Politique de sécurité

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Politique de sécurité cohérente et pragmatique & ISO Club 27001,, Toulouse, 5 mars 2010 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>

2 Sommaire Politique de sécurité Définitions Quelle référence choisir? Politiques de sécurité Politiques et ISO Politique du SMSI Politique de Sécurité des Systèmes d'information Révision de la politique Politique et Management des risques Politiques de sécurité spécifiques Communication de la politique ISO Autres politiques Conclusion 2/21

3 Politique de sécurité : définitions Politique de sécurité = security policy ISO 27002:2005 : Politique de Sécurité de l'information Première norme publiée Fait mention de Politique de Sécurité de l'information (Information Security Policy) Aucune mention de Politique du SMSI (ISMS Policy) ISO 27001:2005 : Politique du SMSI Seconde norme publiée Introduit la Politique du SMSI ISO b (ISMS Policy) Surensemble de «Information Security Policy» ISO ISO b NOTE 3/21

4 Politique de sécurité : définitions Pourquoi incohérence entre ISO et ISO 27001? Trop de commentaires sur l'impossibilité de faire un SMSI là où la politique de sécurité venait d'être signée Besoin d'un autre document propre à l'engagement de mise en oeuvre d'un SMSI Normes en perpétuelles mises à jour, donc perpétuellement incohérentes entre elles 4/21

5 Politique de sécurité : quelle référence? Document le plus important : celui définit dans l'iso comme Politique du SMSI ISO : norme fondatrice, à suivre obligatoirement lors de la certification Majorité des cas : Politique de Sécurité de l'information = Politique du SMSI Cas complexes : enchainement de politiques imbriquées les unes dans les autres Exemple : Cf présentation d'orange-france Telecom au Club Réalité : PSSI : Politique de Sécurité des Systèmes d'information 5/21

6 Politique de sécurité : définitions ISO 27000:2009 : Politique Policy ISO : Overall intention and direction as formally expressed by management Même définition dans ISO 27002:2005 ISO 27000:2009 : Sécurité de l'information Information Security ISO : Preservation of Confidentiality, Integrity and Availability of Information In addition, other properties such as authenticity, accountability, nonrepudiation and reliability can also be involved Direction générale doit décliner sa vision pour l'organisme en vision pour la sécurité de l'information 6/21

7 Politiques de sécurité Plusieurs politiques Validées à des niveaux hiérarchiques différents PSI : Politique du SMSI ou Politique de Sécurité de l'information Direction générale PSSI : Politique de Sécurité des Systèmes d'information RSSI Politiques spécifiques MOE Politique du SMSI Politique de Sécurité de l'information Politique de Sécurité des Systèmes d'information Politiques de sécurité spécifiques 7/21

8 Politiques et ISO Direction Générale Politique du SMSI (PSI) Périmètre du SMSI ISO a ISO b ISO a, b, d.1, e ISO RSSI ISO d, e ISO Appréciation des risques MOE Acceptation du risque ISO h ISO Traitement des risques ISO c, d.2, e, f PSSI DdA ISO j ISO f, g ISO Politiques spécifiques Mesures de sécurité 8/21

9 Politique du SMSI Politique du SMSI (ISO b) au sommet Politique de sécurité de l'information en dessous (ISO ) mais généralement même document Engagement de la direction générale Doctrine à la sécurité de l'information Exemple : CNES Schéma directeur à la sécurité de l'information Exemple : ARJEL distingue shéma directeur SSI & politique SSI Dépend de la vision de la direction générale Stratégie de l'organisme, orientation, ISO mélange PSI et PSSI 9/21

10 Politique du SMSI Politique du SMSI ou PSI (ISO b) Synthétique Courte Exemple XXX : une page, 69 lignes Fondatrice Réellement lisible et compréhensible par tous les membres du comité de direction Donc par toute l'entreprise Ne doit changer sur le fond que lorsque la stratégie de l'organisme change Ne doit pas avoir de mise à jour temporelle Exemple : changement de législation ne doit pas imposer une mise à jour 10/21

