Code de Bonne Conduite des gestionnaires d information au sein du réseau de la Sécurité Sociale. (1)

Transcription

1 ISMS (Information Security Management System) Code de Bonne Conduite des gestionnaires d information au sein du réseau de la Sécurité Sociale. (1) Version control please always check if you re using the latest version Release Date Author s Reason for change Approved by /06/2005 Sous groupe Policy Draft 2.0 6/07/2005 Sous groupe Policy Fin lecture complète /07/2005 Sous groupe Policy Relecture /07/2005 Sous groupe Policy Relecture /09/2005 Sous groupe Policy Lecture version FR + NL Sous / groupe policy /09/2005 Sous groupe Policy Validation Groupe de Travail Sécurité de l information (1) Ce document est basé sur le document Code de Bonne Conduite pour les gestionnaires d information de l organisation ADM. Remarque : ce document reprend les remarques d'un groupe de travail auquel a participé Madame Minnaert (INASTI), Messieurs Bollen (ONSS), Bouamor (Cimire), Costrop (SMALS- MvM), De Ronne (ONVA), Gossiaux (BCSS), Goumet (BCSS), Laridon (FAT), Petit (FMP), Symons (ONEm), Van Cutsem (ONSS-APL), Van Der Goten (INAMI). Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document. Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque Carrefour de la sécurité sociale, La diffusion éventuelle à des fins commerciales doit faire l objet d une autorisation écrite préalable de la part de la Banque Carrefour de la sécurité sociale. P 1

2 1 Introduction et portée. L objectif de ce code de bonne conduite est de définir les règles à suivre par les gestionnaires d information au sein des organisations qui composent le réseau de la Sécurité Sociale. Ce code de bonne conduite s inscrit dans le cadre de la stratégie de la politique de sécurité du réseau de la Sécurité Sociale énoncée dans le document Information Security Management System approuvée par le Comité Général de Coordination de la Banque carrefour de la sécurité sociale. 2 Champ d application. Aujourd hui personne ne met en doute que les Technologies de l'information et de la Communication (TIC) jouent un rôle important dans la vie économique. Le bon fonctionnement des réseaux, des systèmes informatiques et des logiciels est d une importance cruciale pour une multitude de gouvernements, d organisations et de personnes privées qui dépendent largement de leur infrastructure TIC et, par conséquent, de leurs gestionnaires d information. Avant de préciser les rôles et responsabilités des gestionnaires d information, il n est pas inutile de rappeler les missions du conseiller en sécurité de l information au sein du réseau de la Sécurité Sociale. Le conseiller en sécurité de l information est notamment tenu de faire respecter les lois de protection de la vie privée. Il a également une mission d avis, de stimulation, de documentation, de contrôle et de promotion du respect des règles de sécurité imposées par une disposition légale ou règlementaire ou en vertu d une telle disposition. Il est aussi responsable de l adoption, par les personnes employées dans l organisation, d un comportement favorisant la sécurité. Dans ce cadre il est à l évidence un partenaire privilégié des gestionnaires d information. Le conseiller en sécurité de l information est soumis au respect d un code ethique de bonne conduite qui balise sa mission au sein de son organisation. Les gestionnaires d information peuvent être définis comme toutes personnes qui possèdent, dans le cadre de leurs responsabilités pour un système TIC, des droits d accès qui excèdent l usage fonctionnel des données. Il s agit entre autres des développeurs, des gestionnaires et opérateurs systèmes, des gestionnaires de données, des développeurs et gestionnaires de logiciels, des opérateurs de réseau, des consultants et des sous-traitants. Ce code de bonne conduite n ambitionne pas de définir en détail le travail des gestionnaires d information ou de servir de manuel technique. D autres documents, tels que l I(nformation) S(ecurity P(olicy), les policies, d autres codes de bonne conduite ou les règlements de travail ont déjà cette fonction. Ce code de bonne conduite n'offre pas non plus une solution concrète pour chaque problème éthique ou politique auquel un gestionnaire d information peut être confronté dans l exécution de sa fonction. Par contre, ce code veut sensibiliser les gestionnaires d information de l importance d'exercer leurs pouvoirs dans le respect de l'éthique: l intégrité d'un gestionnaire d'information fait partie P 2

3 de ses qualités professionnelles. Les gestionnaires d information peuvent donc prendre ce code comme guide dans leurs activités quotidiennes. De plus, le gestionnaire d information peut considérer ce code comme une invitation constante à confronter sa conduite professionnelle à l éthique et, le cas échéant, à adapter sa conduite. Pour les autres collaborateurs de l organisation, il est utile de savoir que la fonction du gestionnaire d information est délimitée par certaines règles. Pour l employeur, il est utile de préciser comment le gestionnaire d information doit utiliser ses capacités dans l intérêt de l organisation. 3 Exigences L intégrité éthique du gestionnaire de l information Le gestionnaire d information doit être objectif et impartial dans l'exécution de sa fonction. Commentaire : Cet article est une directive générale qui précise l attitude du gestionnaire de l information. Celui-ci exécute sa fonction de manière critique et responsable. Il essaie de tenir compte de tous les intérêts impliqués et il base ses décisions sur un jugement rationnel en fonction de toutes les données pertinentes Le gestionnaire d information essaie d éviter les conflits d intérêts personnels. Il informe ses supérieurs si un tel conflit d intérêts se présente. Commentaire : ces conflits d'intérêts personnels sont incompatibles avec l intérêt de l organisation, par exemple, le fait d'utiliser des pratiques et des comportements incorrects pour défendre sa propre position dans l organisation Le gestionnaire d information utilise ses capacités d une manière appropriée, au service de l organisation et des utilisateurs des systèmes TIC. Commentaire : Un gestionnaire d information dispose de connaissances de grande valeur, mais il doit veiller à les utiliser d'une façon appropriée qui soit dans l intérêt de l organisation Le gestionnaire d information essaie de développer une collaboration harmonieuse avec le personnel de l organisation. Commentaire : Cet article essaie d éviter que le gestionnaire d information devienne une sorte d étranger dans sa propre organisation, ou adopte un tel comportement au détriment des P 3

