ISMS Sécurité physique et protection de l`environnement 2008

LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
ISMS
(Information Security Management System)
Sécurité physique et protection de
l'environnement
Check-list
2008
Version control – please always check if you’re using the latest version
Doc. Ref. : isms.034.checklist.phys
Release
Status
Date
Written by
Approved by
FR_1.00
Proposition pour
les institutions de
sécurité sociale
26/08/2008
Luc Symons
Groupe de travail
Sécurité
de
l’Information
24/09/2008
Remarque : Ce document intègre les remarques d’un groupe de travail auquel ont participé madame
Minnaert (INASTI) et messieurs Bochart (BCSS), Bouamor (CIMIRe SIGeDIS), Costrop (Smals), De Ronne
(ONVA), De Vuyst (BCSS), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem
(ONSSAPL),Van den Heuvel (BCSS), Vandergoten (INAMI) et Vertongen (ONSS).
Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement
aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document.
Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque
Carrefour de la sécurité sociale, http://www.bcss.fgov.be).
La diffusion éventuelle à des fins commerciales doit faire l’objet d’une autorisation écrite préalable de la part de la Banque Carrefour
de la sécurité sociale.
P1
LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
Table des matières
ISMS.........................................................................................................................................................................1
(INFORMATION SECURITY MANAGEMENT SYSTEM).................................................................................1
1
INTRODUCTION ET SCOPE ........................................................................................................................3
2
ESPACES SÉCURISÉS ...................................................................................................................................3
2.1
2.2
2.3
2.4
2.5
2.6
3
PROTECTION PHYSIQUE DE L’ENVIRONNEMENT .............................................................................................3
PROTECTION PHYSIQUE DE L’ACCÈS .............................................................................................................4
PROTECTION DES BUREAUX, DES ESPACES ET DES ÉQUIPEMENTS....................................................................5
PROTECTION CONTRE DES MENACES EXTERNES .............................................................................................5
TRAVAILLER DANS DES ESPACES SÉCURISÉS .................................................................................................6
ACCÈS PUBLIC ET ZONES DE CHARGEMENT ET DE DÉCHARGEMENT ................................................................6
PROTECTION DU MATÉRIEL ................................................................................................................7
3.1
3.2
3.3
3.4
3.5
3.6
3.7
INSTALLATION ET PROTECTION DU MATÉRIEL ...............................................................................................7
ÉQUIPEMENTS DE SOUTIENS .........................................................................................................................7
PROTECTION DES CÂBLES .............................................................................................................................8
ENTRETIEN DU MATÉRIEL ............................................................................................................................8
PROTECTION DU MATÉRIEL EN DEHORS DE L’ÉTABLISSEMENT .......................................................................9
ENLEVER OU RÉUTILISER LE MATÉRIEL DE MANIÈRE SÉCURISÉE ....................................................................9
ENLÈVEMENT DE BIENS DE L’ENTREPRISE .....................................................................................................9
P2
LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
1 Introduction et scope
Cette check-list, structurée selon la norme ISO 27002, est un outil pour vérifier le statut de la sécurité
physique et de la protection de l’environnement.
Il s’agit d’une liste non-exhaustive des principaux points d’attention, influencés notamment par les besoins,
les objectifs et la taille de l’organisation. Par ailleurs, ces points sont susceptibles de changer à travers le
temps.
Certains aspects sont étroitement liés aux missions du conseiller en prévention et/ou relèvent de sa
compétence. Le but est de parvenir à une collaboration entre le conseiller en prévention et le conseiller en
sécurité (AR du 12/08/1993 relatif à l’organisation de la sécurité de l’information).
Il y a lieu de tenir compte des règles et des législations pertinentes en vigueurs (locales, régionales,
nationales, internationales,…)
2 Espaces sécurisés
2.1 Protection physique de l’environnement
O:
N:
P:
NA :
Oui
Non
Partiellement
Non Applicable
O
N
P
NA
1
Les zones contenant des informations et des dispositifs IT ont-elles été clairement
définies en vue de leur protection adéquate ?
