15 août 2010 GUIDE. Guide de bonnes pratiques de sécurisation du système d'information des cliniques

Documents pareils
Guide de bonnes pratiques de sécurisation du système d information des cliniques

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Connaître les Menaces d Insécurité du Système d Information

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

REFERENTIEL DE CERTIFICATION

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

Description de l entreprise DG

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

CHARGÉ(E) DE SÉCURITÉ (60 % - 80 %)

Politique de Sécurité des Systèmes d Information

Brève étude de la norme ISO/IEC 27003

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Annexe A de la norme 110

Université de Lausanne

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

DATE D'APPLICATION Octobre 2008

METIERS DE L INFORMATIQUE

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

LIVRET SERVICE. Portail Déclaratif Etafi.fr

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Rapport d'audit étape 2

I partie : diagnostic et proposition de solutions

Gestion des Incidents SSI

1. Instruction des demandes de permis de construire et des demandes de dérogation aux règles constructives

Normes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Janvier 2014

Cahier des charges à l'attention des organismes de formation

CONDITIONS PARTICULIERES D'ENREGISTREMENT, DE RENOUVELLEMENT ET DE TRANSFERT DE NOMS DE DOMAINE

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

ORGANISATION DES NATIONS UNIES POUR L ÉDUCATION, LA SCIENCE ET LA CULTURE

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

Recours aux entreprises extérieures

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n

Comprendre ITIL 2011

MICRO-INFORMATIQUE DÉFINITION DU DOMAINE D'EXAMEN BASE DE DONNÉES CONSULTATION INF

DOSSIER PREFECTURE ET CNIL MOINS DE 8 CAMERAS ET NE FILMANT PAS LA VOIE PUBLIQUE

Cahier des Clauses Techniques Particulières

LA QUALITE DU LOGICIEL

CONDITIONS PARTICULIERES SITE BUILDER

Luxembourg-Luxembourg: Services de traduction AMI14/AR-RU 2014/S Appel de manifestations d'intérêt

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Présentation à la Direction des Santé Achats de la Société Générale. Asurances, soins, biens médicaux

Un métier en évolution pour répondre aux nouvelles. Face à ces évolutions, un nouveau métier

Chapitre 4 : les stocks

STAGE : TECHNICIEN EN INFORMATIQUE

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Introduction. Nous vous remercions d'avoir porté votre attention sur le nouveau service e-salairefer.

Principes de liberté d'expression et de respect de la vie privée

REGLES DE CERTIFICATION MARQUE NF DENTAIRE PARTIE 3 OBTENTION DE LA CERTIFICATION

Notre communication sur le progrès 2007 s'articule autour de la NORMES DU TRAVAIL (principe 6).

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Les conséquences de Bâle II pour la sécurité informatique

25 % EXPERTS PAR AN. + de de 35. près de 50 DE CROISSANCE DE L OPEN SOURCE ANNÉES D EXPERIENCE AU SERVICE DE L OPEN SOURCE

Politique d utilisation des médias sociaux et des technologies de l information

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Projet Personnalisé Encadré PPE 2

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

ISO la norme de la sécurité de l'information

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

LE CONTRÔLE INTERNE GUIDE DE PROCÉDURES

TITRE IER DISPOSITIONS GENERALES

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

TABLE DES MATIERES SECTION 1 CONTROLE INTERNE ET AUDIT INTERNE, POLITIQUE DE PREVENTION ET COMPLIANCE

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD


autonome loi 1901 A. CREATION DE L ASSOCIATION Une Coopérative scolaire peut se constituer en Association autonome.

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

Guide d auto-évaluation

M Études et développement informatique

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Ré!. PRQ42001 QUALITE PROCEDURE. Index 02. Page 1/10. AGENCE NATIONALE DE L'AvIATION PROCEDURE MAÎTRISE DES DOCUMENTS

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Intitulé du stage. Initiation à l'environnement industriel Jeudi 15 et vendredi 16 septembre 2011

Prestations d audit et de conseil 2015

Panorama général des normes et outils d audit. François VERGEZ AFAI

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

La veille d'information sur Internet

La politique de sécurité

FICHE. La GMAO en quelques lignes OCTOBRE 2008 THÉMATIQUE. Vincent Drecq

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

INSTITUT LIMAYRAC. enseignement supérieur Toulouse. Vincent de Prato BTS Informatique de Gestion. Option Administrateur de Réseaux Locaux

MODALITES D'APPLICATION DE LA KEYMARK. "Refroidisseurs de lait en vrac à la ferme "

COMITE DEPARTEMENTAL DU TOURISME DES PYRENEES ORIENTALES

Page 1. Le Plan de Prévention

Dessinateur projeteur en béton armé

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DOSSIER D'ADHESION BOURSE DES DEMENAGEMENTS

JOURNÉE THÉMATIQUE SUR LES RISQUES

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

L'ASSURANCE DU R1SQUE AUTOM OB1LE. Controle et assurance. Jacques Charbonnier. larcier

