Politica de securitate a sistemelor informaționale (PSSI) este un plan de acțiune definit pentru a menține un anumit nivel de securitate. Acesta reflectă viziunea strategică a managementului organizației (IMM, SMI, industrie, administrație, stat, uniuni de state etc.) în ceea ce privește securitatea sistemelor de informații (ISS).
Politica de securitate a sistemelor informatice este legată intrinsec de securitatea informațiilor .
De asemenea, întrucât un sistem informațional nu se limitează la sistemul informatic , o politică de securitate a sistemelor informaționale nu se limitează la securitatea computerului .
PSSI este principalul document de referință ISS al organizației. Este un element fondator care definește obiectivele care trebuie atinse și mijloacele acordate pentru a le atinge.
Procesul de implementare a acestei politici se bazează pe o analiză a riscurilor de securitate a sistemului informațional.
După validarea diferiților jucători în securitatea informațiilor organizației, PSSI trebuie distribuit tuturor jucătorilor din sistemul informațional (utilizatori, operatori, subcontractanți, furnizori de servicii etc.). Prin urmare, acesta constituie un adevărat instrument de comunicare privind organizarea și responsabilitățile ISS, riscurile ISS și mijloacele disponibile pentru a se proteja împotriva acestora.
Securitatea sistemului informațional se bazează în mod tradițional pe implementarea infrastructurii cheii publice (PKI).
În opinia experților , implementarea unei infrastructuri cu cheie publică într-o lume deschisă nu este cu adevărat eficientă fără anumite măsuri de precauție. În organizațiile mari din rețea, este necesar să se integreze analiza securității datelor într-o reflecție mai largă asupra cadrului legal și a implementării registrelor de metadate .
De exemplu, pentru tot ceea ce privește aplicațiile de cercetare industrială (a se vedea dicționarul de metadate pentru depozitul de publicații CNRS ), este necesară o reflecție aprofundată asupra utilizării certificatului electronic , în raport cu elementele și rafinamentele utilizate.
În Franța, DCSSI a produs între 2002 și 2004 un ghid pentru politica de securitate a sistemului informațional. Se compune din patru secțiuni:
Acest document este o actualizare a documentelor datând din 1994 .
Vezi detalii: Secțiunea 1 - Introducere
Ghidul definește conceptele, pe lângă PSSI:
Acesta definește domeniul de aplicare și actorii cărora li se adresează ghidul:
Acesta ia act de noua natură a amenințărilor : globală și transfrontalieră datorită interconectării rețelelor de internet .
Acesta definește trei tipuri de patrimoniu care trebuie protejat:
Acesta definește locul PSSI în depozit, în special:
Acesta indică bazele legitimității regulilor unui PSSI:
Vezi detalii: Secțiunea 2 - Metodologie
Vezi detalii: Secțiunea 3 - Principii de siguranță
Secțiunea 3 discută diferitele domenii de securitate acoperite în general de un PSSI:
Principii organizatoriceVezi detalii: Secțiunea 4 - Referințe SSI
Criterii comune pentru evaluarea securității tehnologiei informației
Orientările OCDE
Coduri de etică pentru profesiile în tehnologia informației
Atacuri asupra oamenilor
Daune materiale
Atacuri asupra intereselor fundamentale ale națiunii , terorism și deteriorarea încrederii publice
Încălcări ale proprietății intelectuale
Dispozițiile referitoare la criptologie
Dispozițiile referitoare la semnătura electronică
Odată identificate cele mai grave riscuri , ne putem pune problema descompunerii PSSI globale în politici de securitate tehnică în funcție de activitate , activitate sau sistem. PSSI general va servi, de asemenea, ca bază pentru coerența dintre aceste politici și între toate studiile de securitate.
Astfel, putem găsi diferite tipuri de politici de securitate legate de securitatea informațiilor sau a datelor :