Ligne directrice sécurité de l information et vie privée Gestion des logs

Documents pareils
METIERS DE L INFORMATIQUE

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Panorama général des normes et outils d audit. François VERGEZ AFAI

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

SEMINAIRE DE L IFE. Un système de management environnemental basé sur ISO Presenté par Manoj Vaghjee

Connaître les Menaces d Insécurité du Système d Information

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

RECUEIL POLITIQUE DES

DEMATERIALISATION DES CONTRATS A LA SOURCE

ISO/CEI 27001:2005 ISMS -Information Security Management System

Opportunités s de mutualisation ITIL et ISO 27001

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Les conséquences de Bâle II pour la sécurité informatique

Guide de bonnes pratiques de sécurisation du système d information des cliniques

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

L application doit être validée et l infrastructure informatique doit être qualifiée.

Charte d audit du groupe Dexia

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Cours TD TP EC UE EC UE CC Mixte Introduction aux sciences de. 3 Environnement. 4 l'administration et de. Anglais 28 2

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Lignes directrices concernant les contrôles à l importation dans le domaine de la sécurité et de la conformité des produits

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

PROTOCOLE RELATIF À L ARRANGEMENT DE MADRID CONCERNANT L ENREGISTREMENT INTERNATIONAL DES MARQUES

L'Informatique & le Courtier par Ilse Lejaegere ICT Consultant

Gestion des incidents

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Gestion des incidents

Conférence EDIFICAS. Le document électronique et sa valeur probante

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

TUV Certification Maroc

La politique de sécurité

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Politique d'utilisation des dispositifs mobiles

CONTRAT DE MAINTENANCE INTERcom

Université de Lausanne

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

L'infonuagique, les opportunités et les risques v.1

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

Règlement relatif au traitement des données

DIAGNOSTIQUEUR IMMOBILIER

PROTOCOLE D ACCORD DE DEMATERIALISATION DES ORDONNANCES SUR cd-rom DISPOSITIF INTERMEDIAIRE D EXPERIMENTATION SUR L ENSEMBLE DES DEPARTEMENTS

SOMMAIRE. Page 2 sur 8

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

ISO la norme de la sécurité de l'information

Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

QUESTIONNAIRE Responsabilité Civile

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Evaluation de la conformité du Système de validation Vaisala Veriteq vlog à la norme 21 CFR Part 11

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

Formation «Système de gestion des documents d activité (SGDA)»

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

La dématérialisation et après

Politique numéro 42 POLITIQUE DE GESTION DOCUMENTAIRE

La dématérialisation des documents de la chaîne comptable et financière dans le secteur public local.

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Politique de gestion documentaire

La signature électronique au service de l'émission de factures dématérialisées. Un cas B-to-C

Relevé de concertation - Réunion du 03/12/2013

Autorité de Certification OTU

Avenant technologique à la Description commune des services RMS de gestion à distance de Cisco

Rapport de certification

CONDITIONS A REMPLIR POUR L OBTENTION DU LABEL DE QUALITE NIVEAU II

curité des TI : Comment accroître votre niveau de curité

IBM Tivoli Compliance Insight Manager

PROGRAMME DE FORMATION

CIRSEE POLE INFORMATIQUE TECHNIQUE. Support et service après vente.

ISO 27001:2013 Béatrice Joucreau Julien Levrard

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Architecture de sécurité

B.O.I. N 46 du 7 MARS 2000 [BOI 5J-1-00]

Rapport de certification PP/0002

Brève étude de la norme ISO/IEC 27003

TABLE DES MATIERES SECTION 1 CONTROLE INTERNE ET AUDIT INTERNE, POLITIQUE DE PREVENTION ET COMPLIANCE

CATALOGUE Expertise ITIL - ISO Lean IT

QUESTIONS/REPONSES SUR LE STATUT D'EXPORTATEUR AGREE DGDDI Bureau E1- septembre 2011 Statut d'exportateur agréé (EA)

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

PROCEDURE ENREGISTREMENT

La gestion électronique de l information et des documents entreprise. Présentation

Transcription:

Ligne directrice sécurité de l information et vie privée Gestion des logs (BLD LOG)

TABLE DES MATIÈRES 1. INTRODUCTION... 3 2. GESTION DES LOGS... 3 ANNEXE A: GESTION DOCUMENTAIRE... 5 ANNEXE B: RÉFÉRENCES... 5 ANNEXE C: DIRECTIVES POUR UNE GESTION DES LOGS SÛRE... 6 ANNEXE D: LIEN AVEC LA NORME ISO 27002:2013... 8 p. 2

