La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,

Présentations similaires


Présentation au sujet: "1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,"— Transcription de la présentation:

1 1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,

2 2 PROGRAMME 1) Présentation du conseiller 2) Aperçu sommaire des règles de déontologie des membres du conseil de lAction sociale 3) Lignes directrices de la BCSS pour les clouds (non encore officiellement agréées par le groupe de sécurité constitué à cet effet). 4) Windows 365: bref aperçu. 5) Nouvelle méthode de désignation du conseiller en sécurité Service Public de Programmation Int é gration Sociale,

3 Questions ou sujets à aborder A vous!

4 4 PRESENTATION DU CONSEILLER EN SECURITE 1 Service Public de Programmation Int é gration Sociale, LES CONSEILLERS DE LACTION SOCIALE NE SAVENT PAS: ce quest la sécurité de linformation; ce quest un conseiller en sécurité; ce quils doivent respecter afin dêtre en ordre avec les normes minimales.

5 5 PRESENTATION DU CONSEILLER EN SECURITE 2 Service Public de Programmation Int é gration Sociale, La sécurité de linformation est: - la prévention et la réparation rapide et efficiente des dommages aux données sociales - et des violations illégitimes de la vie privée des intéressés.

6 6 PRESENTATION DU CONSEILLER EN SECURITE 3 Service Public de Programmation Int é gration Sociale, Le service chargé de la sécurité de linformation veille au respect, dans le CPAS, des règles de sécurité imposées par une disposition légale. AR 12/08/1993

7 7 PRESENTATION DU CONSEILLER EN SECURITE 4 Service Public de Programmation Int é gration Sociale, Le service chargé de la sécurité de linformation a une mission: davis, de stimulation, de documentation, de contrôle.

8 8 PRESENTATION DU CONSEILLER EN SECURITE 5 Service Public de Programmation Int é gration Sociale, Le service chargé de la sécurité de linformation conseille le responsable de la gestion journalière (Directeur général – Secrétaire) de son CPAS, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de linformation.

9 9 PRESENTATION DU CONSEILLER EN SECURITE 6 Service Public de Programmation Int é gration Sociale, Sauf si les risques ne sont pas suffisamment importants, les avis sexpriment par écrit et sont motivés.

10 10 PRESENTATION DU CONSEILLER EN SECURITE 7 Service Public de Programmation Int é gration Sociale, Dans le délai …. maximum de trois mois, le responsable de la gestion journalière décide/ de suivre ou non les avis et informe le service chargé de la sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée.

11 11 PRESENTATION DU CONSEILLER EN SECURITE 8 Service Public de Programmation Int é gration Sociale, Le service chargé de la sécurité de linformation promeut le respect des règles de sécurité imposées par une disposition ………ainsi que ladoption, par les personnes employées dans le CPAS dun comportement favorisant la sécurité.

12 12 PRESENTATION DU CONSEILLER EN SECURITE 9 Service Public de Programmation Int é gration Sociale, Le service chargé de la sécurité de linformation rassemble la documentation utile à ce sujet.

13 13 PRESENTATION DU CONSEILLER EN SECURITE 10 Service Public de Programmation Int é gration Sociale, Le conseiller en sécurité veille au respect, dans le CPAS, des règles de sécurité imposées par une disposition légale ….. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de linstitution, accompagnées des avis nécessaires en vue déviter de telles infractions à lavenir.

14 14 PRESENTATION DU CONSEILLER EN SECURITE 11 Service Public de Programmation Int é gration Sociale, Les conseillers en sécurité et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions quils émettent ou des actes quils accomplissent dans le cadre de lexercice correct de leur fonction.

15 15 PRESENTATION DU CONSEILLER EN SECURITE 12 Service Public de Programmation Int é gration Sociale, Le service chargé de la sécurité de linformation est placé sous lautorité fonctionnelle directe du responsable de la gestion journalière du CPAS.

16 16 PRESENTATION DU CONSEILLER EN SECURITE 13 Service Public de Programmation Int é gration Sociale, Il travaille en étroite collaboration avec les services qui requièrent ou peuvent requérir, son intervention, en particulier: avec le service informatique; le SIPP.

17 17 PRESENTATION DU CONSEILLER EN SECURITE 14 Service Public de Programmation Int é gration Sociale, Le conseiller en sécurité rédige un projet de plan de sécurité pour une durée de 3 ans, à lattention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis

18 18 PRESENTATION DU CONSEILLER EN SECURITE 15 Service Public de Programmation Int é gration Sociale, Le service chargé de la sécurité de linformation rédige un rapport annuel à lattention du responsable de la gestion journalière de linstitution.

