Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005



Documents pareils
ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie /06/2008

Politique d'utilisation des dispositifs mobiles

Securité de l information :

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Mise en place d une politique de sécurité

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Cours CCNA 1. Exercices

Guide pratique spécifique pour la mise en place d un accès Wifi

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

DESCRIPTION DU COMPOSANT

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Mettre en place un accès sécurisé à travers Internet

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

CAHIER DES CLAUSES TECHNIQUES

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Vers un nouveau modèle de sécurisation

Fiche descriptive de module

SSL ET IPSEC. Licence Pro ATC Amel Guetat

STARTUP GUIDE FileExchange

La sécurité IT - Une précaution vitale pour votre entreprise

Serveur FTP. 20 décembre. Windows Server 2008R2

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Pré-requis techniques

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Sécurisation du réseau

PortWise Access Management Suite

Sécurisation des architectures traditionnelles et des SOA

Devoir Surveillé de Sécurité des Réseaux

Conception de sites web marchands: TP 1

LES OUTILS DE SÉCURITÉ

MARCHE PUBLIC DE FOURNITURES

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

L Expertise du Coffre-fort Bancaire au Service du Dossier Patient

Protocole NSI Registry de registraire (RRP) version 1.1.0

Groupe Eyrolles, 2004, ISBN :

Sécurité des réseaux sans fil

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Réseau CNAS pour le. M. AKKA ABDELHAKIM Chef Département Systèmes et Réseaux Informatiques

Avertissement : ceci est un corrigé indicatif qui n engage que son auteur

Description des UE s du M2

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Rapport de certification

Installation d'un serveur RADIUS

Pré-requis techniques. Yourcegid Secteur Public On Demand Channel

COTISATIONS VSNET 2015

PACK SKeeper Multi = 1 SKeeper et des SKubes


Information sur l accés sécurisé aux services Baer Online Monaco

Commission informatique du 29 janvier Activités 2001 et plan d action 2002 A. Mokeddem

Politique de sécurité de l actif informationnel

Single Sign-On open source avec CAS (Central Authentication Service)

Groupe Eyrolles, 2006, ISBN : X

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Messagerie sécurisée, fiable et économique

PRESENTATION 2009 L'ingénierie Documentaire

Guide de connexion pour les sites sécurisés youroffice & yourassets

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Fiche Technique. Cisco Security Agent


Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Service de certificat

Architecture Principes et recommandations

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

IPS-Firewalls NETASQ SPNEGO

E-Commerce Tutoriels TABLE DES MATIÈRES. Tutoriel 1 EC 1.01 Qu est-ce que le commerce électronique

La citadelle électronique séminaire du 14 mars 2002

Rapport de certification

Manuel. User Management BUCOM

TUNIS LE : 20, 21, 22 JUIN 2006

Politique de sécurité de l information

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Politique d utilisation acceptable des données et des technologies de l information

Formations. «Produits & Applications»

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Rapport de certification

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

RESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien

Déploiement d iphone et d ipad Gestion des appareils mobiles (MDM)

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Sécurité, disponibilité et confiance, les fondations de votre plate-forme E-commerce. Benjamin Mottet

CONVENTION d adhésion au service. EDUROAM de Belnet

Bibliographie. Gestion des risques

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Transcription:

ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel par les acteurs du secteur social. Version control please always check if you re using the latest version Doc. Ref. : isms.027.internet Version Date Author s Reason for change Approved by 1.0 16/11/2004 JMG 2.0 10/01/2005 JMG Remarques sur le contenu général 3.0 14/02/2005 JMG Préciser le champ d application Enoncer la politique de sécurité de l extranet. 3.1 28/02/2005 JMG Préciser les niveaux d identification et d authentification. 3.2 06/06/2005 JMG Préciser que cela s applique dans le cadre d utilisation des données à caractère personnel. Groupe de Travail Sécurité de l information Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document. Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque Carrefour de la sécurité sociale, http://www.bcss.fgov.be). La diffusion éventuelle à des fins commerciales doit faire l objet d une autorisation écrite préalable de la part de la Banque Carrefour de la sécurité sociale. P 1

1 Introduction L Extranet de la Sécurité Sociale est un réseau IP sécurisé ayant pour fonction l interconnexion des différentes organisations de la Sécurité Sociale, ainsi que la fourniture d un certain nombre de services communs tels que l interconnexion sécurisée de réseaux hétérogènes, la mise à disposition de proxies HTTP/FTP, l échange de messages et d informations, le scanning anti-virus du trafic HTTP/FTP/SMTP, le hosting de sites web, la gestion et la maintenance de noms de domaines, l accès à des ressources internes via dial-up ou Vpn. La protection de l infrastructure répartie sur deux sites et basée sur une sécurité en couches est assurée par des firewalls installés sur chaque connexion entrante à savoir, d'une part, entre l'institution et le backbone et, d'autre part, entre le backbone et l'internet et entre le backbone et les réseaux privés; une gestion centralisée des protections anti-virus y est également assurée. L Extranet de la Sécurité Sociale s est doté un système d IDS (Intrusion Detection System) consolidé par une analyse permanente des logs au travers d un MSS (Management Security Services). L infrastructure et ses composants font l objet d audits périodiques. 2 Portée L usage de l Internet comme moyen d accès aux systèmes du réseau de la Banque-carrefour de la sécurité sociale en dehors de l infrastructure de l Extranet est un risque majeur qui doit faire l objet d une politique de sécurité stricte et rigoureuse. Cette POLICY s inscrit dans le cadre de la stratégie de la politique de sécurité du réseau de la Sécurité Sociale énoncée dans le document Information Security Management System approuvée par le Comité Général de Coordination de la Banque Carrefour de la sécurité sociale. 3 Champ d application Cette politique concerne uniquement les acteurs du secteur social qui, dans le cadre du traitement des données à caractère personnel, ne sont pas connectées à l Extranet de la sécurité sociale et qui peuvent justifier de l impossibilité d y adhérer. P 2