1. Introduction Le présent document fait intégralement partie de la méthodologie de sécurité de l'information et protection de la vie privée au sein de la sécurité sociale. Ce document est destiné aux responsables et aux sous-traitants de l'information, au conseiller en sécurité de l'information (CISO) et au délégué à la protection des données (DPO) de l'institution publique de sécurité sociale (IPSS). Les systèmes d information et l infrastructure ICT génèrent des logs pour de nombreuses activités, parfois à titre de statut, parfois à titre de résultat d'une activité d'un utilisateur ou gestionnaire, mais également des informations suite à des circonstances imprévues ou des erreurs. Un log décrit se qui se passe dans les systèmes. Actuellement, les descriptions des systèmes sont parfois tellement détaillées qu elles permettent de savoir pourquoi un événement s est produit. Le logging permet à l organisation de réaliser le suivi des transactions et de les contrôler. Beaucoup de systèmes informatiques utilisent le logging pour enregistrer des informations sur les erreurs qui se sont produites ou sur d autres événements qui méritent l attention de l utilisateur ou du gestionnaire. Un log peut être formulé sous forme de fichiers de textes mais également sous forme de tableaux en base de données. L objectif du logging est de recueillir et d évaluer des données système et des avertissements en provenance p.ex. d applications, de l infrastructure réseau, de serveurs et ordinateurs. La est souvent considérée comme un poste de frais. Toutefois, une solution adéquate de gestion de logs est comparable à un contrat d assurance : c est indispensable et vous devez payez pour l avoir, mais vous ne l'utiliserez qu en cas d'incident. Une gestion adéquate des logs est de plus en plus nécessaire pour pouvoir répondre aux exigences légales et réglementaires, par exemple pour l exécution d un audit de protection de la vie privée sur un système d information. Plus l importance augmente, plus les exigences imposées à la augmentent 1. Les processus sont de plus en plus souvent automatisés et les autorisations sont également de plus en plus souvent numériques. En automatisant la, une organisation peut réaliser des économies d échelle, mais il existe des risques. En cas de log entièrement numérique, des données peuvent se perdre et l organisation ne peut plus s appuyer sur des autorisations ou documents papier. Une organisation qui automatise la devra investir dans la sécurité des données et une procédure de sauvegarde/reprise. Une autre point d attention lors de l automatisation de la gestion de logs est la mise en place d'une séparation de fonctions au sein des systèmes automatisés. Lorsque la séparation de fonctions n est pas correctement réalisée dans le logiciel, par exemple lorsqu il est fait usage de comptes utilisateurs génériques (anonymes), une modification ne pourra pas être mise en rapport avec une personne individuelle et la valeur de la restera limitée. Le présent document décrit les directives pour une. 2. Gestion des logs Toute organisation souscrit les directives suivantes de sécurité de l'information et protection de la vie privée pour toutes les informations et systèmes d'information qui relèvent de la responsabilité de l'organisation. 1. L'organisation est tenue d établir une procédure formelle de gestion de logs, de la valider, de la communiquer et de la maintenir. 2. Toutes les transactions, activités de contrôle, activités des utilisateurs, exceptions et événements/incidents de sécurité de l information et protection de la vie privée doivent être établis de manière structurée dans des fichiers de logs distincts, de sorte que toute action puisse être mise en rapport avec les documents source et que toutes les actions réalisées puissent être contrôlées. 3. La doit être prise en compte dès la conception lors du développement et dès la définition des critères d achat d applications ou systèmes afin de réaliser la «security/privacy by design». 1 Voir à cet égard la politique en matière de classification de données. p. 3

4. Tout accès à des données personnelles et confidentielles à caractère social ou médical doit faire l'objet d'un logging, conformément à la législation et réglementation applicables. 5. Les horloges de tous les systèmes informatiques de l organisation doivent être synchronisées avec une horloge précise déterminée de sorte à permettre une analyse fiable des fichiers de journalisation sur différents systèmes d information. 6. Les outils nécessaires doivent être disponibles ou être développés de sorte à permettre l analyse des données de journalisation par les personnes habilitées. 7. L utilisation du système fait l objet d un logging automatique autant que possible et lorsque ce n est pas possible les gestionnaires de système ont recours à un journal manuel. 8. Les fichiers de journalisation doivent être protégés contre tout accès par des personnes non habilitées, contre les modifications et suppressions. 9. Les fichiers de journalisation doivent être conservés durant une période déterminée, à des fins d analyse et de contrôle futurs et conformément à la législation et à la réglementation 2. 10. La consultation des fichiers de journalisation fait toujours l'objet d une procédure organisée au sein de l organisation, avec un historique des demandes qui ont été approuvées/exécutées ou rejetées. 11. Le résultat de la doit régulièrement être analysé, rapporté et évalué. 2 Telle que la EU GDPR p. 4

