Politique de sécurité de l`information
Transcription
Politique de sécurité de l`information
Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) 2015 Version control – please always check if you’re using the latest version Doc. Ref. : isms.001.isp. fr v1.10 Release Status Date Written by FR_1.1 Révision 24/03/2015 Alain Houbaille Approved by Remarque : Ce document intègre les remarques d’un groupe de travail auquel ont participé madame Glorieux (FAMIFED) et messieurs Bochart (BCSS), Houbaille (BCSS), Costrop (Smals), Perot (ONSS), De Vuyst (BCSS), Petit (FMP), Quewet (SPP SP), Symons (ONEm), Van Cutsem (ONSS APL), Vandergoten (INAMI). P1 Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 Table des matières 1 INTRODUCTION ........................................................................................................................... 3 2 POLITIQUE DE SÉCURITÉ DE L'INFORMATION ................................................................ 4 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 CONTEXTE .................................................................................................................................. 4 OBJECTIFS DE LA POLITIQUE ....................................................................................................... 4 RESPECT DE LA POLITIQUE ......................................................................................................... 4 PORTÉE....................................................................................................................................... 5 PRINCIPES DIRECTEURS .............................................................................................................. 5 RÔLES ET MISSIONS .................................................................................................................... 6 ENTRÉE EN VIGUEUR, ÉVALUATION ET MODIFICATION ............................................................... 8 RÉFÉRENCES............................................................................................................................... 8 3 ANNEXE A: HARMONISATION DES FONCTIONS DE SÉCURITÉ DE L’INFORMATION ................................................................................................................................. 9 P2 Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 1 Introduction L'information est une ressource qui, à l'instar d'autres moyens de production importants, représente une valeur considérable devant être protégée de manière appropriée. La gestion de la sécurité de l'information sert à mettre en place les mesures nécessaires à contrer une multitude de menaces spécifiques. Les organisations, leurs systèmes d’information et réseaux sont de plus en plus confrontés à un nombre croissant de risques divers issus de sources multiples. Songeons par exemple aux virus informatiques, au piratage, au déni de service, à la fraude, mais également à la perte, au vol (p.ex. d’un ordinateur portable), à la divulgation de données confidentielles, au risque d’incendie, etc… Le maintien et l’amélioration de la sécurité de l’information peut s’avérer d’une importance fondamentale pour assurer la continuité du fonctionnement de l’organisation, le respect de la loi et également l’image de l’organisation. De manière générale, la sécurité de l'information se caractérise par la garantie de la confidentialité, de l'intégrité et de la disponibilité de l'information. Concrètement, la gestion de la sécurité de l'information propose des moyens permettant de réfuter des informations falsifiées et de rendre impossible la réfutation d’informations légitimes. Dans le domaine de la sécurité sociale, la sécurité de l'information se définit comme étant la stratégie, les règles, les procédures et les moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information. (Cfr. Arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de services fédéral). P3 Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 2 Politique de sécurité de l'information 2.1 Contexte L'informatisation des organisations de sécurité sociale et leur collaboration accrue donnent lieu à des améliorations considérables sur le plan de l'efficacité et de l’efficience, mais entraînent en même temps de nouveaux risques. Les différentes organisations de sécurité sociale ne sont plus des entités isolées qui traitent des informations, mais elles font partie d'un groupe cohérent. Les liens de collaboration accrus augmentent considérablement le risque et l'ampleur des dommages collatéraux ; c'est pourquoi la stratégie en matière de sécurité de l'information et de protection de la vie privée est fixée dans une politique commune. 2.2 Objectifs de la politique La politique de sécurité de l’information vise à assurer le respect de la législation en vigueur à l’égard des traitements et des échanges d’informations. Les objectifs suivants sont visés: 1. le respect de la vie privée et des obligations légales se rapportant au traitement des données à caractère personnelle et sociale, 2. la conformité aux normes minimales fixées par le comité sectoriel de sécurité sociale et de la santé dans le cadre du traitement des données précitées, 3. l’inventaire des ressources et leur sécurisation conforme à la classification des données, 4. la mise en œuvre d’un processus de gestion de risques selon une méthode documentée pour l’ensemble des processus critiques, 5. la disponibilité, l’intégrité et la confidentialité des informations, 6. une amélioration continue de la sécurité de l’information, 7. l’intégration des exigences sécuritaires requises dans une convention lorsque l’on fait appel à des sous-traitants ou à des fournisseurs. Cette politique sera traduite en normes et en directives afin de préciser les obligations qui en découlent. 