les normes minimales de sécurité
Post on 05-Jan-2017
242 Views
Preview:
TRANSCRIPT
Patrick BOCHART Conseiller en sécurité de l’information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be
Les normes minimales de sécurité
11/7/2014
Agenda
• Introduction & scope • Champ d’application et interprétation • Normes minimales de sécurité, ISMS, structure ISO 27002:2013
– la politique de sécurité de l'information, – l'organisation de la sécurité, – la sécurité liée aux collaborateurs, – la gestion des ressources de l'entreprise, – la protection d’accès logique, – la cryptographie, – la sécurité physique et la protection de l'environnement, – la gestion opérationnelle (logging, protection contre des logiciels malveillants, ...), – La sécurité des communications, – L’acquisition, le développement et la maintenance de systèmes, – La relations avec les fournisseurs, – la gestion des incidents, – L’aspect de la sécurité de l’information dans la gestion de la continuité, – La conformité .
• Révision • Sanction
2
Introduction & scope
• Source: http://www.bcss.fgov.be/ (Page d'accueil Sécurité et vie privée Documentation – Sécurité Information Security Management System)
• Obligatoires
– Institutions de sécurité sociale visées à l’article 2, alinéa 1er, 2°, de la loi organique de la Banque Carrefour
– Art. 18 : l'extension du réseau est possible, en ce compris les droits et les obligations de la loi BCSS,
– sur demande explicite (par exemple par le Comité sectoriel dans le cadre d'une délibération)
3
Introduction & scope
• Champ d’application :
– traitement de données sociales à caractère personnel.
– bon usage : la sécurité de l’information au sens large du terme
• Cas spécifique :
– Utilisation du numéro RN au sien des services RH
4
Introduction & scope
• Contrôle :
– Evaluation périodique par le Comité Sectoriel sur base de questionnaire
– Contrôle possible par un organisme externe
• Sous-traitance :
– le donneur d’ordre reste responsable de la mise en œuvre et du contrôle de l’application des normes minimales de sécurité chez le sous-traitant.
5
Introduction & scope
• Interprétation des normes:
– Mise en œuvre des mesures de sécurité les plus appropriées compte tenu de la situation spécifique et de l’importance des moyens de fonctionnement à protéger.
6
Introduction & scope
• Objectifs poursuivis
– Assurer de manière coordonnée un niveau minimal de sécurité
– Respect aspect légaux et règlementaires
– Obtenir/conserver l’autorisation d’échange
7
Introduction & scope
• Relation à l'ISMS et à l'ISP ("Politique de sécurité de l'information" - conforme à la série ISO 27000)
8
ISMS: MÉTHODOLOGIE
Questionnaire
Directives
Policie
Comité sectoriel de la
sécurité sociale et de la
santé
ISP
(Information Security Policy)
Normes minimales
Loi organique de la Banque
Carrefour
15/01/90 – 12/08/93
9
Structure ISO 27002:2013 Ces normes minimales portent sur les aspects
suivants:
• la politique de sécurité de l'information, • l'organisation de la sécurité, • la sécurité liée aux collaborateurs • la gestion des ressources de l'entreprise, • la protection d’accès logique, • la cryptographie • la sécurité physique et la protection de l'environnement, • la gestion opérationnelle (logging, protection contre des logiciels
malveillants, ...), • La sécurité des communications • L’acquisition, le développement et la maintenance de systèmes, • La relations avec les fournisseurs • la gestion des incidents, • L’aspect de la sécurité de l’information dans la gestion de la continuité, • La conformité (contrôle/audit).
Les normes minimales de sécurité
5. Politique de sécurité de l’information
• Toute organisation doit disposer d’une politique de sécurité de l’information formelle et actualisée, approuvée par le responsable de la gestion journalière, (ou équivalent).
