ISMS. Normes Minimales. Version (Information Security Management System)

Transcription

1 ISMS Normes Minimales Version 2011 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Bochart (BCSS), Costrop (Smals), Noël (BCSS), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI),

2 Table des matières 1. PRÉLIMINAIRES CHAMP D APPLICATION ET INTERPRÉTATION CHAMP D APPLICATION DES NORMES INTERPRÉTATION DES NORMES OBJECTIFS POURSUIVIS NORMES MINIMALES STRUCTURE IS : POLITIQUE DE SÉCURITÉ DE L INFORMATION ORGANISATION DE LA SÉCURITÉ DE L INFORMATION GESTION DES RESSOURCES DE L ENTREPRISE SÉCURITÉ LIÉE AUX COLLABORATEURS PROTECTION PHYSIQUE ET PROTECTION DE L ENVIRONNEMENT GESTION OPÉRATIONNELLE PROTECTION DE L ACCÈS (LOGIQUE) DÉVELOPPEMENT ET MAINTENANCE DE SYSTÈMES GESTION D INCIDENTS RELATIFS À LA SÉCURITÉ DE L INFORMATION GESTION DE LA CONTINUITÉ RESPECT MAINTIEN, SUIVI ET RÉVISION SANCTION P 2

3 1. Préliminaires Le document intitulé Directives en matière de sécurité au niveau des institutions participant au réseau géré par la Banque Carrefour fixe les objectifs en matière de sécurité à poursuivre par chaque institution. Les normes minimales de sécurité décrites dans le présent document, en revanche, doivent obligatoirement être respectées par les institutions de sécurité sociale si elles souhaitent accéder et maintenir l accès au réseau de la Banque Carrefour. Les normes ont donc force obligatoire. Le contrôle du respect des normes est réalisé à partir d un questionnaire qui est transmis par l intermédiaire de la Banque Carrefour au comité sectoriel de la sécurité sociale et de la santé pour évaluation. Il appartient à l institution de remplir dûment le questionnaire et de veiller au respect des normes. Le comité sectoriel de la sécurité sociale et de la santé peut, le cas échéant, (faire) réaliser des contrôles sur place afin d'évaluer sur le terrain le respect des normes minimales de sécurité par les institutions de sécurité sociale. Certaines institutions occupent plusieurs bâtiments ou disposent de (petits) bureaux régionaux. Les normes minimales de sécurité doivent également y être respectées, en particulier sur le plan de la sécurité physique (protection de l accès, sécurité incendie, ). 2. Champ d application et interprétation 2.1. Champ d application des normes Les normes minimales de sécurité explicitées ci-après s appliquent aux institutions de sécurité sociale, visées à l article 2, alinéa 1 er, 2 de la loi du 15 janvier 1990 relative à l institution et à l organisation d une Banque-carrefour de la sécurité sociale 1. La mise en œuvre et le contrôle des normes minimales de sécurité auprès de tiers qui traitent 2 des données sociales à caractère personnel pour le compte d une institution de sécurité sociale, incombent en premier lieu à l institution qui a confié les travaux au tiers. Sur base des questionnaires complétés qui lui sont transmis par les institutions, le comité sectoriel de la sécurité sociale et de la santé peut faire effectuer des contrôles par un organisme externe dans ces institutions concernant le respect de certains points spécifiques des normes minimales de sécurité. En outre, les normes ne s appliquent en principe qu au traitement de données sociales à caractère personnel. Les normes minimales doivent toutefois également être appliquées dans le cadre de la délibération n 21/2004 du 12 juillet 2004, par laquelle certaines institutions de sécurité sociale ont été autorisées par la Commission de la protection de la vie privée à obtenir, sous certaines conditions, accès au Registre national et à utiliser le numéro d identification du Registre national pour la réalisation de leurs tâches en matière de gestion du personnel. Enfin, il y a lieu de remarquer que ces normes minimales sont révisables. Elles seront donc adaptées en fonction des évolutions légales, techniques ou autres. Pour réaliser cet objectif, le groupe de travail «Sécurité de l information» du Comité général de coordination procèdera régulièrement à l évaluation et éventuellement à la mise à jour des normes minimales de sécurité. Si 1 Une version coordonnée de cette loi est disponible sur le site web de la Banque Carrefour de la sécurité sociale ( 2 Par traitement, on entend toute opération ou ensemble d opérations effectuées ou non à l aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion. P 3

