POLICY : GESTIONNAIRE DE SÉCURITÉ

Transcription

1 POLICY : GESTIONNAIRE DE SÉCURITÉ Autres auteurs Mise à jour 10/03/2006 Nom Fonction Date Révisé par Approuvé par Direction Générale Gestion des Services 23/06/2005

2 1 CONTRIBUTEURS Nom Delphine Duprez Samoera Jacobs Peter Maes Alain Huet Fonction Expert Gestion des services Juriste Services Manager Conseiller en chef de la sécurité de l information Ces directives sont exclusivement maintenues par Fedict et sont destinées à l'autorité publique belge et aux institutions publiques et privées de droit belge à qui des tâches d'intérêt général ont été confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance. Sauf autorisation explicite de Fedict, les services publics ne sont pas autorisés, de quelque manière que ce soit, à adapter les directives, les communiquer au public ni à créer des directives dérivées. Le service public doit prendre les mesures organisationnelles, techniques et administratives nécessaires pour assurer l'intégrité, la protection et la confidentialité des directives. Les directives sont protégées par les droits de propriété intellectuelle dont le gouvernement fédéral est le détenteur. SPF FEDICT 2006 Page 2 sur 15

3 2 HISTORIQUE Date Auteur Version Commentaires et remarques 01/06/05 A.Staquet 0.0.a Version initiale 23/01/06 A.Staquet 0.2.a Version intégrant les différents commentaires formulés SPF FEDICT 2006 Page 3 sur 15

4 3 TABLE DES CHAPITRES 1 CONTRIBUTEURS 2 2 HISTORIQUE 3 3 TABLE DES CHAPITRES 4 4 AUDIENCE 5 5 OBJECTIF 6 6 POLICY 7 7 TABLE DES MATIÈRES 15 SPF FEDICT 2006 Page 4 sur 15

5 4 AUDIENCE Le présent document s adresse à toutes les personnes qui ont la responsabilité et l autorité de nommer les contacts de sécurité, les gestionnaires de sécurité délégués, les gestionnaires de sécurité ou les gestionnaires de sécurité principaux ; mais également à la personne chargée de remplir la mission de contact de sécurité, de gestionnaire de sécurité délégué, de gestionnaire de sécurité ou de gestionnaire de sécurité principal. SPF FEDICT 2006 Page 5 sur 15

6 5 OBJECTIF L objectif du présent document est de définir les règles de nomination au poste et d exécution de la mission de contact de sécurité, de gestionnaire de sécurité délégué, de gestionnaire de sécurité ou de gestionnaire de sécurité principal. SPF FEDICT 2006 Page 6 sur 15

7 6 POLICY [1] Fonctions reconnues par la loi [1.bis] Fonction abrogée Les fonctions de sécurité suivantes sont reconnues par la loi : Officier de sécurité : L officier de sécurité est chargé de la gestion des habilitations et des documents classifiés au sein de son organisation et veille aux mesures de sécurité des moyens techniques de transmission des données classifiées. Le gestionnaire du système d information ne peut exercer les fonctions d officier de sécurité. Référence : Arrêté royal portant exécution de la loi du 11 décembre 1998 relative à la classification et aux habilitations de sécurité. Conseiller en sécurité de l information : Le conseiller en sécurité de l information assure, pour concourir à la sécurité des données sociales traitées ou échangées par son institution (et à la protection de la vie privée des personnes auxquelles ces données sociales ont trait) : la fourniture d'avis qualifiés à la personne chargée de la gestion journalière ; l'exécution de missions qui lui sont confiées par la personne chargée de la gestion journalière. Référence : Loi relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale (loi du 15 janvier 1990). Synonymes : les synonymes suivants sont d application : conseiller en chef en sécurité de l information conseiller en sécurité. La fonction suivante est abrogée et remplacée (voir point 1.ter) : Consultant en sécurité Le consultant en sécurité créé des Tokens fonctionnaire, octroie ou annule l'accès, octroie des rôles dans les applications en ligne aux fonctionnaires et demande le Token fonctionnaire. Il veille également à la sécurité des données. En concertation avec le propriétaire de l'application, il détermine qui peut ou non avoir accès à cette application. Au sein de cette application, il détermine le type de données que le fonctionnaire est autorisé à lire, écrire, modifier ou supprimer. Ceci se fait aussi en concertation avec le propriétaire de l'application. C'est ce qu'on appelle l'octroi de rôles. Référence : Voir la définition donnée par le portail fédéral 1 Important : la fonction de consultant en sécurité est abrogée et remplacée par celle de gestionnaire de sécurité. 1 Lien vers la définition de «consultant en sécurité» : ontentpage&docid=30716 SPF FEDICT 2006 Page 7 sur 15