11
12
6. Organisation de la sécurité de l’information
Deux parties
• 6.1 Organisation de la sécurité de l’information
• 6. 2 Appareils mobiles et télétravail
6.1 Organisation de la sécurité de l’information • 6.1.1 Organisation de la sécurité de l’information
– organiser, en son sein, un service de sécurité de l’information;
– communiquer l’identité de son conseiller en sécurité et de ses adjoints éventuels au Comité sectoriel de la sécurité sociale et de la santé;
– disposer d’un plan de sécurité approuvé par le responsable de la gestion journalière;
– disposer des crédits de fonctionnement nécessaires;
– communiquer à la BCSS le nombre d’heures qu’elle a officiellement attribuées à son conseiller en sécurité et à ses adjoints éventuels pour l’exécution de leurs tâches;
– planifier la communication d’informations au conseiller en sécurité;
13
6.1 Organisation de la sécurité de l’information • 6.1.2 Plateforme de décision
– disposer d’une plateforme de décision pour valider et approuver les mesures de sécurité..
14
6.1 Organisation de la sécurité de l’information • 6.1.3 Réseau secondaire
– Echanger d’information au moins une fois par semestre avec son réseau secondaire, • Avis
• Promotion
• Documentation
• Contrôle en matière de sécurité de l'information
15
6.1 Organisation de la sécurité de l’information • 6.1.4 Sécurité de l’information dans le cadre de
projets
– Disposer de procédures pour le développement de nouveaux systèmes ou d’évolutions importantes dans les systèmes existants, pour que le responsable de projet tienne compte des exigences de sécurité décrites dans le présent document.
16
6.2 Appareils mobiles et télétravail
• 6.2.1 Accès à distance
– Prendre les mesures adéquates, en fonction du moyen d’accès, afin de sécuriser l’accès on-line réalisé en dehors de l’organisation aux données sociales à caractère personnel. • Moyen d’accès : p.ex. Internet, ligne louée, réseau privé, wireless.
17
6.2 Appareils mobiles et télétravail
• 6.2.2 Protection des données sur des médias mobiles
– Prendre les mesures adéquates afin que les données à caractère personnel enregistrées sur des médias mobiles ne soient accessibles qu’aux personnes autorisées
18
• 7.1 Traitement des données:
– Engagement de tous les collaborateurs internes et externes à respecter leurs obligations en ce qui concerne la confidentialité et la sécurité des données.
19
7. Sécurité liée aux collaborateurs
• 7.2 Sensibilisation
– sensibiliser chaque collaborateur à la sécurité de l’information.
20
7. Sécurité liée aux collaborateurs
8. Gestion des ressources de l’entreprise
• 8.1 Inventaire
– Disposer d’un inventaire du matériel informatique et des logiciels
– Mis à jour en permanence.
21
8. Gestion des ressources de l’entreprise
• 8.2 Protection des ressources de l’entreprise
– S’assurer de la protection des supports des données à caractère personnel et les systèmes informatiques les traitant
– Conformément à leur classification, • dans des locaux identifiés et protégés
• dont l’accès est limité aux seules personnes autorisées et aux seules heures justifiées par leur fonction.
22
8. Gestion des ressources de l’entreprise
• 8.3 Internet et e-mail
– Etablir et appliquer un code de bonne conduite pour l’usage de l’Internet et de l’e-mail
23
• 8.4 Support physique en transit
– Prendre les mesures nécessaires pour protéger, contre les accès non autorisés, les supports en transit dont notamment les backups contenant des données sensibles
24
8. Gestion des ressources de l’entreprise
9. Protection de l’accès (logique)
• 9.1 Protection des données
– sécuriser l’accès aux données nécessaires à l’application et à l’exécution de la sécurité sociale par un système d’identification, d’authentification et d’autorisation.
25
9. Protection de l’accès (logique)
• 9.2 Autorisations Comité sectoriel
– S’assurer de l’existence des autorisations nécessaires du comité sectoriel compétent pour l’accès aux données (sociales) à caractère personnel gérées par une autre organisation
26
9. Protection de l’accès (logique)
• 9.3 Accès aux systèmes informatiques par les gestionnaires d’information
– limiter l'accès au(x) système(s) informatique(s) aux gestionnaires d’information identifiés, authentifiés et autorisés
27
• 9.4 Utilisation des services en réseaux
– prendre les mesures adéquates afin que toute personne n’ait uniquement accès qu’aux services pour lesquels elle a spécifiquement reçu une autorisation.
28
9. Protection de l’accès (logique)
9. Protection de l’accès (logique)
• 9.5 Connexion IP externe - réseau primaire
– Utiliser l’Extranet de la sécurité sociale pour toutes les connexions externes à l’institution ou à son réseau secondaire.