4 certaines normes minimales doivent être adaptées ou de nouvelles normes minimales ajoutées, une proposition sera soumise par le groupe de travail «Sécurité de l information». Les institutions qui souhaitent s intégrer au réseau de la Banque Carrefour doivent disposer d un plan pluriannuel actualisé mentionnant les mesures en vue de répondre aux normes. Le comité sectoriel de la sécurité sociale et de la santé peut demander une copie de ce plan Interprétation des normes Il appartient aux institutions de sécurité sociale de mettre en œuvre les mesures de sécurité les plus appropriées compte tenu de leur situation spécifique et de l importance des moyens de fonctionnement à protéger. 3. Objectifs poursuivis Les normes minimales de sécurité visent : le respect des obligations légales et réglementaires prévues par la loi du 15 janvier 1990 relative à l institution et à l organisation d une Banque-carrefour de la sécurité sociale et ses arrêtés d exécution (dont l arrêté royal du 12 août 1993 relatif à l organisation de la sécurité de l information dans les institutions de sécurité sociale) - les textes coordonnés de ces arrêtés d exécution sont disponibles sur le site web de la Banque Carrefour de la sécurité sociale. l autorisation dans le chef de l institution de sécurité sociale ou de l institution coopérante à participer au réseau de la Banque Carrefour. 4. Normes minimales structure IS :2007 Dans ce qui suit, les normes minimales sont définies conformément à la structure et à la numérotation de la norme ISO P 4

5 5. Politique de sécurité de l information 5.1 Information Security Policy 3 Chaque institution de sécurité sociale connectée au réseau de la Banque disposer d une politique de sécurité de l information formelle et actualisée, approuvée par la Direction. 6. Organisation de la sécurité de l information 6.1 Organisation de la sécurité organiser, en son sein, un service de sécurité de l information placé sous la direction d un conseiller en sécurité de l information ou confier cette tâche à un service de sécurité de l information spécialisé agréé. Le service de sécurité de l information a une mission de conseil, de stimulation, de documentation et de contrôle (au sens de l AR de 1993). En vue de la sécurité des données sociales traitées par son institution et en vue de la protection de la vie privée des personnes auxquelles ces données sociales ont trait, le conseiller en sécurité est chargé : 1. de fournir des avis qualifiés à la personne chargée de la gestion journalière ; 2. d exécuter des missions qui lui sont confiées par la personne chargée de la gestion journalière. communiquer l identité de son conseiller en sécurité et de ses adjoints éventuels au comité sectoriel de la sécurité sociale et de la santé. Pour les institutions du réseau secondaire, l identité doit être communiquée à l institution de tutelle. 3 Cette Information Security Policy (ISP) s inscrit dans le cadre d un système de gestion de la sécurité de l information : le groupe de travail Sécurité de l information a pris l initiative de développer un ISMS, basé sur la norme ISO 27002, afin de répondre à un besoin des institutions du réseau de disposer d une politique de sécurité structurée et commune. L ISMS est un système intégré qui doit permettre une protection optimale des informations. Les mesures concrètes pour parvenir à une sécurité de l information optimale sont des «mesures de politique» ou des «contrôles». L ISMS est considéré comme la méthodologie commune à appliquer par les institutions du réseau pour parvenir à une sécurité maximale de l information. Il appartient aux institutions de sécurité sociale d adapter l ISMS à leur situation spécifique et à l importance des moyens de fonctionnement à protéger. En ce qui concerne sa mise en œuvre, le conseiller en sécurité de l information de chaque institution doit obtenir une décision de sa hiérarchie. L ISMS commun a été approuvé en ces termes par le Comité général de coordination : «Il s agit d un document de base à utiliser en interne par les institutions. L ISMS, qui est basé sur la norme ISO 27002, contient les lignes directrices à respecter. Une concertation doit être organisée en permanence entre le conseiller en sécurité et le personnel dirigeant.» P 5