Annexe A: Gestion documentaire Gestion des versions Versiebeheer Date Auteur Version Description de la modification Date approbation Date entrée en vigueur 2004 JM Gossiaux 1.0 Première version 26/03/2004 01/04/2004 2004 JM Gossiaux 2.0 Deuxième version 15/09/2004 01/10/2004 2005 JM Gossiaux 3.0 Troisième version 16/02/2005 01/03/2005 2005 JM Gossiaux 4.0 Quatrième version 03/11/2005 15/11/2005 2005 JM Gossiaux 5.0 Cinquième version 10/11/2005 01/12/2005 2006 JM Gossiaux 6.0 Sixième version 01/06/2006 01/07/2006 2017 V2017 Intégration UE GDPR 07/03/2017 07/03/2017 Erreurs et omissions Si à la lecture du présent document, vous constatez des erreurs ou des problèmes, vous êtes invité, en tant que lecteur, à transmettre une brève description de l'erreur ou du problème et de sa localisation dans le document ainsi que vos données de contact au conseiller en sécurité de l'information (CISO) / délégué à la protection des données (DPO) de l'organisation. Définitions Pour garantir la cohérence en ce qui concerne la terminologie et les notions utilisées à travers les divers documents de politique, toutes les définitions relatives à la sécurité de l'information et à la protection de la vie privée sont regroupées dans un document spécifique : "Définitions sécurité de l'information et protection de la vie privée". Annexe B: Références Ci-dessous figurent les documents qui ont servi de source d'inspiration pour le présent document: ISO, ISO/IEC 27001:2013 Information Security Management System Requirements, septembre 2013, 23 p. ISO, ISO/IEC 27002:2013 Code of Practice for Information Security Management, septembre 2013, 80 p. ISACA, COBIT 5 for Information Security, mai 2012, 220 p. SANS, Information Logging Standard, juin 2014, 4 p. NIST, Guide to computer security log management, septembre 2006, 72 p. Ci-dessous figurent les références aux sites web qui ont servi de source d'inspiration pour le présent document: https://www.iso.org/isoiec-27001-information-security.html http://www.iso.org/iso/catalogue_detail?csnumber=54534 http://www.iso.org/iso/catalogue_detail?csnumber=54533 http://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-92.pdf http://www.isaca.org/cobit http://cee.mitre.org/ p. 5

Annexe C: Directives pour une sûre Ci-après figurent les directives pour l'organisation d'une adéquate. Responsabilités en matière de La responsabilité pour l organisation de la sécurité de l information et de la protection de la vie privée incombe toujours à l institution propriétaire de l application traitant l information. Pour le propriétaire de l application, cette responsabilité implique la nécessité de veiller à la mise en place d une procédure organisée en matière de gestion des logs à des fins de sécurité de l information et de protection de la vie privée. Lorsqu il s agit d une application à responsabilité partagée, chaque organisation partenaire est co-responsable pour la mise en œuvre de la gestion de logs. Si des missions de traitement d informations sont confiées à un tiers, l organisation peut fixer les responsabilités et obligations en matière de gestion de logs dans un Service Level Agreement (SLA) ou un contrat, mais les tiers sont toujours tenus de prévoir les mesures organisationnelles, procédurales et technologiques adéquates conformément à la législation et réglementation en vigueur. Organisation de la L organisation de la doit garantir une traçabilité des données à caractère personnel utilisées : applications utilisées, actions réalisées et informations utilisées. Elle doit garantir le rapport entre l utilisateur et l événement. L organisation de la comprend également l exécution de toutes les tâches garantissant une gestion pérenne de tous les fichiers de journalisation durant au moins 5 ans. La règle générale est que les données de journalisation transactionnelles et fonctionnelles doivent être conservées pendant minimum 10 ans, tandis que les données de journalisation techniques / d'infrastructure doivent être conservées pendant minimum 2 ans. Une attention particulière est accordée aux aspects suivants : 1. la collecte sécurisée, 2. la conservation et l archivage dans un format utilisable et sur des supports utilisables limitant tout risque de falsification, 3. la procédure d alarme en cas de détection de faits majeurs, tels que l impossibilité de tracer les fichiers de journalisation, 4. le contrôle de l intégrité des mécanismes mis en place, 5. les procédures de gestion. Qualité de la La qualité d un log dépend de la possibilité de pouvoir fournir une réponse afin de justifier l utilisation (basée ou non sur une autorisation préalable). Dans le cadre de la, une réponse doit au moins pouvoir être fournie aux sept questions suivantes : 1. Quelle activité a eu lieu? 2. A quelle moment l activité a-t-elle eu lieu? 3. Qui a réalisé l activité? 4. Sur quel système l activité a-t-elle eu lieu? 5. Sur quel objet l activité a-t-elle été effectuée? 6. Avec quel outil l activité a-t-elle été réalisée? 7. Quel est le résultat/statut de l activité (réussie/échouée)? p. 6