¨
¨
¨
¨
2
L’extérieur de l’établissement ou du bâtiment est-il suffisamment et solidement
protégé contre tout accès de personnes non autorisées (p.ex. clôture, murs
extérieurs, portes extérieures et fenêtres extérieures solides, …) ?
¨
¨
¨
¨
L’accès au bâtiment et aux zones spécifiques est-il contrôlé de manière à ce que
seules les personnes autorisées aient accès (p.ex. personnel à l’accueil, système de
badge, …) ?
¨
¨
¨
¨
4
Le principe des barrières de sécurité successives est-il appliqué (p.ex. protection du
bâtiment, protection de la section informatique, protection du local, …) ?
¨
¨
¨
¨
5
L’installation, le fonctionnement et le contrôle des accès sont-ils conformes à la
législation et à la réglementation en la matière ?
¨
¨
¨
¨
6
Des systèmes anti-intrusion adéquats ont-ils été installés et leur fonctionnement
effectif est-il testé régulièrement ?
¨
¨
¨
¨
Est-ce qu’il est tenu compte e.a. de la protection des espaces sans personnel, des
périodes d’activation (p.ex. uniquement en dehors des heures de bureau ou en
permanence) ?
¨
¨
¨
¨
Si du matériel informatique (ordinateurs, matériel réseau,…) est géré par une société
¨
¨
¨
¨
3
7
P3
LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
externe, ce matériel est-il physiquement isolé des systèmes en gestion propre ?
8
Des mesures adéquates et analogues sont-elles prises dans les autres sites de
l’institution ?
¨
¨
¨
¨
9
L’accès du personnel d’entretien et de nettoyage aux zones sécurisées est-il géré et
contrôlé de manière suffisante ?
¨
¨
¨
¨
10
La problématique de la protection physique de l’accès fait-elle l’objet d’une attention
suffisante lorsque plusieurs organisations sont hébergées dans le même bâtiment ?
¨
¨
¨
¨
Points d’attention particuliers
Une attention particulière doit être accordée aux problématiques suivantes (e.a. législation et
réglementation):
•
l’installation et l’utilisation de caméras de surveillance,
•
l’utilisation de services de garde,
•
réglementation relative au bien-être des travailleurs
Remarques
2.2 Protection physique de l’accès
1
2
3
O
N
P
NA
¨
¨
¨
¨
Des dispositifs d’authentification (p.ex. badge, code) sont-ils prévus pour l’accès au
bâtiment et aux locaux où des informations sensibles sont traitées ou enregistrées ?
¨
¨
¨
¨
Une trace d’audit est-elle conservée ?
¨
¨
¨
¨
Tous les collaborateurs, le personnel externe et les visiteurs portent-ils une forme
visible d’identification (p.ex. un badge) ?
¨
¨
¨
¨
¨
¨
¨
¨
L’accès d’agents de services externes de support est-il limité aux seuls endroits
nécessaires à leurs activités/missions ? Celui-ci/ceux-ci fait-il/font-ils l’objet d’une
autorisation et d’un contrôle ?
¨
¨
¨
¨
Les droits d’accès sont-ils régulièrement évalués, actualisés et, au besoin, retirés ?
¨
¨
¨
¨
Existe-t-il des procédures et des règles pour l’accès des visiteurs (p.ex.
enregistrement de l’arrivée et du départ, accueil à la réception, accompagnement
jusqu’au service concerné, liste des participants à une réunion / formation) ?
Ceci fait-il l’objet d’un suivi et d’un contrôle ?
4
5
Remarques
P4
LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
2.3 Protection des bureaux, des espaces et des équipements
O
N
P
NA
1
Les principaux dispositifs sont-ils placés dans des endroits non accessibles au public
?