19 19 PRESENTATION DU CONSEILLER EN SECURITE 16 Service Public de Programmation Int é gration Sociale, Les missions du service chargé de la sécurité de linformation telles que définies se rapportent également aux données sociales à caractère personnel conservées, traitées ou échangées par lintermédiaire de tiers (maisons de soft, administration communale, etc.) pour le compte du CPAS.

20 20 PRESENTATION DU CONSEILLER EN SECURITE 17 Service Public de Programmation Int é gration Sociale,

21 21 Aperçu sommaire des règles de déontologie des membres du conseil de lAction sociale Service Public de Programmation Int é gration Sociale, Source: Le respect de la vie privée A. Le secret Au sein du CPAS, le respect du secret professionnel est une nécessité sociale impérieuse. Lobligation au secret professionnel est consacrée dabord par larticle 458 du Code pénal, Toutes les informations reçues ou constatées durant lexercice de la profession ou du mandat tombent sous le secret professionnel.

22 22 Service Public de Programmation Int é gration Sociale, La loi du 8 juillet 1976 organique des CPAS précise en outre que: les membres du conseil de laction sociale ainsi que toute autre personne qui, en vertu de la loi, assistent aux réunions du conseil, du bureau permanent et des comités spéciaux, sont tenus au secret (art. 36, al. 2); ces dispositions sont également applicables aux membres du personnel du CPAS (art. 50). Aperçu sommaire des règles de déontologie des membres du conseil de lAction sociale

23 23 Aperçu sommaire des règles de déontologie des membres du conseil de lAction sociale Service Public de Programmation Int é gration Sociale, Ainsi, au sein du CPAS, ce ne sont pas seulement les travailleurs sociaux mais lensemble des membres du personnel (y compris le personnel auxiliaire) ainsi que les mandataires qui sont tenus au secret professionnel.

24 24 Aperçu sommaire des règles de déontologie des membres du conseil de lAction sociale Service Public de Programmation Int é gration Sociale, Les membres du conseil et les personnes qui peuvent assister à la réunion ne peuvent donc divulguer la teneur des discussions et délibérations, les points de vue, opinions et prises de position ni la manière dont le vote s'est déroulé, fût-ce aux demandeurs d'aide.

25 CONSEIL Examiner dabord avec votre Directeur général et votre Président: lintérêt de rappeler les règles, le contenu, la manière (très didactique si possible et très simple).

26 26 Lignes directrices de sécurité concernant les clouds: risques 1 Service Public de Programmation Int é gration Sociale, La perte de gouvernance sur le traitement. La perte dauditabilité du prestataire due à une défaillance de gestion des sous-traitants. La dépendance technologique du CPAS vis-à-vis du fournisseur de Cloud Computing = impossibilité ou difficulté de changer de solution (pour un autre fournisseur ou une solution interne) sans perte de données.

27 27 Lignes directrices de sécurité concernant les clouds: risques 2 Service Public de Programmation Int é gration Sociale, Une faille dans lisolation des données = cest-à-dire le risque que les données hébergées sur un système (virtualisé) ne soient plus isolées et puissent être modifiées ou rendues accessibles à des tiers non autorisés, suite à une défaillance du prestataire ou à une mauvaise gestion du rôle dhyperviseur ;

28 28 Lignes directrices de sécurité concernant les clouds: risques 3 Service Public de Programmation Int é gration Sociale, Lexécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales (exemple: USA). e-veut-pouvoir-publier-le-nombre-de-requetes-de-la- nsa/article htm

29 29 Lignes directrices de sécurité concernant les clouds: risques 4 Service Public de Programmation Int é gration Sociale, Google veut pouvoir publier le nombre de requêtes de la NSA Le Vif mercredi 19 juin 2013 à 06h36 Google a demandé mardi à la cour spéciale gérant les enquêtes liées à la sécurité nationale la permission de publier le nombre de requêtes des services de renseignement lui réclamant des données.

30 30 Lignes directrices de sécurité concernant les clouds: risques 5 Service Public de Programmation Int é gration Sociale, Une faille dans la chaîne de sous-traitance e.a., dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service. Le non-respect des règles de conservation et de destruction de linstitution, e.a. par une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue.

31 31 Lignes directrices de sécurité concernant les clouds: risques 6 Service Public de Programmation Int é gration Sociale, Problèmes de gestion des droits daccès. Indisponibilité du prestataire = indisponibilité du service en lui-même mais aussi indisponibilité des moyens daccès au service (notamment les problèmes réseaux). La fermeture du service du prestataire ou le changement non volontaire de prestataire par un tiers. Non-conformité réglementaire, notamment sur les transferts internationaux.

