Politica de securitate a sistemului informațional

Politica de securitate a sistemelor informaționale (PSSI) este un plan de acțiune definit pentru a menține un anumit nivel de securitate. Acesta reflectă viziunea strategică a managementului organizației (IMM, SMI, industrie, administrație, stat, uniuni de state etc.) în ceea ce privește securitatea sistemelor de informații (ISS).

Dependență și disociere

Politica de securitate a sistemelor informatice este legată intrinsec de securitatea informațiilor .

De asemenea, întrucât un sistem informațional nu se limitează la sistemul informatic , o politică de securitate a sistemelor informaționale nu se limitează la securitatea computerului .

Descriere

PSSI este principalul document de referință ISS al organizației. Este un element fondator care definește obiectivele care trebuie atinse și mijloacele acordate pentru a le atinge.

Procesul de implementare a acestei politici se bazează pe o analiză a riscurilor de securitate a sistemului informațional.

După validarea diferiților jucători în securitatea informațiilor organizației, PSSI trebuie distribuit tuturor jucătorilor din sistemul informațional (utilizatori, operatori, subcontractanți, furnizori de servicii etc.). Prin urmare, acesta constituie un adevărat instrument de comunicare privind organizarea și responsabilitățile ISS, riscurile ISS și mijloacele disponibile pentru a se proteja împotriva acestora.

Securitatea sistemului informațional se bazează în mod tradițional pe implementarea infrastructurii cheii publice (PKI).

În opinia experților , implementarea unei infrastructuri cu cheie publică într-o lume deschisă nu este cu adevărat eficientă fără anumite măsuri de precauție. În organizațiile mari din rețea, este necesar să se integreze analiza securității datelor într-o reflecție mai largă asupra cadrului legal și a implementării registrelor de metadate .

De exemplu, pentru tot ceea ce privește aplicațiile de cercetare industrială (a se vedea dicționarul de metadate pentru depozitul de publicații CNRS ), este necesară o reflecție aprofundată asupra utilizării certificatului electronic , în raport cu elementele și rafinamentele utilizate.

Dezvoltarea unei politici de securitate a sistemului informațional

În Franța, DCSSI a produs între 2002 și 2004 un ghid pentru politica de securitate a sistemului informațional. Se compune din patru secțiuni:

1. Introducere
2. Metodologie
3. Principii de securitate
4. Referințe SSI

Acest document este o actualizare a documentelor datând din 1994 .

Introducere

Vezi detalii: Secțiunea 1 - Introducere

Ghidul definește conceptele, pe lângă PSSI:

• principii de securitate,
• reguli de siguranță.

Acesta definește domeniul de aplicare și actorii cărora li se adresează ghidul:

• Responsabili cu securitatea sistemelor informatice (FSSI) în administrații,
• Responsabil pentru securitatea sistemelor informatice (RSSI) în companii.

Acesta ia act de noua natură a amenințărilor  : globală și transfrontalieră datorită interconectării rețelelor de internet .

Acesta definește trei tipuri de patrimoniu care trebuie protejat:

• Patrimoniu material,
• Patrimoniu imaterial
• Informații referitoare la persoane fizice și juridice ( date cu caracter personal din Legea privind protecția datelor).

Acesta definește locul PSSI în depozit, în special:

• legăturile dintre PSSI și orientările OECD ,
• legăturile dintre PSSI și criteriile comune .

Acesta indică bazele legitimității regulilor unui PSSI:

• Legi, reglementări, standarde și recomandări de la organisme internaționale, naționale sau profesionale.

Regulile își găsesc justificarea și în componentele culturii organizației (tradiții, reglementări interne).

• Reguli de etică  :
  • Principii internaționale,
  • Coduri etice pe sectoare profesionale,
  • Coduri de etică pentru profesiile în tehnologia informației .

• Principiile protecției intereselor vitale ale statului  :
  • Protecția elementelor de apărare neclasificate,
  • Informații referitoare la secretele apărării  :
    • Protecția secretului și a informațiilor privind apărarea națională și securitatea statului ( IGI 1300 )
    • Securitatea sistemelor de informații care fac obiectul unei clasificări de apărare pentru ei înșiși sau pentru informațiile procesate ( IGI 900 ),
    • Protecția secretului între Franța și statele străine (II 50),
    • Protecția secretului pentru protecția piețelor și a altor contracte (II 2000).

• Principii de salvgardare a intereselor organizației, în special cerințele față de:
  • furnizori,
  • prestatori de servicii,
  • subcontractare,
  • de la alte organizații.

Metodologie

Vezi detalii: Secțiunea 2 - Metodologie

Principii de securitate

Vezi detalii: Secțiunea 3 - Principii de siguranță

Secțiunea 3 discută diferitele domenii de securitate acoperite în general de un PSSI:

Principii organizatorice

• Politică de securitate
• Organizare de securitate
• Managementul riscului ISS
• Securitate și ciclul de viață al software-ului
• Asigurare și certificare

Principii de implementare

• Aspecte umane
• Planificarea continuității activității
• Gestionarea incidentelor
• Conștientizare și instruire
• Operațiune
• Aspecte fizice și mediu

Principii tehnice

• Identificare / autentificare
• Controlul logic al accesului la active
• Logare
• Infrastructuri de gestionare a cheilor criptografice
• Semnalele compromisoare

Referințe SSI

Vezi detalii: Secțiunea 4 - Referințe SSI

Criterii comune pentru evaluarea securității tehnologiei informației

Orientările OCDE

Coduri de etică pentru profesiile în tehnologia informației

Atacuri asupra oamenilor

Daune materiale

Atacuri asupra intereselor fundamentale ale națiunii , terorism și deteriorarea încrederii publice

Încălcări ale proprietății intelectuale

Dispozițiile referitoare la criptologie

Dispozițiile referitoare la semnătura electronică

Variații

Treceți de la principiile globale ISS la politici specializate

Odată identificate cele mai grave riscuri , ne putem pune problema descompunerii PSSI globale în politici de securitate tehnică în funcție de activitate , activitate sau sistem. PSSI general va servi, de asemenea, ca bază pentru coerența dintre aceste politici și între toate studiile de securitate.

Astfel, putem găsi diferite tipuri de politici de securitate legate de securitatea informațiilor sau a datelor  :

• Politica de securitate IT
  • Politica de securitate a rețelei IT
  • Politica de securitate a sistemului

Anexe

Vezi și tu

• Securitatea informațiilor
• Securitatea sistemelor informatice
• ISO / IEC 27000 Suite
• Politică de securitate
• Manager securitate sisteme informatice
• Scurgere de informații
• Politica de securitate a informațiilor

Bibliografie

• (fr) OCTO Technology, work collective, Identity Management: A Policy for the Information System , Octo Technology, 2007, ( ISBN  2952589518 ) .
• (fr) Vuibert Sciences , Guinier D. - Capitol: Politica de securitate, p.  1486-1498 , în enciclopedia sistemelor informatice și informaționale, 2088 pagini , Vuibert Sciences , 2006, ( ISBN  9782711748464 ) .

linkuri externe

• ANSSI: Ghid pentru dezvoltarea politicilor de securitate a sistemelor informatice
• Ghid de conștientizare MEDEF privind securitatea IT și protecția activelor informaționale
• Publicație privind „securitatea sistemelor de informații în unitățile de sănătate” editată de GMSIH