (1/3) Chaque institution est responsable de sa propre sécurité. Création d'un service interne de sécurité de l'information Art 2. AR Sécurité de l'information du 12 août 1993 Service de sécurité spécialisé agréé Art 2. Groupes de travail et sous-groupes de travail sectoriels Sécurité de l'information
5 Organisation de la sécurité (Principes) (2/3) Chaque institution est responsable de sa propre sécurité. Les directives décrivent uniquement les objectifs à poursuivre mais pas les moyens pour leur réalisation. En effet, ces moyens peuvent varier pour chaque institution. Le groupe de travail Sécurité a souhaité que toutes les institutions qui participent au réseau de la Banque Carrefour exécutent ces directives en fonction de leur spécificité. (Directives: site web BCSS - Page d'accueil Sécurité et vie privée Documentation - Sécurité Sécurité) Il appartient aux institutions de sécurité sociale de mettre en oeuvre les mesures de sécurité les plus appropriées compte tenu de leur situation spécifique et de l importance des moyens de fonctionnement à protéger. (Normes minimales: Site web BCSS: Page d'accueil Sécurité et vie privée Documentation - Sécurité Sécurité)
6 Organisation de la sécurité (Principes) (3/3) Dans le réseau de la sécurité sociale : l'approche commune en matière de sécurité de l'information a été déterminée par le Comité général de coordination : ISMS l'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque Carrefour de la sécurité sociale est basée sur l'application des normes minimales de sécurité par ses partenaires
7 Service interne Sécurité de l Information (1/2) Promouvoir le respect des règles de sécurité et l adoption d un comportement favorisant le respect de la sécurité par les différents membres de l entité. Rassembler de la documentation en vue de sa mission. Veiller au respect au sein de l entité des règles de sécurité imposées par une disposition légale ou réglementaire. Rédiger un plan de sécurité pour une durée de trois ans. Ce plan sera à revoir chaque année et à adapter si nécessaire. Il doit également être approuvé par l instance responsable de l entité concernée.
8 Service interne Sécurité de l Information (2/2) Fournir des avis qualifiés à la personne chargée de la gestion journalière de l institution. Exécuter les missions qui lui sont confiées par la personne chargée de la gestion journalière de l institution. Rédiger un rapport annuel à destination de la personne chargée de la gestion journalière de l institution. Le contenu de ce rapport est fixé par l article 8 de l arrêté royal du 12 août 1993.
9 Organisation de la sécurité Rôle du conseiller en sécurité Loi sur la BCSS 15 jan Loi sur la vie privée du 8 déc Rôle du Comité sectoriel de la sécurité sociale et de la santé LÉGISLATION ET RÈGLES Directive européenne vie privée du 24 oct Groupe de travail / Sous-groupe de travail Sécurité de l information A.R. du 12 août 1993
10 Agenda Organisation de la sécurité Conseiller en sécurité Sécurité de l Information Normes minimales
11 Conseiller en sécurité RESPONSABLE DE LA GESTION JOURNALIÈRE - missions MOYENS - formation générale en matière de sécurité de l'information - formation continue - connaissance de l'environnement informatique - temps nécessaire CONSEILLER EN SÉCURITÉ - avis - relation directe TRAVAUX - plan de sécurité - budget de sécurité - participation à des groupes de travail SIPP, Contrôle interne / Audit + autres services Service informatique Attention aux incompatibilités de fonctions
12 A.R. Sécurité de l Information (12/08/1993) Connaissance (art. 6) - environnement informatique - sécurité de l information - formation continue Outils (art. 7 et 8) : - plan de sécurité et budget de sécurité - rapport annuel Désignation (art. 4) - réseau primaire et institution de gestion - réseau secondaire Conseiller en sécurité (adjoints) travaille en collaboration, au besoin, avec : - service informatique - chef de service SIPP - médecin responsable Tâches (art. 3) - conseiller SS (tiers ou non) - conseiller BCSS travaille sous l'autorité fonctionnelle directe du responsable de la gestion journalière (art. 3)
13 Agenda Organisation de la sécurité Conseiller en sécurité Sécurité de l Information Définition GT. «Sécurité de l Information» ISMS Normes minimales
14 À propos des risques qui sont prévenus : Généralité La sécurité de l'information est un processus visant à protéger des données contre l'accès, l'utilisation, la diffusion, la destruction, ou la modification non autorisée. La sécurité de l'information n'est confinée ni aux systèmes informatiques, ni à l'information dans sa forme numérique ou électronique. Au contraire, elle s'applique à tous les aspects de la sûreté, la garantie, et la protection d'une donnée ou d'une information, quelle que soit sa forme.
15 À propos des risques qui sont prévenus : Confidentialité Définition: La confidentialité est la mesure dans laquelle le droit et la possibilité de lire, copier ou consulter sont limités à un groupe défini de personnes habilitées.