2.3 Respect de la politique Le responsable de la gestion journalière est responsable de l’application de la présente politique. La direction de l’organisation insiste sur l’importance de la sécurité de l’information au sein de l’institution et l’obligation de tous les membres de l’organisation de se conformer aux exigences de la présente politique. P4 Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 1 Par conséquent, l’organisation exige de toute personne, qui utilise ses actifs (e.g. système d’information) ou qui a/ aura accès à son ’information, de se conformer aux dispositions de la présente politique ainsi qu’aux directives, procédures et standards qui s’y rattachent. 2.4 Portée La présente politique s’applique : • à l’ensemble du personnel de l’organisation tant interne qu’externe et ce y compris le personnel mis à disposition, et tant à durée déterminée qu'indéterminée (ex. consultants, fournisseurs,...). • à toute personne physique ou morale qui utilise ou accède, pour le compte de l’organisation ou non, à des informations confidentielles ou non, • à l’ensemble des actifs ainsi qu’à leur utilisation au sein de l'organisation tels que les banques de données électroniques, les informations quel que soit le médium de support, les réseaux, les systèmes d’informations, les logiciels ou les centres de traitement. • à l’ensemble des activités de traitement. 2.5 Principes directeurs Chaque organisation de la sécurité sociale doit assurer la sécurité de ses informations conformément aux principes directeurs ci-dessous afin de garantir la réalisation de sa mission. I. Au sein de la sécurité sociale, les normes minimales basées sur les normes de la série ISO 27000 de l’organisation internationale de normalisation font partie du cadre de gestion pour la mise en place de la politique de sécurité de l’information de l’organisation. Ces normes édictent les objectifs minimaux (à atteindre) en matière de sécurité de l’information. II. Il est également nécessaire de tenir compte des besoins spécifiques, des exigences en matière de sécurité, de la taille et de la structure de l’organisation. Au sein des organisations de sécurité sociale, les mesures de gestion sont par exemple complétées par des mesures spécifiques pertinentes dans le domaine de la sécurité sociale et de la protection de la vie privée. III. Compte tenu de la complexité et des coûts associés à l’élaboration de ces principes directeurs, l’organisation met en place un cadre de gestion de la sécurité de l’information basé sur l’identification et l’évaluation périodique des risques qui menacent la disponibilité, l’intégrité et la confidentialité de l’information afin d’en réduire la portée et de les maintenir à un niveau jugé acceptable pour l’organisation. IV. Le cadre pour la détermination, la mise en œuvre, l’exécution, le contrôle, l’évaluation, le maintien et l’amélioration d’un système de gestion documenté en matière de sécurité de l’information est donné par la norme ISO27001. 1 Un actif est tout élément ayant de la valeur pour l’organisme et nécessitant, par conséquent, une protection (norme ISO 27005 8.2.1.2) P5 Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 V. Les mesures de protection, de prévention, de détection, d’assurance et de correction doivent permettre d’assurer la confidentialité, l’intégrité et la disponibilité des actifs de même la continuité des activités. VI. Les mesures de sécurité doivent être proportionnelles à la valeur de l’information à protéger. Elles sont établies en fonction des risques et de leurs impacts et visent à : assurer la disponibilité de l’information de l’organisation de façon à ce qu’elle soit accessible en temps voulu et de la manière requise par une personne autorisée; assurer l’intégrité de l’information de manière à ce qu’elle ne soit pas détruite ou altérée de quelque façon, sans autorisation, et que le support de cette information lui procure la stabilité et la pérennité voulue; limiter l’accès à l'information aux seules personnes autorisées à en prendre connaissance, assurant ainsi une stricte confidentialité; permettre de confirmer l’identité d’une personne ou l’identification d’un document ou d’un dispositif; se prémunir contre le refus par une personne de reconnaître sa responsabilité à l’égard d’un document ou d’un autre objet. VII. L’efficacité de la sécurité de l’information exige l’attribution claire des responsabilités à tous les niveaux de l’organisation et la mise en place d’un processus de gestion interne de la sécurité permettant la vérification, la validation, le suivi et le rapportage. VIII. Le processus de gestion de la sécurité de l’information doit être soutenu par la direction comme moteur principal visant à assurer son efficacité. IX. La gestion de la sécurité doit être intégrée et appliquée tout au long du processus menant à l’acquisition, au développement, à l’utilisation, au remplacement ou à la destruction d’un actif. X. Les pratiques et les solutions retenues en matière de sécurité de l’information doivent être réévaluées périodiquement, afin de tenir compte des changements juridiques, organisationnels et technologiques, ainsi que de l’évolution des menaces et des risques. XI. Le niveau de la sécurité de l’information doit être maintenu à un niveau acceptable; celui-ci peut être mesuré selon un modèle de référence destiné à appréhender, évaluer et améliorer des processus, tel que le C(apability) M(aturity) M(odel) XII. Les contrats établis entre l’organisme et des tiers doivent contenir des dispositions écrites garantissant le respect, par toutes les parties, des exigences en matière de sécurité, y compris la protection de la vie privée. 