6 disposer d un plan de sécurité approuvé par l instance responsable de l institution concernée. disposer des crédits de fonctionnement nécessaires, approuvés par l instance responsable de l institution concernée, en vue de l exécution de son plan de sécurité et de l exécution par le service de sécurité des tâches qui lui ont été confiées. communiquer à la Banque Carrefour le nombre d heures qu elle a officiellement accordé à son conseiller en sécurité et à ses adjoints éventuels pour l exécution de leurs tâches. organiser la communication d information au conseiller en sécurité de sorte qu il dispose des données pour l exécution de la mission de sécurité qui lui a été confiée et pour l organisation de la concertation entre les différentes parties concernées 4, afin d associer davantage le conseiller en sécurité aux travaux de l institution. 6.2 Plateforme de décision 5 disposer d une plateforme de décision pour valider et approuver les mesures de sécurité. 6.3 Réseau secondaire Toute institution gestionnaire d un réseau secondaire est tenue d échanger au moins une fois par semestre des informations pertinentes avec son réseau secondaire, en organisant une réunion du sous-groupe de travail «Sécurité de l information» pour les institutions qui font partie de son réseau. 6.4 Usage sécurisé de la carte professionnelle pour les soins de santé Les conseillers en sécurité concernés veillent, au sein de leur propre institution, à l utilisation sécurisée de la carte professionnelle pour soins de santé comme prévu aux articles 42 à 50 de l arrêté royal du 22 février Gestion des ressources de l entreprise 7.1 Protection des ressources de l entreprise s assurer que les supports des données à caractère personnel et les systèmes informatiques les traitant, soient placés, conformément à leur classification, dans des locaux identifiés et protégés et dont l accès est 4 Les parties visées dans cette norme sont principalement les membres du service informatique (développement et production), le conseiller en prévention, le conseiller en sécurité et les services de gestion des données. 5 La plateforme de décision oriente la politique de sécurité : la révision de la politique, l adaptation des mesures de sécurité, l élaboration de plans de sécurité, la détermination des responsabilités et la surveillance de l évolution des menaces et des incidents. 6 Arrêté royal du 22 février 1998 portant des mesures d exécution de la carte d identité sociale (publié au Moniteur belge du 13 mars 1998); modifié par l arrêté royal du 8 décembre 1998 (Moniteur belge du 24 décembre 1998), par l arrêté royal du 26 avril 1999 (Moniteur belge du 19 juin 1999), par l arrêté royal du 11 octobre 2000 (Moniteur belge du 28 octobre 2000), par l arrêté royal du 11 décembre 2001 (Moniteur belge du 22 décembre 2001) et par l arrêté royal du 26 mai 2002 (Moniteur belge du 3 juillet 2002). P 6

7 limité aux seules personnes autorisées et aux seules heures justifiées par leur fonction. 7.2 Inventaire disposer d un inventaire du matériel informatique et des logiciels qui est mis à jour en permanence. 8. Sécurité liée aux collaborateurs 8.1 Internet et établir et appliquer un code de bonne conduite pour l usage d Internet et de l Usage de données à caractère personnel informer les collaborateurs internes et externes associés au traitement de données à caractère personnel en ce qui concerne les obligations de confidentialité et de sécurité à l égard de ces données. 9. Protection physique et protection de l environnement 9.1 Protection physique de l accès 9.2 Incendie, intrusion, dégâts causés par l eau 9.3 Alimentation en électricité limiter l accès aux bâtiments et locaux aux personnes autorisées et effectuer un contrôle à ce sujet tant pendant qu en dehors des heures de travail. prendre des mesures pour la prévention, la protection, la détection, l extinction et l intervention en cas d incendie, d intrusion et de dégâts causés par l eau. disposer d une alimentation en électricité alternative afin de garantir la prestation de services attendue. P 7

8 10. Gestion opérationnelle 10.1 Accès aux systèmes informatiques par les gestionnaires d information Détection d infractions à la sécurité limiter l'accès au(x) système(s) informatique(s) aux gestionnaires d information identifiés, authentifiés et autorisés. installer un système et des procédures formelles et actualisées permettant la détection, le suivi et la réparation d infractions au niveau de la sécurité proportionnellement au risque technique / opérationnel Connexion TCP/IP externe - réseau primaire 10.4 Connexion TCP/IP externe - réseau secondaire Les institutions de sécurité sociale du réseau primaire doivent : utiliser l Extranet de la sécurité sociale pour leurs connexions TCP/IP externes à la sécurité sociale 8. Toute dérogation à cette mesure doit faire l objet d une demande motivée qui devra être introduite par l intermédiaire du service de sécurité de la BCSS. Les institutions de sécurité sociale du réseau secondaire peuvent utiliser l Extranet de la sécurité sociale pour leurs connexions TCP/IP externes à la sécurité sociale 9. Pour les connexions directes aux réseaux TCP/IP externes à la sécurité sociale : les institutions du réseau secondaire concernées doivent prendre les mesures de sécurité qui sont et resteront conformes aux mesures prises au niveau de l Extranet de la sécurité sociale ; les institutions de gestion concernées doivent prendre les mesures de sécurité qui sont et resteront conformes aux mesures prises au niveau de l Extranet de la sécurité sociale. 7 Le gestionnaire d information est toute personne qui dispose, dans le cadre de ses responsabilités en matière de système ICT, de droits d accès plus larges que la simple utilisation fonctionnelle des données. Il s agit entre autres des développeurs, des gestionnaires système, des gestionnaires de données, des développeurs et gestionnaires de logiciels, des gestionnaires de réseau, des consultants et des sous-traitants. 8 Cette mesure n est pas d application si l institution sociale utilise pour ses connexions TCP/IP externes à la sécurité sociale une configuration informatique qui n est pas utilisée pour le traitement de données sociales à caractère personnel ou qui n est en aucune façon reliée au(x) système(s) d information servant au traitement de données sociales à caractère personnel. 9 Cette mesure n est pas d application si l institution sociale utilise pour ses connexions TCP/IP externes à la sécurité sociale une configuration informatique qui n est pas utilisée pour le traitement de données sociales à caractère personnel ou qui n est en aucune façon reliée au(x) système(s) d information servant au traitement de données sociales à caractère personnel. P 8