¨
¨
¨
¨
2
Veille-t-on à placer le moins possible d’indications concernant des activités
informatiques ou réseau (p.ex. localisation de la salle informatique, schémas
d’évacuation)
¨
¨
¨
¨
Veille-t-on à ce que les sources d’information contenant des indications de la
localisation de dispositifs IT sensibles ne soient pas librement accessibles au public
(p.ex. annuaires téléphoniques internes) ?
¨
¨
¨
¨
O
N
P
NA
3
Remarques
2.4 Protection contre des menaces externes
1
2
3
Des mesures sont-elles prises contre:
•
les incendies
¨
¨
¨
¨
•
les inondations
¨
¨
¨
¨
•
la foudre
¨
¨
¨
¨
•
les explosions
¨
¨
¨
¨
•
des troubles
¨
¨
¨
¨
•
toute autre forme de calamité naturelle ou causée par l’homme ?
¨
¨
¨
¨
Les matériaux dangereux ou inflammables sont-ils gardés à une distance suffisante
des espaces sécurisés (p.ex. des papiers ne doivent pas être conservés ou stockés
dans un espace sécurisé) ?
¨
¨
¨
¨
Le matériel de réserve et les médias de sauvegarde sont-ils placés à distance
suffisante (p.ex. ailleurs que sur le site principal) ?
¨
¨
¨
¨
¨
¨
¨
¨
Le centre de secours se trouve-t-il à une distance suffisante du site principal ?
Remarques
•
norme ATEX (atmosphère explosive)
P5
LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
2.5 Travailler dans des espaces sécurisés
O
N
P
NA
1
Le travail dans les espaces sécurisés est-il effectué sous surveillance (tant que pour
des motifs de sécurité que pour éviter toutes activités malveillantes) ?
¨
¨
¨
¨
2
L’accès du personnel externe aux espaces sécurisés et leurs activités dans ces
espaces font-ils l’objet d’une surveillance ?
¨
¨
¨
¨
3
Les espaces sécurisés inoccupés sont-ils fermés et régulièrement contrôlés ?
¨
¨
¨
¨
4
Faut-il une autorisation explicite pour l’utilisation d’appareils d’enregistrement (film,
photo, vidéo, enregistrement GSM, …)?
¨
¨
¨
¨
Remarques
2.6 Accès public et zones de chargement et de déchargement
O
N
P
NA
1
La zone de chargement et de déchargement est-elle suffisamment contrôlée de
manière à éviter tout accès non-autorisé ?
¨
¨
¨
¨
2
Les matériaux livrés sont-ils dûment contrôlés et sont-ils ensuite transportés selon
les procédures prévues vers l’endroit où ils sont nécessaires ?
¨
¨
¨
¨
Remarques
P6
LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
3 Protection du matériel
3.1 Installation et protection du matériel
O
N
P
NA
Les stations de travail avec des données sensibles sont-elles placées de manière à
ce que des personnes non-autorisées ne puissent pas lire les données affichées à
l’écran ?
¨
¨
¨
¨
Le matériel qui requiert une protection spécifique est-il placé de manière telle (p.ex.
dans un local fermé spécifique) que la protection du local ne doit pas être
spécialement renforcée ?
¨
¨
¨
¨
Des mesures sont-elles prises pour limiter les risques tels que le vol, les incendies,
les explosions, la fumée, les inondations, l’interruption de l’alimentation en eau, la
poussière, les vibrations, les réactions chimiques, les perturbations de l’alimentation
en électricité et des moyens de communication, les radiations électromagnétiques et
le vandalisme ?
¨
¨
¨
¨
4
Y a-t-il une interdiction de fumer et une interdiction de manger et de boire à proximité
du matériel ?
¨
¨
¨
¨
5
Les conditions ambiantes, telles que la température et l’humidité atmosphérique,
sont-elles contrôlées de sorte à ce que celles-ci n’influencent pas de manière
négative le fonctionnement des dispositifs IT ?
¨
¨
¨
¨
O
N
P
NA
Existe-t-il une alimentation en électricité sans interruption (UPS) afin de garantir une
procédure de fermeture correcte ou de permettre un fonctionnement ininterrompu du
matériel ?