8 [1.ter] Fonctions d application [2] Qu est-ce qu une institution? [3] Quelles sont les institutions concernées? [4] Qu est-ce qu un Token fonctionnaire? [5] Organisation et responsabilité des gestionnaires et contacts de sécurité Les fonctions suivantes remplacent celle du Consultant en sécurité (voir point 1.bis) : Fonctions Gestionnaire de sécurité Gestionnaire de sécurité délégué Contact de sécurité Rôle Le gestionnaire et le contact de sécurité sont responsables de la gestion opérationnelle et quotidienne du Token fonctionnaire au sein de leur institution ainsi que des relations entre institutions liées au Token fonctionnaire. Une description complète des fonctions de gestionnaire et de contact de sécurité est donnée dans la présente policy. Organisme de droit belge à qui des tâches d'intérêt général ont été confiées en vertu d'une loi, d un décret ou d une ordonnance. Toutes institutions visées par la définition de l institution (voir [1]) pour lesquelles au moins un membre de son personnel doit être en possession d un Token fonctionnaire pour pouvoir remplir sa mission. Un Token est une liste de 24 codes personnels écrite sur une carte (format carte de crédit). Il est utilisé pour renforcer l authentification sur le portail et permettre l accès à des services en ligne sécurisés propres à l Administration. Les gestionnaires et contacts de sécurité ont un rôle opérationnel et sont organisés de la façon suivante : Le gestionnaire de sécurité principal (Fedict) est le responsable global de la gestion du Token fonctionnaire et il rapporte au Directeur Général Gestion des Services (Fedict). Il est secondé soit par des gestionnaires de sécurité, soit par des contacts de sécurité ; Le gestionnaire de sécurité rapporte au gestionnaire de sécurité principal et est responsable d une institution (agence) de grande importance. Il est secondé soit par des gestionnaires de sécurité délégués, soit par des contacts de sécurité ; Le gestionnaire de sécurité délégué rapporte au gestionnaire de sécurité et est responsable d une institution de moyenne importance (département) dépendant d une institution de grande importance. Il est secondé le cas échéant par des contacts de sécurité ; Le contact de sécurité rapporte, suivant l organisation, soit au gestionnaire de sécurité principal, soit à un gestionnaire de sécurité, soit à un gestionnaire de sécurité délégué. Il est responsable d un petit groupe d utilisateurs de Token fonctionnaire. Le schéma suivant montre les dépendances organisationnelles entre ces différentes fonctions : SPF FEDICT 2006 Page 8 sur 15

9 GESTIONNAIRE DE SECURITE PRINCIPAL FEDICT GESTIONNAIRE DE SECURITE Institution / Agence de grande importance ( * ) GESTIONNAIRE DE SECURITE DELEGUE Institution / Département de moyenne importance ( * ) CONTACT DE SECURITE Institution de faible importance ( * ) CONTACT DE SECURITE Institution de faible importance ( * ) CONTACT DE SECURITE Institution de faible importance ( * ) U T I L I S A T E U R S D E T O K E N F O N C T I O N N A I R E (*) Importance = nombre d utilisateurs de Token fonctionnaire au sein de l organisation concernée [5.bis] Limite de la fonction [6] Rôle du gestionnaire de sécurité principal La limite de la fonction de gestionnaire de sécurité : le gestionnaire de sécurité ou gestionnaire de sécurité délégué ne peuvent en aucun cas s auto-attribuer un rôle opérationnel dans les applications. Cette remarque ne s applique pas aux fonctions suivantes : Gestionnaire de sécurité principal Le gestionnaire de sécurité principal doit pouvoir intervenir en tant qu administrateur pour les gestionnaires et contacts de sécurité. Contact de sécurité Le contact de sécurité n a pas les privilèges nécessaires pour s auto-attribuer un rôle opérationnel dans les applications. Le gestionnaire de sécurité principal assume les tâches suivantes : Saisir les demandes relatives aux utilisateurs ; Créer l utilisateur sur le portail fédéral le cas échéant ; Assurer la liaison avec l ensemble des gestionnaires et contacts de sécurité ; Définir les institutions (agences et départements) dans le système de gestion des utilisateurs en collaboration avec P&O et la BCE (pour créer le numéro BCE) ; Définir les gestionnaires et contacts de sécurité dans le système de gestion des utilisateurs ; Prendre en charge tout problème rapporté lié au Token SPF FEDICT 2006 Page 9 sur 15