9 10.5 Protection contre des codes nocifs 10 disposer de systèmes actualisés pour se protéger (prévention, détection et rétablissement) contre des codes nocifs Vérifier les exigences de sécurité avant la mise en production veiller à ce que le responsable de projet vérifie le respect des exigences de sécurité établies au début de la phase de développement (voir partie «Développement») avant toute mise en production de nouveaux systèmes ou d évolutions importantes dans les systèmes existants Sécurité au niveau du réseau vérifier que les réseaux sont gérés et contrôlés de façon adéquate afin de les protéger contre les menaces et de garantir de façon efficace la protection des systèmes et des applications qui utilisent le réseau, mettre en place les mesures techniques nécessaires, suffisantes, efficientes et adéquates en vue de garantir la plus haute disponibilité de connexion avec le réseau de la Banque Carrefour et ce afin d assurer une accessibilité maximale aux données tant mise à dispositions que consultées. Par voie de conséquence cela présuppose que cette connexion doit être au minimum dédoublée vers plusieurs nœuds de l Extranet, supportant la charge de transfert d information, intégrant les aspects sécurité Echange d information.10.8.a Gestion des flux extranet maintenir à jour la liste des flux ouverts sur l Extranet de la sécurité sociale. 10 Codes nocifs (malware) : p.ex. virus, ver, cheval de Troie, spam, spyware. P 9

10 10.8.b Qualité de service des échanges d informations à caractère social Chaque transfert d'informations à caractère social au sein du réseau de la sécurité sociale doit être traité dans les meilleurs délais par l'ensemble des intervenants, qu'ils soient intermédiaire ou destinataire/récepteur. Les institutions qui transmettent des informations à caractère social au sein du réseau de la sécurité sociale, particulièrement lorsqu elles sont la source authentique, doivent traiter en temps utile les messages de suivi qu'elles doivent recevoir des destinataires ou intermédiaires. Chaque acteur, tant destinataire/récepteur qu'intermédiaire ou émetteur, participant à la transmission est tenu d'entreprendre dans les meilleurs délais les actions adéquates et appropriées consécutives au traitement des messages de suivi. Toute anomalie ou lacune dans la transmission électronique des données doit être signalée dans les meilleurs délais aux intervenants concernés, qu'ils soient récepteurs, intermédiaires, ou émetteurs Policy et procédures de sauvegarde mettre en œuvre un système de copies de sécurité (backup) à contrôler régulièrement afin d éviter la perte irréparable de données (données nécessaires à l application et à l exécution de la sécurité sociale et données relatives aux applications et au système d exploitation) en cas de catastrophe totale ou partielle Logging de l accès implémenter un système de logging pour les données à caractère personnel nécessaires à l application et à l exécution de la sécurité sociale Zone USERID Lorsque dans la zone «USERID» de la partie préfixe d un message qu elle adresse à la Banque Carrefour, l institution reprend le numéro du programme qui a généré le message bien qu une personne physique soit à l origine du message, la Banque Carrefour peut, a posteriori, retrouver ce numéro de programme. La Banque Carrefour ne connaît cependant pas l identité de la personne physique qui a émis ce message. Dans ce cas, c est donc à l institution de sécurité sociale de faire la relation entre le numéro de programme qu elle reprend dans la partie préfixe du message adressé à la Banque Carrefour et l identité de la personne physique qui émet le message Eviter un single point of control disposer de procédures pour la mise en production de nouvelles applications et la réalisation d adaptations aux applications existantes afin d éviter qu une seule et même personne n'assure le contrôle de ce processus. P 10