¨
¨
¨
¨
2
Existe-t-il une procédure de secours en cas de panne du système UPS ?
¨
¨
¨
¨
3
Y a-t-il un générateur de secours en cas de panne de courant prolongée ?
¨
¨
¨
¨
4
Ces équipements d’utilité publique sont-ils contrôlés, entretenus et testés de manière
suffisante ?
¨
¨
¨
¨
5
Le matériel de télécommunication est-il relié via au moins deux chemins distincts
avec les systèmes du fournisseur télécom ?
¨
¨
¨
¨
1
2
3
Remarques
3.2 Équipements de soutiens
1
P7
LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
Remarques
3.3 Protection des câbles
O
N
P
NA
Les câbles d’électricité et de télécommunication pour les dispositifs IT sont-ils
suffisamment protégés (p.ex. chemins de câbles sécurisés ne passant pas via des
espaces publics, …)?
¨
¨
¨
¨
Les câbles réseau doivent être protégés contre l’interception non-autorisée et la
détérioration, p.ex. en les plaçant dans des fourreaux ou des chemins de câbles et
en évitant au maximum de les faire passer par des espaces publics.
¨
¨
¨
¨
Les câbles et le matériel sont-ils clairement identifiés (par exemple ; pour minimiser
les risques de mauvais manipulation lors de réalisation de branchement dans le
tableau de répartition) ?
¨
¨
¨
¨
4
Existe-t-il une documentation des tableaux de répartitions
¨
¨
¨
¨
5
Des mesures supplémentaires sont-elles prises pour les systèmes très sensibles ou
critiques (p.ex. monitoring, fibre optique, …)?
¨
¨
¨
¨
O
N
P
NA
1
2
3
Remarques
3.4 Entretien du matériel
1
Le matériel est-il entretenu correctement et conformément aux prescriptions ?
¨
¨
¨
¨
2
Les réparations et l’entretien sont-ils effectués par du personnel compétent ?
¨
¨
¨
¨
3
Toutes les perturbations supposées ou effectives, ainsi que tous les travaux
d'entretien de prévention ou de rémédiation sont-ils enregistrés ?
¨
¨
¨
¨
4
Lors de l’entretien et des réparations, est-il tenu compte des éventuelles exigences
imposées par la compagnie d’assurances ?
¨
¨
¨
¨
Remarques
P8
LOGO
Institution
Sécurité physique et protection de l'environnement
Version 1.00
26/08/2008
3.5 Protection du matériel en dehors de l’établissement
O
N
P
NA
1
Existe-t-il des règles en ce qui concerne le matériel et les médias utilisés en dehors
de l’établissement (p.ex. backups, bandes, ordinateurs portable, …) ?
¨
¨
¨
¨
2
Des règles et des mesures ont-elles été implémentées pour le travail à domicile ?
¨
¨
¨
¨
3
Les assurances adéquates ont-elles été conclues pour protéger le matériel qui se
trouve en dehors de l'établissement ?
¨
¨
¨
¨
O
N
P
NA
¨
¨
¨
¨
O
N
P
NA
Remarques
•
Législation sur le télétravail
3.6 Enlever ou réutiliser le matériel de manière sécurisée
1
Les données enregistrées sont-elles supprimées (de manière suffisante) avant que le
matériel et les médias de sauvegarde ne soient enlevés ?
Remarques
3.7 Enlèvement de biens de l’entreprise
1
Veille-t-on à ce que le matériel, l’information et les logiciels ne soient pas emportés
en dehors de l'établissement sans autorisation ?
¨
¨
¨
¨
2
La réception et la remise de matériel font-elles l’objet d’un suivi ?
¨
¨
¨
¨
3
Un contrat a-t-il été conclu avec une firme spécialisée pour la destruction des
supports contenant des informations sensibles et le caractère confidentiel a-t-il fait
l'objet d'une attention particulière ?
¨
¨
¨
¨
Remarques
P9