Obligations en matière de logs a. Une organisation doit mettre en place une procédure formelle de gestion de logs, la valider, la communiquer et la maintenir : 1. un système de journalisation opérationnel, 2. le contrôle du respect de la procédure et du contenu des fichiers de journalisation, 3. la gestion, la conservation, l archivage des fichiers de journalisation de sécurité de l'information et de protection de la vie privée et leur suppression à l issue de leur durée de conservation, 4. la décision d inclure les données de journalisation dans le plan de continuité de l organisation, 5. l accès contrôlé aux données de journalisation, 6. en tant que propriétaire de l application, l'organisation doit prévoir et gérer les fichiers de journalisation de sécurité de l'information et de protection de la vie privée. Par exemple au niveau du moniteur transactionnel, du système d exploitation, du système de gestion des autorisations, de la gestion et de la mise à jour des banques de données. 7. l'organisation doit réaliser des contrôles périodiques afin de s assurer du respect des mesures qui la concernent. 8. tout utilisateur d'une application de la sécurité sociale ou d une application ayant recours au réseau de la sécurité sociale doit être informé de l existence de la et des objectifs de la gestion de logs. b. L utilisateur de la sécurité sociale est tenu de respecter les instructions et procédures applicables dans la sécurité sociale ou au sein d autres réseaux. c. Pour les applications présentes sur le portail de la sécurité sociale ou de la Plate-forme ehealth, le service de base de gestion des loggings est utilisé. Toute demande d utilisation d'une procédure alternative à la doit être dûment motivée et justifiée auprès de l organisation propriétaire de l application. Automatisation de la gestion de logs Dans le cadre de l automatisation de la gestion de logs, il est souvent question de SIM (security information management), SEM (security event management) en SIEM (Security Information and Event Management) en ce qui concerne les fichiers de journalisation à caractère sécuritaire. Sur le plan technique, il existe une série de bonnes pratiques, par exemple quant aux protocoles à utiliser, la façon d envoyer et de recevoir des fichiers de journalisation, etc. Les processus en matière de gestion de logs ne sont pas simples : il ne s agit pas d envoyer simplement tous les fichiers de journalisation des serveurs vers la solution centrale de gestion de logs et de les faire analyser. Bon nombre de sources de données ne sont pas pertinentes. C est pourquoi il convient d examiner d abord les sources de données disponibles et de déterminer les sources de données pertinentes. Ce qui n est pas pertinent n est pas centralisé. Parmi les sources de données pertinentes, des exemples sont rédigés décrivant de manière formelle les événements susceptibles d activer une action supplémentaire. Les besoins de l organisation sont essentiels en ce qui concerne l automatisation de la gestion de logs. p. 7

Annexe D: Lien avec la norme ISO 27002:2013 Nous vous renvoyons ici aux principales clauses de la norme ISO 27002:2013 en rapport avec le sujet du présent document. Politique de sécurité Organisation de la sécurité de l information Sécurité des ressources humaines Gestion des actifs Protection de l'accès Cryptographie Sécurité physique et environnementale Protection des processus Sécurité de la communication Norme ISO 27002:2013 Maintenance et développement de systèmes d'information Relations avec les fournisseurs Gestion des incidents de sécurité Aspects de la sécurité de l'information dans la gestion de la continuité Respect Oui Oui Oui ***** FIN DU DOCUMENT ***** p. 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back