4 Policy générale L utilisation de l Internet comme moyen d accès au réseau de la Banque-carrefour de la sécurité sociale constitue une exception au principe général de l accès via l Extranet de la Sécurité Sociale. Cette utilisation doit faire l objet d une demande d autorisation et de dérogation écrite auprès du fonctionnaire dirigeant de la Banque Carrefour de la Sécurité Sociale. 5 Contenu de la demande La demande d autorisation et de dérogation doit justifier des motivations à ne pas utiliser l Extranet de la Sécurité Sociale ou les réseaux privatifs sécurisés ainsi qualifiés par la BCSS et décrire de manière précise les mesures prises au sein de l organisation pour réduire les risques de sécurité inhérents à l usage du protocole Internet. 6 Exigences L utilisation de l Internet comme mode de connexion au réseau de la Banque-carrefour de la sécurité sociale est autorisée sous réserve d une autorisation explicite et écrite de la Banque Carrefour de la sécurité sociale et d une application sans restrictions des exigences suivantes : 6.1. Niveau autorisation d accès v L autorisation accordée n est jamais globale ; elle ne porte que sur le système ou la transaction visée lors de la demande, v dans le cadre de l utilisation de données sociales à caractère personnel, la demande précisera distinctement s il s agit d un accès dans le cadre de la communication ou de la consultation de données sociales ; lorsqu il s agit d une consultation, le dossier de demande décrira précisément la finalité recherchée, v les transactions ou les systèmes accédés lorsqu elles contiennent des données sociales à caractère personnel doivent être protégés par un système d autorisation d accès au travers du User Management Ambtenaar Fonctionnaire (UMAF), v les utilisateurs concernés sont des personnes physiques nommément désignées par le fonctionnaire dirigeant de l institution. La gestion de ces autorisations est assurée par un gestionnaire local dûment mandaté à cette tâche par le fonctionnaire dirigeant de l organisation. 6.2. Niveau identification / authentification Le processus d identification et d authentication doit appliquer sans restrictions le règlement des utilisateurs tel que repris en page d accueil du Portail de la Sécurité Sociale. (https://www.socialsecurity.be). Le processus d identification et d authentification sera fonction du niveau de confidentialité des données traitées par la transaction ou le système concerné ainsi que du cadre de la communication ou de la consultation des données sociales. P 3

L accès à la transaction ou au système par l Internet sera activé après un avis favorable de la Banque Carrefour de la sécurité sociale qui précisera dans sa délibération le processus d identification / authentification à mettre en place. Dans tous les cas ce processus sera composé au minimum : v d une identication par un user ID, v d une authentification par l usage d un mot de passe, du token fonctionnaire ou de la carte d identité électronique, Dans le cas d une liaison par transfert de fichier, l usage d un certificat pourra être exigé. Le type de certificat sera défini de commun accord avec la Banque Carrrefour de la Sécurité Sociale. 6.3. Traçabilité L activation des logs à caractère sécuritaire est obligatoire et doit être conforme au respect de la norme minimale de sécurité énoncée par le groupe de travail Sécurité de l information. 6.4. Restrictions v l usage de l Internet dans le cadre du mode application à application est interdit, v la disponibilité du réseau Internet n est pas de la responsabilité du réseau de la Banque Carrefour de la sécurité sociale, v seul le protocole HTTPS (encapsulation du protocole HTTP dans SSL) est autorisé. 6.5. Liaison par transfert de fichier L activation de l échange de données par transfert de fichiers via l Internet est conditionné par : v l autorisation explicite de la Banque Carrefour de la Sécurité Sociale, v l utilisation d un protocole de transfert sécurisé qualifié par le réseau Banque Carrefour de la Sécurité Sociale, v l utilisation d un processus d identification / authentification fort qualifié par le réseau de la Banque Carrefour de la Sécurité Sociale. 7 Réglementation Le non-respect de cette politique peut donner lieu à une sanction conformément à la réglementation en vigueur au sein de l institution. La réglementation en vigueur au sein de l institution devra éventuellement être adaptée afin de pouvoir sanctionner le non-respect de cette politique. 8 Maintenance, suivi et révision La maintenance, le suivi et la révision de cette POLICY est de la responsabilité du groupe de travail sécurité de l information. P 4

9 Glossaire SSL: Secure Sockets Layer protocol (Protocole permettant la transmission sécurisée de formulaires sur le Web). HTTP : HyperText Transfer Protocol (Protocole utilisé pour transférer des documents hypertextes ou hypermédias entre un serveur Web et un client Web). 10Validation Cette POLICY a reçu l approbation du groupe de travail Sécurité de l Information en : / /. P 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back