2.6 Rôles et missions Les principaux rôles nécessaires pour assurer l’information sont : 2.6.1 une bonne gestion de la sécurité de Le conseiller en sécurité de l’information (CSI) Le conseiller en sécurité de l'information a une mission d'avis, de stimulation, de documentation et de contrôle en matière de sécurité de l'information (cf. Arrêté royal du 12 août 1993). P6 Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 Sous l’autorité directe du responsable de la gestion journalière, le CSI stimule et coordonne la sécurité de l’information au sein de l’organisation. Il doit donc harmoniser l’action des divers acteurs dans l’élaboration, la mise en place, le suivi et l’évaluation de la sécurité de l’information (voir annexe A : harmonisation des fonctions de sécurité de l’information). Le CSI veille à l’élaboration et à l’application de la politique de sécurité de l’information. Dans cette perspective, il collabore avec tous les responsables et en particulier, avec le responsable du service des technologies de l’information. Plus précisément, le CSI : • élabore et propose la politique de sécurité de l’information ; • pilote le comité sur la sécurité de l’information ; • coordonne, avec les services visés, la mise en œuvre de la politique de sécurité de l’information et en suit l’évolution ; • identifie les propriétaires d’actifs dans leurs domaines respectifs ; • s’informe des besoins en matière de sécurité de l’information, propose des solutions et coordonne la mise en place de ces solutions ; • sensibilise les collaborateurs à la sécurité de l’information ; • est impliqué dans le processus de gestion du plan de continuité de l’organisation (élaboration, mise en œuvre et suivi).; • assure le suivi et/ou la coordination des grands projets de sécurité de l’information; • gère les aspects relatifs à l’escalade des incidents de sécurité de l’information et procède à des évaluations de la situation en matière de sécurité de l’information ; • suit la mise en œuvre de toute recommandation découlant d’une vérification ou d’un audit ; • rend compte de l’état d’avancement des dossiers de sécurité de l’information ; • transmet périodiquement au responsable de la gestion journalière un rapport sur la maturité de la politique de sécurité de l’information ; • produit annuellement les bilans et les rapports relatifs à la sécurité de l’information appartenant à l’organisation. 2.6.2 2 Le responsable de la gestion journalière Le responsable de la gestion journalière est le responsable de la sécurité de l’information au sein de l’organisation. Il s'assure que les valeurs et les orientations en matière de sécurité de l’information cadrent avec les objectifs stratégiques de l’organisation mais également soient partagées par l’ensemble des responsables de service et du personnel de l’organisation. À cette fin, il : 2 • s’assure de l’application de la politique dans l’organisation; • apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et l’application de la présente politique; Référence : norme minimale 6.1.2 – Plateforme de décision P7 Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 • s’assure de la mise en place de la structure organisationnelle et des moyens humains nécessaires à une bonne gestion de la sécurité de l’information; • reçoit périodiquement un rapport du conseiller en sécurité de l’information sur l’application de la politique. 2.6.3 Les collaborateurs Chaque collaborateur est tenu de respecter les directives et procédures en vigueur en matière de sécurité de l'information qui découlent de la présente politique et d’informer le CSI de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs. À cet effet, il : • prend connaissance, s’informe et adhère à la politique de sécurité de l’information et aux règles spécifiques à sa fonction; • utilise les actifs en se limitant aux fins pour lesquelles ils sont destinés et dans le cadre des accès qui lui sont autorisés; • se conforme aux consignes et directives établies dans le respect des dispositions de la présente politique. . 2.7 Entrée en vigueur, évaluation et modification La présente politique entre en vigueur à la date de son approbation par le comité de direction de l’organisation. La politique est évaluée périodiquement afin de tenir compte des nouveaux besoins, des nouvelles pratiques et technologies, des nouvelles menaces et risques encourus. Toute modification à la présente politique doit être approuvée par le comité de direction de l’organisation. 2.8 Références Les références utilisées sont: - les normes minimales 2015 de la BCSS - les normes ISO 27001, ISO 27002:2013 et ISO 27005 - « Harmonisation des fonctions de sécurité de l’information » proposition du comité BELNIS P8 Politique de sécurité de l'information Information Security Guidelines Version : 1.10 24 mars 2015 Annexe A: Harmonisation des fonctions de sécurité de l’information 3 3 - assignation des enjeux de sécurité aux rôles (proposition informative) 3 Source: groupe de travail BELNIS. P9