– Dérogation possible !
29
9. Protection de l’accès (logique)
• 9.6 Connexion IP externe - réseau secondaire
– Possibilité d’utiliser l’Extranet
– Si pas d’utilisation de l’Extranet • Prise de mesures de sécurité qui garantiront un niveau de sécurité
équivalent à celui de l’Extranet
30
31
10. Cryptographie
• 10.1 Cryptographie
– “NIHIL.”
11. Protection physique et protection de l’environnement • 11.1 Protection physique de l’accès
– limiter l’accès aux bâtiments et locaux aux personnes autorisées et effectuer un contrôle à ce sujet
32
• 11.2 Incendie, intrusion, dégâts causés par l’eau
– Prendre des mesures pour la prévention, la protection, la détection, l’extinction et l’intervention en cas d’incendie, d’intrusion et de dégâts causés par l’eau.
33
11. Protection physique et protection de l’environnement
11. Protection physique et protection de l’environnement • 11.3 Alimentation en électricité
– Disposer d’un moyen alternatif en électricité afin de garantir la prestation de services attendue
34
• 11.4 Mise au rebut ou recyclage sécurisé du matériel
– prendre des mesures pour que toute donnée soit supprimée ou rendue inaccessible sur tout support de stockage avant sa mise au rebut ou recyclage
35
11. Protection physique et protection de l’environnement
• 12.1 Séparation des environnements
– Ségrégation des environnements;
– S’assurer que tout développement, ou test soit exclu au sein de l’environnement de production;
– Possibilité de dérogation.
36
12. Gestion opérationnelle
12. Gestion opérationnelle
• 12.2 Gestion de la mise en production
– Disposer de procédures pour la mise en production de nouvelles applications et la réalisation d’adaptations aux applications existantes.
– Eviter qu’une seule et même personne n'assure le contrôle de l’ensemble de ce processus.
37
12. Gestion opérationnelle
• 12.3 Protection contre des codes nocifs
– Doit disposer de systèmes actualisés pour se protéger (prévention, détection et rétablissement) contre des codes nocifs
38
12. Gestion opérationnelle
• 12.4 Politique de sauvegarde
– définir la politique et la stratégie organisant la mise en œuvre d’un système de sauvegarde en phase avec la gestion de la continuité
– contrôler régulièrement les sauvegardes réalisées dans ce cadre.
39
12. Gestion opérationnelle
• 12.5 Logging de l’accès
– Implémentation d’un système de logging pour les données à caractère personnel nécessaires à l’application et à l’exécution de la sécurité sociale.
40
12. Gestion opérationnelle
• 12.6 Traçabilité des identités.
– Assurer à son niveau la traçabilité des identifiants utilisés
– Permettre l’identification de bout en bout des identifiants utilisés.
41
12. Gestion opérationnelle
• 12.7 Détection d’infractions à la sécurité
– Installer un système et des procédures formelles et actualisées permettant la détection, le suivi et la réparation d’infractions
42
13. Sécurité des communications
• 13.1 Sécurité au niveau du réseau
– 13.1.1 Gestion de la sécurité des réseaux • vérifier que les réseaux sont gérés et contrôlés de façon adéquate
afin de les protéger contre les menaces et de garantir de façon efficace la protection des systèmes et des applications qui utilisent le réseau
43
• 13.1 Sécurité au niveau du réseau
– 13.1.2 Disponibilité des réseaux • mettre en place les mesures techniques nécessaires, suffisantes,
efficientes et adéquates en vue de garantir la plus haute disponibilité de connexion avec le réseau de la Banque Carrefour
44
13. Gestion opérationnelle
13. Sécurité des communications
• 13.2 Echange d’information
– 13.2.1 Cartographie des flux de l’Extranet • tenir à jour une cartographie technique des flux implémentés au
travers de l’Extranet de la sécurité sociale
45
13. Sécurité des communications
• 13.2 Echange d’information
– 13.2.2 Qualité de service des échanges d’informations à caractère social • Traitement dans les meilleurs délais par l'ensemble des
intervenants
• Traitement en temps utile des messages de suivi qu'elles doivent recevoir des destinataires ou intermédiaires.