11 Politique du SMSI Politique du SMSI ou PSI (ISO b) Doit inclure les critères d'acceptation des risques (ISO c.2) Permettra de déterminer les critères d'évaluation des risques Manquent régulièrement Aval de la direction permet d'acquérir la légitimité pour agir et faire la PSSI Revalidée ou mise à jour lors chaque revue de direction 11/21

12 PSSI Politique de Sécurité des Systèmes d'information Politique en dessous de la politique du SMSI est souvent la PSSI Politique habituellement imposée RGS DNS Dossier d'agrément des hébergeurs de données de santé ARJEL Souvent l'existant Générale, globale ou détaillée Exemple XXX : 183 pages signées par la direction générale 12/21

13 PSSI PSSI pas clairement dans les normes Mélangée avec la Politique du SMSI / PSI «Systèmes d'information» n'apparaît réellement que dans l'iso PSSI = Formulation détaillée Maîtrise d'ouvrage Mise au niveau des acteurs de la DSI qui devront majoritairement l'appliquer Mise à un niveau de détails et de précisions pour que les acteurs concernés soient cadrés Éviter les "j'ai pas compris", "je ne sais pas ce qu'il faut que je fasse" 13/21

14 Révision de la politique ISO «The information security policy should be reviewed at planned intervals» Mélange aussi PSI et PSSI Application de ISO f & 7.1 pour la PSI Revue de direction annuelle Application de ISO b pour la PSSI Réexamen régulier, pilotage Exemple : prise en compte des incidents de sécurité (ISO ) demandée dans ISO ISO plus large que juste la révision de la politique, mais réexamen global 14/21

15 Politiques et Management des risques Appréciation des risques applique la politique de sécurité de l'information Et pas le contraire! PSI détermine les actifs primordiaux Processus métiers, information PSI détermine la valorisation des actifs primordiaux Importance pour la direction générale Appréciation des risques contribue à déterminer la PSSI Ordre de marche précis suite au plan de traitement PSSI permet de déterminer des politiques spécifiques Opérationelles Politique de Sécurité Inf. Appréciation des risques PSSI 15/21

16 Politiques et Management du risque Exemple de hiérarchie documentaire Rester le plus concis possible Conserver la cohérence entre tous les documents Périmètre du SMSI Politique du SMSI Analyse des besoins Appréciation des risques Plan de traitement des risques PSSI DdA ISO j ISO ISO ISO a ISO b ISO a,.b,.d.1,.e ISO , 6.6 ISO c (partiel) ISO ISO ISO d, e ISO ISO f, g ISO ISO ISO c (partiel), b (partiel) ISO c,.d.2, e,.f Politiques spécifiques ISO c (partiel) ISO f 16/21

17 Politiques spécifiques Politique de contrôle d'accès (ISO ) Politique de conservation des données nominatives Politique de gestion des enregistrements Politique d'échange d'information avec les tiers Politique d'accès pour les télémaintenances (ISO ) Politique de maniement des clés-mémoire USB... (ISO ) (ISO ) (ISO ) (ISO ) 17/21

18 Communication de la Politique Politique de sécurité de l'information doit être communiquée à tous (ISO d) Courte et synthétique donc affichable PSSI? Politiques spécifiques ne sont communiquées qu'aux destinataires ayant besoin de les connaître 18/21

19 Politiques et ISO ISO Annexe D Propose une hiérarchie PSI Politiques spécifiques Pas de PSSI Politique du SMSI et Politique de Sécurité de l'information Peuvent être subordonnées l'une à l'autre Réciproquement 19/21

20 Autres politiques Dans chaque métier les patrons sont des responsables d'activité avec une équipe : DSI Finances Commercial Production Achats Qualité, PCA, Sécurité de l'information, etc, sont tranverses et pas hiérarchiquement responsables de ceux qui doivent appliquer D'où le formalisme sous forme de politiques D'où la nécessité de l'engagement de la direction 20/21

21 Conclusion Politique : pas une fin en soi Politique = outil Sans l'engagement et l'appui de la direction, un RSSI ne sert à rien Comme un responsable qualité 2 e édition Revue et augmentée Questions? Herve.Schauer@hsc.fr 21/21

22 Ressources Pour télécharger le schéma de modélisation de l'iso : /HSC Modelisation ISO27005.pdf Pour télécharger la norme ISO gratuitement : 22/21