10 [7] Rôle du gestionnaire de sécurité [8] Rôle du gestionnaire de sécurité délégué fonctionnaire ; Demander un (nouveau) Token dans les cas suivants L utilisateur n a pas reçu son Token fonctionnaire ; L utilisateur a perdu son Token fonctionnaire ; L utilisateur s est fait voler son Token fonctionnaire. Désactiver un Token fonctionnaire si celui-ci n est plus utile (exemple : démission, retraite, absence de longue durée ) et le réactiver si nécessaire ; Réceptionner les courriers contenant les Tokens et les remettre de façon sûre aux utilisateurs ; Sensibiliser et former les gestionnaires et contacts de sécurité à leurs responsabilités et les former aux tâches et outils qu ils utiliseront. Le gestionnaire de sécurité assume les tâches suivantes : Saisir les demandes relatives aux utilisateurs ; Assurer la liaison avec le gestionnaire de sécurité principal ; Prendre en charge tout problème lié au Token fonctionnaire rapporté par les utilisateurs ; Demander un (nouveau) Token dans les cas suivants L utilisateur n a pas reçu son Token fonctionnaire ; L utilisateur a perdu son Token fonctionnaire ; L utilisateur s est fait voler son Token fonctionnaire. Désactiver un Token fonctionnaire si celui-ci n est plus utile (exemple : démission, retraite, absence de longue durée ) et le réactiver si nécessaire ; Réceptionner les courriers contenant les Tokens et les remettre de façon sûre aux utilisateurs ; Assurer la liaison avec les gestionnaires de sécurité délégués et les contacts de sécurité qui dépendent de son institution ; Définir les départements de l institution dans le système de gestion des utilisateurs ; Ajouter les gestionnaires de sécurité délégués et les contacts de sécurité dans le système de gestion des utilisateurs ; Sensibiliser et former les gestionnaires de sécurité délégués et contacts de sécurité adjoints à leurs responsabilités et les former aux tâches et outils qu ils utiliseront. Autre terminologie : Administrateur d agence Le gestionnaire de sécurité délégué assume les tâches suivantes : Saisir les demandes relatives aux utilisateurs ; Assurer la liaison avec le gestionnaire de sécurité ; Prendre en charge tout problème lié au Token fonctionnaire rapporté par les utilisateurs ; Demander un (nouveau) Token dans les cas suivants L utilisateur n a pas reçu son Token fonctionnaire ; L utilisateur a perdu son Token fonctionnaire ; SPF FEDICT 2006 Page 10 sur 15