4 intérêts de l organisation. Pour l application de cet article, les consultants externes doivent être considérés comme faisant partie de l organisation Le gestionnaire d information évite de donner une fausse image de ses capacités techniques et fait appel à une assistance technique le cas échéant Le gestionnaire d information fait des efforts pour suivre les évolutions dans son domaine d activité L intégrité et la disponibilité de l information Le gestionnaire d information veille au bon fonctionnement du système et applique les actions nécessaires pour assurer l intégrité et la disponibilité du système ou du réseau informatique. Commentaire : le gestionnaire d information s abstient notamment d effectuer d'autres actions que celles ayant pour but d'assurer le bon fonctionnement du système informatique dans l intérêt de l organisation Il veille à ce que ces actions ne causent pas la perte, l indisponibilité ou la destruction des données et ou des applications Dès lors que certaines actions des utilisateurs peuvent nuire à l intégrité ou à la disponibilité du système, du réseau informatique ou des données, le gestionnaire d information doit, dans le cadre de ses responsabilités, contrôler le respect des politiques de l organisation et, si nécessaire, en faire part à sa hiérarchie. S'il constate que certaines de ces actions ne tombent pas dans le champ d'application des politiques existantes, il en informera le conseiller en sécurité de l'information qui prendra les mesures nécessaires dans l'intérêt général de l'organisation Le gestionnaire d'information veille à ce que l'accès au système soit assuré et limité aux personnes qui en ont besoin dans le cadre de leur fonction. P 4

5 3.3. La protection de l information. Le respect de la loi sur la vie privée et la protection des données personnelles Les gestionnaires d information ont accès à une importante quantité de données à caractère personnel, auxquelles s'appliquent les dispositions relatives à la protection de la vie privée et des données personnelles. Commentaire :" Données à caractère personnel" toute information concernant une personne physique identifiée ou identifiable, désignée ci-après "personne concernée"; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.» Le gestionnaire d information est conscient qu il faut protéger les données à caractère personnel Le gestionnaire d'information signale les risques propres à son domaine d activité, insiste auprès de sa hiérarchie pour obtenir des directives appropriées en relation avec ces risques et assure des mesures techniques et organisationnelles en sécurisant et protégeant les données à caractère personnel contre tout traitement non autorisé de ces données. Commentaire: en définissant les directives "appropriées", il faut tenir compte, d'une part, du développement technique et du coût des mesures et, d'autre part, de la nature des données à sécuriser et des risques potentiels Le gestionnaire d information veille à ce que les tiers aussi respectent les dispositions relatives à la protection des données personnelles. Commentaire: par exemple l'entretien ou la réparation du système informatique par des tiers. Ils doivent avoir connaissance des obligations pertinentes concernant la protection des données personnelles. Contrôle de la communication électronique en ligne et accès aux fichiers Le gestionnaire d'information peut contrôler la communication électronique en ligne et les accès aux fichiers dans les limites des ses compétences et dans le respect des dispositions légales et réglementaires. P 5

6 Données confidentielles Le gestionnaire d'information part du principe selon lequel toutes les informations de l'organisation sont confidentielles et doivent donc être traitées en tant que telles. Commentaire: il s'agit, par exemple, non seulement des données à caractère personnel (notamment données médicales), mais également des secrets professionnels, du savoir-faire et d'autres données sensibles. Le gestionnaire d'information ne peut abuser de ces données L obligation d information et de documentation Le gestionnaire d'information informe clairement les utilisateurs de l usage autorisé du système informatique Le gestionnaire d'information explique les actions opérationnelles qu'il entreprend pour que l'utilisateur concerné soit suffisamment informé des conséquences de celles-ci sur l'usage du système. Cette information doit être communiquée à temps et de manière compréhensible. Commentaire: Il s'agit des interventions du gestionnaire d'information par exemple dans le cadre de l adaptation d un système Le gestionnaire d information veille à maintenir une documentation actualisée décrivant le système (exemple : les développements, le hard- et software, l infrastructure) de telle façon que chaque personne concernée puisse avoir une vue d ensemble de ce système dans le but de garantir une gestion continue. Commentaire : Il s agit de l hypothèse dans laquelle le gestionnaire d information ne peut plus exercer sa fonction pour une raison quelconque. Un autre gestionnaire d information doit alors être dans la possibilité de continuer la gestion d une manière efficace. C est pourquoi un inventaire approprié de l infrastructure est nécessaire.. 4 Réglementation. Le non-respect de ce code de bonne conduite peut donner lieu à une sanction conformément à la réglementation en vigueur au sein de l organisation. La réglementation en vigueur au sein de l organisation devra éventuellement être adaptée afin de pouvoir sanctionner le non-respect de ce code de bonne conduite. 5 Maintenance, suivi et révision. La maintenance, le suivi et la révision de ce code de bonne conduite est de la responsabilité du groupe de travail sécurité de l information. P 6