• Réalisation dans les meilleurs délais les actions adéquates et appropriées consécutives au traitement des messages de suivi.
• Toute anomalie ou lacune dans la transmission électronique des données doit être signalée dans les meilleurs délais aux intervenants concernés
46
14. Acquisition, développement et maintenance de systèmes • 14.1 Documentation
– Disposer de procédures pour la rédaction de documentation lors du développement de nouveaux systèmes et applications et lors de la maintenance des applications et systèmes existants.
47
14. Acquisition, développement et maintenance de systèmes • 14.2 Méthode de développement structurée
– Doit avoir recours à une approche structurée en vue d’un développement sécurisé de systèmes
48
14. Acquisition, Développement et maintenance de systèmes • 14.3 Vérifier les exigences de sécurité avant la mise
en production
– Veiller à ce que le responsable de projet vérifie le respect des exigences de sécurité établies au début de la phase de développement ou de la procédure d’achat avant toute mise en production de nouveaux systèmes ou d’évolutions importantes dans les systèmes existants
49
• 14.4 Sécurité applicative
– prendre les mesures nécessaires pour assurer la sécurité au niveau applicatif dans le but de minimiser les brèches potentielles de sécurité (confidentialité, intégrité, disponibilité).
50
14. Acquisition, développement et maintenance de systèmes
51
15. Relation avec les fournisseurs
• 15.1 Collaboration avec des sous-traitants
– doit s’assurer que les obligations en matière de traitement de données à caractère personnel sont contractuellement établies.
– “Dans le cadre d’une solution de type « Cloud Computing », la politique de sécurité y relative (ISMS.0050) précise que le choix dans une telle situation est limité uniquement à des services cloud « communautaire » (ou « privé »).”
16. Gestion d’incidents relatifs à la sécurité de l’information • 16.1 Incidents majeurs
– Veiller à ce que le service de Sécurité de l’information soit informé, par le service responsable, des incidents majeurs susceptibles de compromettre la sécurité de l’information et des mesures prises pour faire face à ces incidents
– S'assurer que la BCSS soit informé de tout incident de sécurité classifié "Majeur" suivant la politique générale de remontée d'incident sécurité établie au sein de la sécurité sociale.
52
17. Gestion de la continuité
• 17.1 Gestion de la continuité
– élaborer, tester et maintenir un plan de continuité basé sur une analyse des risques, afin d’assurer la mission de l’organisation dans le cadre de la sécurité sociale.
• 17.2 Redondances
– prévoir un centre de migration informatique et/ou une infrastructure redondante informatique en cas de catastrophe totale ou partielle.
53
18. Conformité
• 18.1 Audit externe
– entreprendre périodiquement un audit de conformité relatif à la situation de la sécurité telle que circonscrite par les normes minimales.
54
Révisions
• Les normes minimales de sécurité sont susceptibles d'être revisées. – Tâche du groupe de travail Sécurité de l'information du Comité général
de coordination
• Dernière normes minimales de sécurité entrées en vigueur : 1er janvier 2015 – Adaptées et rendues conformes à la numérotation du standard ISO
27002:2013, aux recommandations du Comité sectoriel du Registre national et aux dernières modifications de la loi organique de la Banque Carrefour
– Approuvées par le Comité de gestion de la BCSS
– Le nouveau questionnaire a été envoyé pour la première fois en janvier 2016.
55
Sanctions
• En cas de non-respect de ces normes minimales, l'institution de sécurité sociale concernée peut se voir interdire, après mise en demeure, l'accès au réseau conformément à l'article 46, alinéa premier, 1°, de la loi organique de la Banque Carrefour.
• Les institutions qui souhaitent s’intégrer au réseau de la Banque Carrefour doivent disposer d’un plan pluriannuel actualisé mentionnant les mesures permettant de satisfaire aux normes minimales.
56
Questions ?
57
security@ksz-bcss.fgov.be
+32 741 83 04
Patrick Bochart conseiller en sécurité de l’Information Banque Carrefour de la Sécurité Sociale security@ksz-bcss.fgov.be http://www.bcss.fgov.be
MERCI ! QUESTIONS ?
58
top related