11 [9] Rôle du contact de sécurité L utilisateur s est fait voler son Token fonctionnaire. Désactiver un Token fonctionnaire si celui-ci n est plus utile (exemple : démission, retraite, absence de longue durée ) et le réactiver si nécessaire ; Réceptionner les courriers contenant les Tokens et les remettre de façon sûre aux utilisateurs ; Assurer la liaison avec les contacts de sécurité qui dépendent de son institution ; Définir les départements de l institution dans le système de gestion des utilisateurs ; Ajouter les gestionnaires de sécurité délégués et les contacts de sécurité dans le système de gestion des utilisateurs ; Sensibiliser et former les contacts de sécurité à leurs responsabilités et les former aux tâches et outils qu ils utiliseront. Autre terminologie : Administrateur de département Le contact de sécurité assume les tâches suivantes : Valider les formulaires de demande et les transmettre au gestionnaire de sécurité ; Eventuellement, il garde une copie des formulaires. Réceptionner les courriers contenant les Tokens et les remettre de façon sûre aux utilisateurs ; Rapporter au gestionnaire de sécurité tout problème lié au Token fonctionnaire ; Assurer la liaison avec le gestionnaire de sécurité. [10] Vue d ensemble Le tableau suivant donne un récapitulatif de la dépendance organisationnelle et de l attribution des rôles pour les contacts et gestionnaires de sécurité : SPF FEDICT 2006 Page 11 sur 15

12 Gestionnaire de sécurité principal Gestionnaire de sécurité Gestionnaire de sécurité délégué Est placé sous la responsabilité du... Gestionnaire de sécurité principal (fedict) Gestionnaire de sécurité (Agence) Gestionnaire de sécurité délégué (Département) Contact de sécurité Rôles Ajouter les gestionnaires de sécurité délégués et les contacts de sécurité dans le système de gestion des utilisateurs Assurer la liaison avec l ensemble des gestionnaires et contacts de sécurité Assurer la liaison avec le gestionnaire de sécurité Assurer la liaison avec le gestionnaire de sécurité principal Assurer la liaison avec les gestionnaires de sécurité délégués et les contacts de sécurité qui dépendent de son institution Assurer la liaison avec les contacts de sécurité qui dépendent de son institution Créer l utilisateur sur le portail fédéral le cas échéant Définir les départements de l institution dans le système de gestion des utilisateurs Définir les gestionnaires et contacts de sécurité dans le système de gestion des utilisateurs Définir les institutions (agences et départements) dans le système de gestion des utilisateurs en collaboration avec P&O et la BCE (pour créer le numéro BCE) Demander un (nouveau) Token Désactiver un Token fonctionnaire si celui-ci n est plus utile (exemple : démission, retraite, absence de longue durée ) et le réactive si nécessaire Prendre en charge tout problème lié au Token fonctionnaire rapporté par les utilisateurs Prendre en charge tout problème rapporté lié au Token fonctionnaire Rapporter au gestionnaire de sécurité tout problème lié au Token fonctionnaire Réceptionner les courriers contenant les Tokens et les remettre de façon sûre aux utilisateurs Saisir les demandes relatives aux utilisateurs Sensibiliser et former les contacts de sécurité à leurs responsabilités et les former aux tâches et outils qu ils utiliseront Sensibiliser et former les gestionnaires de sécurité délégués et contacts de sécurité à leurs responsabilités et les former aux tâches et outils qu ils utiliseront Sensibiliser et former les gestionnaires et contacts de sécurité à leurs responsabilités et les former aux tâches et outils qu ils utiliseront Valider les formulaires de demande et les transmettre au gestionnaire de sécurité Faire suivre les avis de départ et d'arrivée d'un utilisateur du Token fonctionnaire Destruction d'un Token fonctionnaire Assurer la fonction en cas d'absence prolongée ou de départ Contact de sécurité [11] En tant qu utilisateur d un Token fonctionnaire Les gestionnaires et contacts de sécurité doivent respecter les mêmes règles d attribution et d utilisation du Token fonctionnaire que les utilisateurs. Référence : Policy de l utilisateur [12] Vie privée Les gestionnaires et contacts de sécurité s engagent à respecter la loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (loi du 8 décembre 1992). SPF FEDICT 2006 Page 12 sur 15