L'AUDIT DES SYSTEMES D'INFORMATION

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

VILLE DE FEYZIN ( Rhône ) Réfection d'un réseau d'évacuation d'eau usée. Place René LESCOT

Transcription:

15 août 2010 GUIDE Guide de bonnes pratiques de sécurisation du système d'information des

Synthèse du document Ce guide de bonnes pratiques de sécurisation du système d information est destiné aux dans le but d améliorer la sécurité du système de facturation existant entre elles et l Assurance Maladie. Ce document se base sur la norme ISO 27 002 «Code de bonnes pratiques pour la gestion de la sécurité de l information». Il en reprend les thématiques qui sont adaptées à la situation particulière du système de facturation des. La CNAM-TS a pris en compte la maîtrise des risques concernant le système de facturation qui existent sur son réseau. Les doivent aussi maîtriser les risques au niveau de leur système d information. En effet, en cas d atteinte au système de facturation, leur responsabilité juridique et financière pourrait être engagée. L absence de précaution dans la sécurisation du système d information peut conduire à mettre en danger la sécurité du système de facturation des, ce qui entraînerait un risque financier pour la clinique et/ou pour l Assurance Maladie. Ce guide de bonnes pratiques est un ensemble de recommandations que les devraient appliquer à leur système d information afin d assurer la sécurité du système de facturation. L objectif des bonnes pratiques introduites dans ce guide est de : dissuader les éventuels attaquants, protéger au mieux le système de facturation contre les attaques, détecter les incidents et identifier leur origine. Page 2/11

Table des matières 1. Politique de sécurité...4 2. Gestion des biens...5 3. Sécurité liée aux ressources humaines...6 4. Sécurité physique et environnementale...7 5. Gestion de l exploitation et des télécommunications...8 6. Gestion des droits d accès...9 7. Acquisition, développement et maintenance des systèmes d'information...10 8. Gestion des incidents de sécurité...11 Page 3/11

1. Politique de sécurité Les bonnes pratiques de sécurité recommandent la rédaction d un document intitulé «Politique de Sécurité de l Information» qui soit publié, visé par le management et communiqué à l ensemble des employés et tiers. Ce document fournit, entre autre : Un cadre définissant la mise en place de contrôles au sein du système d information et les objectifs de ces contrôles (entre autres permettre l'évaluation et de la gestion des risques). Une description succincte des directives, principes et standards de sécurité ainsi que des exigences de conformité qui méritent une attention particulière par rapport à l'organisation de l'entreprise. Recommandation Rédiger un document intitulé «Politique de Sécurité de l'information et le communiquer à l'ensemble des employés et des tiers. Page 4/11

2. Gestion des biens Le terme «biens» désigne l'ensemble du système d information (matériel informatique, supports amovibles, applications logicielles, ) et des informations traitées (bases de données, traces d audit, ). Pour permettre une bonne maîtrise des risques il est souhaitable d établir un inventaire des biens du système d information. Une fois cet inventaire établi, il est alors possible de formuler les règles d utilisation qui seront associées à chaque bien et qui devront être appliquées. Établir un inventaire des biens du système d information. Documenter les règles d utilisation ces biens Appliquer ces règles d utilisation Page 5/11

3. Sécurité liée aux ressources humaines Pour limiter les risques portants sur le système d information, il est souhaitable que tous les acteurs qui interviennent sur ce système soient conscients des risques. Pour cela : Le management peut rappeler à tous les intervenants (employés, tiers ) qu ils doivent appliquer les règles de sécurité en accord avec la politique et les procédures du système d information. Ces mêmes intervenants devraient recevoir une formation de sensibilisation appropriée ainsi que des mises à niveau régulières sur les politiques et les procédures organisationnelles relatives à la sécurité dans l'exercice de leur métier. Recommandation S assurer que l ensemble des acteurs qui interviennent sur le système d information (employés, contractants, tiers ) soient conscients des risques de sécurité existants et des mesures prises pour les limiter. Page 6/11

4. Sécurité physique et environnementale Une bonne maîtrise des risques passe par la protection des accès physiques au système d information : Au minimum aucun accès au système d information ne devrait être possible depuis un emplacement accessible au public. Les éléments les plus sensibles du système d information devraient aussi être plus particulièrement protégés (typiquement les serveurs devraient être installés dans une salle dédiée protégée par un contrôle d accès ne permettant qu aux personnes habilitées à y accéder) Sécuriser physiquement l accès aux zones contenant le système d information. N autoriser l accès à ces zones qu aux seules personnes habilitées. En particulier ne pas permettre un accès au système d information depuis un emplacement accessible au public. Page 7/11