11 11. Protection de l accès (logique) 11.1 Protection des données sécuriser l accès aux données 11 nécessaires à l application et à l exécution de la sécurité sociale par un système d identification, d authentification et d autorisation Autorisations comité sectoriel s assurer de l existence des autorisations nécessaires du comité sectoriel pour l accès aux données à caractère personnel gérées par une autre institution Accès à distance prendre les mesures adéquates, en fonction du moyen d accès 12, afin de sécuriser l accès on-line réalisé en dehors de l institution aux données sociales à caractère personnel de l institution Protection des données sur des médias mobiles 13 prendre les mesures adéquates si des données à caractère personnel sont enregistrées sur des médias mobiles qui peuvent quitter le périmètre sécurisé de l institution. 12. Développement et maintenance de systèmes 12.1 Sécurité de l information dans le cadre de projets disposer de procédures pour le développement de nouveaux systèmes ou d évolutions importantes dans les systèmes existants, pour que le responsable de projet tienne compte des exigences de sécurité décrites dans le présent document. 11 Dans la présente norme, on entend par le terme donnée non seulement les données sociales à caractère personnel mais aussi tous les éléments logiques du système d information qui assurent le traitement; par exemple les programmes, les applications, les fichiers, les utilitaires de système et autres éléments du système d exploitation. 12 Moyen d accès : p.ex. Internet, ligne louée, réseau privé, wireless. 13 Médias mobiles : mémoire flash amovible, disque dur portable, ordinateur portable, assistant numérique personnel (ANP). P 11

12 12.2 Documentation disposer de procédures pour la rédaction de documentation lors du développement de nouveaux systèmes et applications et lors de la maintenance des applications et systèmes existants Méthode de développement structurée avoir recours à une approche structurée en vue d un développement sécurisé de systèmes. 13. Gestion d incidents relatifs à la sécurité de l information 13.1 Incidents majeurs 14 veiller à ce que le service de Sécurité de l information soit informé, par le service responsable, des incidents majeurs susceptibles de compromettre la sécurité de l information et des mesures prises pour faire face à ces incidents. 14. Gestion de la continuité 14.1 Analyse des risques élaborer, tester et maintenir un plan de continuité basé sur une analyse des risques, afin d assurer la mission de l institution dans le cadre de la sécurité sociale. prévoir un centre de migration informatique en cas de catastrophe totale ou partielle. 14 Exemples d incidents majeurs : incendie, dégâts causés par l eau, attaque de codes nocifs, tentatives d intrusion (logique ou physique), vol ou perte d ordinateurs portables, interruption des loggings, P 12

13 15. Respect 15.1 Audit externe 15 organiser, au moins une fois tous les quatre ans, un audit externe concernant la situation de la sécurité en matière de sécurité logique et physique. 16. Maintien, suivi et révision La modification des normes minimales implique : la soumission de la proposition de modification des normes minimales de sécurité au comité de gestion de la Banque Carrefour; la soumission du questionnaire modifié au Comité sectoriel de la sécurité sociale et de la santé, section Sécurité sociale; la communication des normes minimales de sécurité modifiées et approuvées aux responsables de la gestion journalière des institutions de sécurité sociale qui en informent leur comité de gestion ; les normes minimales nouvelles entrent en vigueur le premier janvier qui suit leur approbation par le Comité de gestion de la Banque Carrefour, en l occurrence le 1er janvier Il s agit des normes minimales suivantes : 6.2, 10.7, 10.8.b Un questionnaire sera transmis annuellement aux institutions sociales en vue de l évaluation du respect des normes minimales de sécurité. Les aspects faisant l objet de mesures de sécurité spécifiques qui ont été approuvées au niveau du Comité général de coordination mais qui ne sont pas encore reprises dans une version révisée des normes minimales, seront repris de façon proactive dans le questionnaire annuel. 17. Sanction Au vu des manquements constatés dans le respect des présentes normes par une institution sociale, le comité sectoriel de la sécurité sociale et de la santé peut inviter la Banque Carrefour à ne plus donner suite aux soumissions adressées par cette institution. Il est évident qu avant de prendre cette mesure, le comité sectoriel de la sécurité sociale et de la santé entendra la personne chargée de la gestion journalière de l institution concernée. 15 Il s agit d un audit où l initiative et les efforts financiers y afférents incombent à l institution même. L audit ne doit pas être exhaustif. P 13