16 À propos des risques qui sont prévenus : Intégrité Définition: L intégrité signifie l exactitude et l intégralité de l information et de son traitement. En pratique: facile en format électronique, plus difficile sur papier. Fautes intentionnelles ou non: Les fautes intentionnelles sont par exemple la manipulation de documents importés, de programmes et de traitements et la modification non autorisée de fichiers. Les fautes non intentionnelles sont par exemple les erreurs de programmation, les pannes et les erreurs dans la saisie des données.
17 À propos des risques qui sont prévenus : Disponibilité Définition: Pouvons-nous, en tant qu utilisateurs autorisés, disposer à temps des données dont nous avons besoin pour l exécution de nos tâches?
18 À propos des risques qui sont prévenus : Non-Répudiation Définition: Le fait de ne pas pouvoir nier une action Par exemple : l'expéditeur ne peut pas nier avoir envoyé le message le récepteur ne peut pas nier avoir reçu le message la signature d'un contrat (signature numérique)
19 Groupe de travail «Sécurité de l Information» C.G.C. Création d'un groupe de travail Sécurité de l'information (AR Sécurité de l'information - 12/08/1993) Institué au sein du Comité général de coordination de la Banque Carrefour (art. 14 AR Sécurité de l'information du 12/08/1993) Président : Benoît Colin (Administrateur adjoint INAMI) Composition: les conseillers en sécurité du réseau primaire un conseiller en sécurité par réseau secondaire.
20 Sécurité de l Information (1/6) Objectif Prévenir les dommages pouvant atteinte le fonctionnement des systèmes d'information Prévenir le «viol» de la vie privée des citoyens. Augmentation du traitement numérique de l information au sein de la sécurité sociale Augmentation de la collaboration inter-institution Augmentation du risque et de l ampleur des dommages C'est pourquoi la vision en matière de sécurité de l'information et de protection de la vie privée est définie communément.
21 Sécurité de l Information (2/6) Le système intégré qui doit permettre d'aboutir à une sécurité maximale de l'information repose sur le développement d'un Information Security Management System (ISMS). Le développement et la mise en place de cet ISMS sont basés sur des mesures concrètes au travers du déploiement de 'mesures politiques' ou de 'contrôles'.
22 Sécurité de l Information (3/6) Norme minimale de sécurité: "Chaque institution de sécurité sociale connectée au réseau de la BCSS doit disposer d'une politique formelle de sécurité de l'information qui est actualisée en permanence" Approche intégrale propre à chaque institution: Information Security Management System (ISMS) Tous les aspects sont traités : organisation, processus, technique, ressources humaines,..
23 Sécurité de l Information (4/6) Focalisation sur les risques au niveau de : l'exactitude et de l'intégrité la disponibilité la confidentialité la non-répudiation l'authenticité l'auditabilité pour les informations, les systèmes de traitement des informations S intègre au niveau de l ISMS et des politiques de sécurités y associées.
24 Sécurité de l Information (5/6) Réalisation de politique de sécurité par le groupe de travail «Sécurité de l Information» Organisées conformément à la norme ISO Publiée sur le site web de la BCSS Inclus un inventaire Page d'accueil Sécurité et vie privée Documentation Sécurité Information Security Management System
25 Sécurité de l Information (6/6) Relation entre Loi BCSS, ISMS, Normes Minimales, Policies Loi Banque Carrefour 15/01/90 12/08/93 ISMS : METHODOLOGIE Comité Sectoriel de la Sécurité Sociale ISP (Information Security Policy) Directives Normes minimales Questionnaire Policy
26 Agenda Organisation de la sécurité Conseiller en sécurité Sécurité de l Information Normes minimales Définitions et règles Normes Politique de sécurité
27 Norme Minimales Définitions & Règles (1/4) Les institutions devant s intégrer au réseau de la Banque Carrefour doivent disposer d un plan pluriannuel actualisé mentionnant les mesures permettant de satisfaire aux normes minimales. Chaque année le Comité Sectoriel de la Sécurité Sociale et de la santé envoie par le biais de la BCSS un questionnaire à chaque entité sur le respect des normes minimales. Ce questionnaire permettra au Comite Sectoriel l évaluation du niveau de sécurité de l entité.
28 Norme Minimales Définitions & Règles (2/4) Sur base des questionnaires complétés, le Comité sectoriel de la sécurité sociale et de la santé peut faire effectuer des contrôles par un organisme externe dans ces institutions concernant le respect de certains points spécifiques des normes minimales de sécurité. En cas de non-respect de ces normes minimales, l entité concernée se verra, le cas échéant, interpellée par le Comité Sectoriel, et qui juridiquement pourrait se voir interdire, après mise en demeure, l'accès au réseau conformément à l'article 46, alinéa premier, 1, de la loi organique de la Banque Carrefour.