5. Gestion de l exploitation et des télécommunications Les bonnes pratiques de sécurité recommandent la mise en œuvre de moyens conformes à l état de l art pour protéger les informations stockées ou en transit dans le système d information. Les moyens à mettre en œuvre consistent à protéger le système d information des accès externes qui pourraient permettre la commission d actes malveillants. Il s agit aussi de sécuriser le transfert des informations sensibles au sein même du système d information. Les informations doivent aussi être sauvegardées régulièrement. Protéger le système d information contre les accès malveillants. Garantir l intégrité et la confidentialité des échanges réalisés au sein du système d information. Mettre en place et documenter un mécanisme de sauvegarde des informations et logiciels du système d information. Page 8/11

6. Gestion des droits d accès La maîtrise des risques est la gestion des droits d accès accordés aux utilisateurs du système d information, qu il s agisse d employés ou de tiers. Il est important de pouvoir connaître à tout moment qui accède à quoi dans le système d information. Les utilisateurs ne doivent avoir les droits d accès qu aux seules parties du système nécessaire et ces accès doivent être donnés uniquement le temps nécessaire (et en particulier supprimés au départ de ces personnes). Une procédure formelle d'enregistrement et de désinscription des utilisateurs, destinée à accorder et à supprimer l accès au système d information, devrait être définie. Le mode opératoire d'enregistrement de l'utilisateur doit garantir que le niveau d'authentification de l'utilisateur soit cohérent avec le niveau d'accès autorisé par la suite (par exemple, une identification par face-à-face peut être requise pour certains accès sensibles). Le contrôle d accès peut être basé sur l utilisation de rôles prédéfinis. Plusieurs rôles pouvant être attribués à un même utilisateur, et un rôle pouvant correspondre à une ou plusieurs fonctions. Mettre en place une politique de contrôle d accès au niveau du système d information de la clinique basée sur des rôles. Avoir une procédure claire d enregistrement des utilisateurs au système d information permettant d accorder des droits d accès sur le système, et de désinscription des utilisateurs du système d information permettant de supprimer les droits d accès existants sur le système. Contrôler l identité des utilisateurs. Réviser régulièrement les droits d accès des utilisateurs. Dans la mesure du possible, ne pas utiliser de compte générique et ne pas permettre à un utilisateur d avoir plusieurs comptes. Renforcer les moyens d authentification pour l accès au système d information. Des mécanismes d authentification forte (avec la carte CPS par exemple) seront préférés à l utilisation de mots de passe. Si des mots de passe sont utilisés, une complexité minimale devrait être imposée ainsi qu un renouvellement forcé sans réutilisation d ancien mot de passe. Page 9/11

7. Acquisition, développement et maintenance des systèmes d'information Une bonne pratique de sécurisation du système d information est de le protéger constamment contre les vulnérabilités qui pourraient être découvertes. Il est important pour cela de s assurer dès l achat d un progiciel d avoir le support nécessaire permettant d avoir un correctif pour les vulnérabilités découvertes, et d installer effectivement ces correctifs. S assurer dès le cahier des charges à l origine du choix d un progiciel de pouvoir disposer du support nécessaire à la correction des vulnérabilités majeures qui pourraient être découvertes. Suivre la publication de correctifs de sécurité des progiciels utilisés et les installer. Page 10/11

8. Gestion des incidents de sécurité Les incidents de sécurité survenant dans le système d information doivent être traités avec la plus grande attention. Les responsabilités et les procédures en termes de gestion des incidents devraient être établies en vue de : Garantir une réponse rapide, efficace et ordonnée aux incidents de sécurité. Garantir l'existence d'une communication efficace en matière d'incidents de telle sorte que les plans de gestion des crises et de continuité de l'activité puissent être invoqués en des circonstances appropriées et au bon moment. Regrouper et préserver les données relatives aux incidents telles que les traces d'audit, les journaux d'audit et autres preuves. Les incidents de sécurité pourront être traités conjointement avec l Assurance Maladie lorsque celle-ci est particulièrement concernée (par exemple s il s agit d une atteinte au système de facturation). Avoir une procédure en place permettant une réponse rapide, efficace et ordonnée aux incidents de sécurité du système d information Avertir via le correspondant RPS, l Assurance Maladie lors de tout incident de sécurité qui pourrait la concerner. Recenser l ensemble des incidents qui impactent le système d information et les analyser pour identifier les incidents de sécurité. Conserver les preuves informatiques recueillies à la suite d un incident de sécurité afin de pouvoir les utiliser dans le cadre d une éventuelle action en justice. Réviser la politique de sécurité après l'apparition d'un incident de sécurité important. Page 11/11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back