32 32 Lignes directrices de sécurité concernant les clouds: risques 7 Service Public de Programmation Int é gration Sociale, Observations (1) Avant denvisager lutilisation dun Cloud Computing, le CPAS doit clairement identifier les données, traitements ou services qui pourraient être hébergés dans le Cloud et déterminer le retour sur investissement en tenant compte, notamment de lapplication des contraintes de sécurité. Au cas où un type de donnée est soumis à une réglementation spécifique, le CPAS doit identifier les conditions minimales ou restrictions à leur transfert. Les surcoûts de lapplication des évolutions, vraisemblables et probables, des contraintes de sécurité notamment, devront être évalués et chiffrés.

33 33 Lignes directrices de sécurité concernant les clouds: risques 8 Service Public de Programmation Int é gration Sociale, Observations (2) Les modèles de services sont les suivants : SaaS : « Software as a Service », cest-à-dire la fourniture de logiciel en ligne; PaaS : « Platform as a Service », cest-à-dire la fourniture dune plateforme de développement dapplications en ligne; IaaS : « Infrastructure as a Service », cest-à-dire la fourniture dinfrastructures de calcul et de stockage en ligne.

34 34 Lignes directrices de sécurité concernant les clouds: risques 9 Service Public de Programmation Int é gration Sociale, Observations (3) Les modèles de déploiement sont les suivants : « Public » quand un service est partagé et mutualisé entre de nombreux clients; « Privé » quand le Cloud est dédié à un client; « Communautaire » quand le Cloud est partagé par des clients ayant les mêmes contraintes (légales, …); « Hybride » quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé.

35 35 Lignes directrices de sécurité concernant les clouds: risques 10 Service Public de Programmation Int é gration Sociale, Observations (4) Ni le cloud public ni le cloud hybride ne rencontrent actuellement les contraintes de sécurité requises. Il faut définir ses propres exigences de sécurité technique et juridique. Si le but du Cloud est de décharger le CPAS de certaines tâches opérationnelles, il doit sassurer a priori que le prestataire suit un niveau dexigence au moins égal à celui demandé par le CPAS (exemple: cloud Adehis).

36 36 Lignes directrices de sécurité concernant les clouds: risques 9 Service Public de Programmation Int é gration Sociale, Plus le cloud est loin, plus le risque est élevé. Le CPAS doit sassurer que les données sont réellement conservées dans le cloud et non ailleurs (il y a des outils permettant de vérifier le lieu de stockage). Conduire une analyse de risques adéquate est essentiel pour être en mesure de définir les mesures de sécurité appropriées et notamment à exiger du prestataire.

37 37 Lignes directrices de sécurité concernant les clouds: risques 10 Service Public de Programmation Int é gration Sociale,

38 38 Lignes directrices de sécurité concernant les clouds: risques 11 Service Public de Programmation Int é gration Sociale, Garanties Clause relative à la possibilité pour un prestataire de service « cloud » de sous-traiter une partie de ses activités. Le prestataire de service reste le seul responsable vis-à-vis du CPAS de lexécution de ses obligations donc aussi dans le cas où il sous- traite certaines de ses activités. Dans la perspective que certaines tâches particulières puissent être attribuées à des sous-traitants, le contrat doit stipuler que le prestataire « cloud » en informe le CPAS et sengage à reporter formellement toutes les obligations qui lui incombent dans les engagements quil contactera avec ses sous-traitants. Le prestataire devra également s'assurer que ces engagements sont respectés par ses sous-traitants en effectuant les contrôles nécessaires.

39 39 Lignes directrices de sécurité concernant les clouds: risques 12 Service Public de Programmation Int é gration Sociale, Garanties Clause relative à lintégrité, la continuité et la qualité de service Le prestataire doit disposer et mettre en œuvre tous les dispositifs assurant la conservation et lintégrité des informations traitées durant la durée du contrat tels que des systèmes de sauvegarde.

40 40 Lignes directrices de sécurité concernant les clouds: risques 13 Service Public de Programmation Int é gration Sociale, Garanties Un engagement sur un niveau de service (SLA) doit être formalisé dans un accord annexé au contrat entre le CPAS et le prestataire de service « cloud » ; y seront spécifiés, notamment, pendant et après toute période de garantie, la disponibilité de service et le délai maximum de redémarrage en cas dinterruption après accident et tous autres critères relatifs à la reprise des activités (temps délimité de récupération et perte maximale de données tolérable). De même, le détail des mesures permettant la continuité de service doit être fourni dans laccord de niveau de service (SLA) annexé au contrat.