29 Les normes minimales de sécurité sont revisées régulièrement. Tâche du groupe de travail «Sécurité de l'information» du Comité général de coordination Approuvées par Le Comité de gestion de la BCSS Le Comité Sectoriel de la Sécurité Sociale et de la Santé Dernières révisions : Adaptées et rendues conformes à la numérotation du standard ISO 27002, aux recommandations du Comité sectoriel du Registre national et aux dernières modifications de la loi organique de la Banque Carrefour (Janvier 2009) 14 nouvelles normes Le nouveau questionnaire a été envoyé pour la première fois en janvier 2010 Adaptation afin d y intégrer des normes de qualités et disponibilités (Janvier 2011) Norme Minimales Définitions & Règles (3/4)
30 Norme Minimales Définitions & Règles (4/4) Ces normes minimales portent sur les aspects suivants (structure ISO 27002): la politique de sécurité de l'information, l'organisation de la sécurité, la gestion des ressources de l'entreprise, la sécurité liée aux collaborateurs, la sécurité physique et la protection de l'environnement, la gestion opérationnelle (sécurité du réseau, logging, protection contre des logiciels malveillants,...), la protection d accès logique, le développement et la maintenance de systèmes, la gestion des incidents, la gestion de la continuité, le respect (contrôle/audit).
31 Norme Minimales (1/5) 5. : Politique de sécurité de l information 5.1 : Information Security Policy 6. : Organisation de la sécurité de l information 6.1 : Organisation de la sécurité 6.2 : Plateforme de décision 6.3 : Réseau secondaire 6.4 : Usage sécurisé de la carte professionnelle pour les soins de santé 7. : Gestion des ressources de l entreprise 7.1 : Protection des ressources de l entreprise 7.2 : Inventaire 8. : Sécurité liée aux collaborateurs 8.1 : Internet et 8.2 : Usage de données à caractère personnel
32 Norme Minimales (2/5) 9. : Protection physique et protection de l environnement 9.1 : Protection physique de l accès 9.2 : Incendie, intrusion, dégâts causés par l eau 9.3 : Alimentation en électricité 10. : Gestion opérationnelle 10.1 : Accès aux systèmes informatiques par les gestionnaires d information 10.2 : Détection d infractions à la sécurité 10.3 : Connexion TCP/IP externe - réseau primaire 10.4 : Connexion TCP/IP externe - réseau secondaire 10.5 : Protection contre des codes nocifs 10.6 : Vérifier les exigences de sécurité avant la mise en production
33 Norme Minimales (3/5) 10. : Gestion opérationnelle (suite) 10.7 : Sécurité au niveau du réseau 10.8 : Echange d information 10.8.a : Gestion des flux extranet 10.8.b : Qualité de service des échanges d informations à caractère social 10.9 : Policy et procédure de sauvegarde : Logging de l accès : Zone «UserID» : Eviter un single point of control
34 Norme Minimales (4/5) 11. : Protection de l accès (logique) 11.1 : Protection des données 11.2 : Autorisation du Comité sectoriel 11.3 : Accès à distance 11.4 : Protection des données sur des médias mobiles 12. : Développement et maintenance des systèmes 12.1 : Sécurité de l information dans le cadre de projets 12.2 : Documentation 12.3 : Méthode de développement structurée 13. : Gestion d incidents relatifs à la sécurité de l information 13.1 : Incidents majeurs
35 14. : Gestion de la continuité Analyse des risques 15. : Respect 15.1 : Audit externe Norme Minimales (5/5)
36 Politique de sécurité (1/3) Gestion des biens Policy Dataclassification Policy Datasecurity Sécurité liée aux ressources humaines Code éthique de bonne conduite pour les conseillers en sécurité Gestionnaire des accès aux portails au sein d une institution de la sécurité sociale Politique de sécurité concernant les règles d utilisation d un token fonctionnaire Code de Bonne Conduite des gestionnaires d information au sein du réseau de la Sécurité Sociale Sécurité physique et environnementale Sécurité physique et protection de l'environnement
37 Politique de sécurité (2/3) Gestion des communications et de l'exploitation Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel par les acteurs du secteur social Politique de protection des postes de travail Politique générale sur l'utilisation d'internet Politique générale sur l'utilisation des messages électroniques Acquisition, développement et maintenance des systèmes d'information Liste de contrôle pour la sécurité de l'information lors du développement de projets
38 Politique de sécurité (3/3) Contrôle d'accès WLAN (Limité à Wi-Fi) Politique d accès à distance au réseau interne d une institution en utilisant une solution VPN par un fournisseur de services de cette institution Politique technique pour les institutions clientes Politique d accès à distance au réseau interne d une institution en utilisant la solution VPN Smals Politique technique pour les institutions clientes et les utilisateurs finaux Politique de sécurité PC portable Conformité légale et réglementaire Logs à caractère sécuritaire dans les applications du réseau de la Sécurité Sociale
39 Questions? Vragen? Questions?
40 Merci de votre attention Bedankt voor uw aandacht Thanks for your attention