13 [13] Registre national Les gestionnaires et contacts de sécurité s engagent à respecter la loi organisant un Registre national des personnes physiques (loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d'identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques). [14] Spécificités de la mission [15] Condition pour remplir la fonction de gestionnaire et contact de sécurité [16] Désignation des gestionnaires et contacts de sécurité [17] Conservation des documents [18] Consultation des documents [19] Liste des habilités à signer [20] Contrôle des demandes d accès aux services en ligne pour fonctionnaires La mission de gestionnaire et de contact de sécurité revête un caractère confidentiel (voir le point sur la vie privée). Les gestionnaires et contacts de sécurité ne peuvent rapporter, dans le cadre du Token fonctionnaire, qu au gestionnaire de sécurité dont ils dépendent ; exception faite pour le gestionnaire de sécurité principal qui dépend du Directeur Général Gestion des Services (Fedict). La personne désignée comme gestionnaire ou contact de sécurité doit être d une conduite en rapport avec la fonction, jouir de ses droits civils et politiques et faire preuve d honorabilité et d intégrité. La personne doit être utilisateur du Token fonctionnaire. Les gestionnaires et contacts de sécurité sont nommés au sein d une institution par le responsable de cette institution sur demande du gestionnaire de sécurité principal ou du gestionnaire de sécurité et en accord avec celui-ci. Le gestionnaire de sécurité principal est nommé par le Directeur Général Gestion des Services (Fedict). Les documents concernant le Token fonctionnaire, et plus particulièrement tous ceux où le numéro de Registre national est mentionné, doivent être conservés de façon sûre. Les documents concernant le Token fonctionnaire sont consultables sur demande auprès du gestionnaire ou contact de sécurité qui en a la charge. Les personnes ayant le droit de demander la consultation de documents sont les suivantes : L utilisateur : L utilisateur ne peut consulter que les documents le concernant. Le gestionnaire de sécurité dont dépend le gestionnaire de sécurité délégué ou le contact de sécurité visé : Le gestionnaire de sécurité peut consulter tous les documents relatifs au Token fonctionnaire se trouvant sous la responsabilité du gestionnaire de sécurité délégué ou contact de sécurité sous son autorité. Chaque gestionnaire et contact de sécurité doivent avoir en sa possession une liste des habilités à signer un formulaire de demande d accès aux services en ligne pour fonctionnaires pour les utilisateurs de son institution. Par niveau d organisation des gestionnaires et contacts de sécurité, il y a consolidation des différentes listes des habilités à signer. Le gestionnaire de sécurité principal a en sa possession la liste complète des habilités à signer pour l ensemble des institutions utilisant le Token fonctionnaire. Toutes les signatures faites par l autorité sur un document en relation avec le Token fonctionnaire doivent être vérifiées par le contact ou gestionnaire de sécurité par rapport à la liste des habilités à signer. SPF FEDICT 2006 Page 13 sur 15

14 [21] Sanctions Le non-respect de la charte de l utilisateur et de la présente policy peut donner lieu à une enquête pouvant entraîner une sanction conformément aux règles en vigueur dans l institution 2. L importance de la sanction est proportionnelle au rôle de l utilisateur par rapport au Token : [22] Acceptation de la fonction Rôle utilisateur par rapport au Token Gradation de la sanction 3 Simple utilisateur + Contact de sécurité 4 ++ Gestionnaire de sécurité délégué Gestionnaire de sécurité principal ++++ Par l acceptation des conditions suivantes, le gestionnaire ou contact de sécurité s engage à respecter les termes de sa mission et est conscient des sanctions liées au non-respect de ces conditions. Conditions : Acceptation de la charte d utilisation du Token fonctionnaire ; Acceptation de la policy utilisateur ; Demande pour devenir gestionnaire ou contact de sécurité ; Acceptation de la présente policy. 2 Si nécessaire, adapter le Règlement de Travail en ce sens. 3 Gradation de la sanction : Du simple blâme ( + ) à la sanction lourde ( ++++ ). 4 Le contact de sécurité pourrait avoir les mêmes sanctions qu un gestionnaire de sécurité délégué. 5 Le gestionnaire de sécurité délégué pourrait avoir les mêmes sanctions que pour le gestionnaire de sécurité principal. SPF FEDICT 2006 Page 14 sur 15

15 7 TABLE DES MATIÈRES 1 CONTRIBUTEURS 2 2 HISTORIQUE 3 3 TABLE DES CHAPITRES 4 4 AUDIENCE 5 5 OBJECTIF 6 6 POLICY 7 7 TABLE DES MATIÈRES 15 SPF FEDICT 2006 Page 15 sur 15