41 41 Lignes directrices de sécurité concernant les clouds: risques 14 Service Public de Programmation Int é gration Sociale, Garanties Clause relative à lassurance de restitution des données. Le prestataire sengage à ne pas conserver les données du CPAS au-delà de la durée de conservation fixée en concertation avec linstitution au regard des finalités pour lesquelles les données ont été collectées. En cas de rupture anticipée ou en fin de prestation, le prestataire sengage à la restitution de lintégralité des données du CPAS dans un mode et un délai convenu, sur base dun format conventionnel, structuré et couramment utilisé afin que le CPAS puisse assurer la continuité de son service. Une fois la restitution effectuée et avec laccord du CPAS, le prestataire de service sengage à détruire toutes les copies des données en sa possession, y compris les backups et archives dans un délai raisonnable et à apporter la preuve de la destruction.

42 42 Lignes directrices de sécurité concernant les clouds: risques 15 Service Public de Programmation Int é gration Sociale, Garanties Clause sur la garantie de portabilité des données et linteropérabilité des systèmes. En fin de prestation, le prestataire sengage à fournir, à des conditions convenues dans le contrat, laide nécessaire à la migration des traitements opérés de son « cloud » vers une autre solution.

43 43 Lignes directrices de sécurité concernant les clouds: risques 16 Service Public de Programmation Int é gration Sociale, Garanties Clause sur les règles daudits Le prestataire sengage à autoriser les audits commandités par le CPAS, à collaborer étroitement et à traiter les déficiences observées le plus rapidement possible. Ces audits peuvent être effectués par le CPAS lui- même ou par un tiers de confiance choisi par le CPAS. Les audits doivent permettre lanalyse du respect du contrat et des règles de sécurité en application dans cette politique ou encore lanalyse de conformité, au regard notamment des bonnes pratiques recommandées par des organismes internationaux (ISO p.ex). Laudit doit aussi permettre de sassurer que les mesures de sécurité relatives à la confidentialité, la disponibilité, la traçabilité et lintégrité des données mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié. Lorsqu'il y a sous-traitance, qu'elle soit totale ou partielle, les règles daudit sont aussi dapplication chez tous les sous-traitants.

44 44 Lignes directrices de sécurité concernant les clouds: risques 17 Service Public de Programmation Int é gration Sociale, Microsoft nautorise pas daudit dans ses clouds.

45 45 Lignes directrices de sécurité concernant les clouds: risques 18 Service Public de Programmation Int é gration Sociale, Garanties Clause sur les obligations du prestataire en matière de confidentialité des données: le prestataire doit sengager, pour lui, ses sous-traitants et éventuels repreneurs, à ne pas utiliser ou divulguer les données pour son propre compte ou celui dun tiers. il doit sengager à protéger et tenir à la disposition du client toutes les traces daccès (nécessaires à déterminer qui à fait quoi et quand) aux données, outils dadministration et applicatifs, et ce pendant une durée déterminée contractuellement. il doit informer le CPAS de toute anomalie détectée dans les traces de connexion, exemple: tentatives daccès de personnes non-autorisées. le prestataire doit informer immédiatement le CPAS de toute enquête ou demande denquête provenant dune autorité administrative ou judicaire belge ou étrangère.

46 46 Lignes directrices de sécurité concernant les clouds: risques 19 Service Public de Programmation Int é gration Sociale, Garanties Clause sur la souveraineté Fournir au CPAS l'assurance que le prestataire et ses éventuels sous- traitants ne sont pas assujettis à des requêtes d'autorités étrangères à la Belgique ou à d'autres Etats membres de l'Union européenne.

47 47 Lignes directrices de sécurité concernant les clouds: risques 20 Service Public de Programmation Int é gration Sociale, Garanties Clause sur les obligations du prestataire en matière de sécurité des données. Fournir au client la politique de sécurité des systèmes dinformation quil a mise en place et linformer des évolutions de cette politique. Le fournisseur de service « Cloud Computing » est tenu au respect des bonnes pratiques en vigueur et exigées par et pour linstitution ; notamment telles que structurées dans lISO ou telles que mentionnées dans les normes minimales pour la sécurité sociale.

48 48 Lignes directrices de sécurité concernant les clouds: risques 21 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service Les bonnes pratiques mentionnées ici sont une liste minimum et non-exhaustive de mesures de sécurité que le prestataire de service « cloud computing » est dans lobligation de respecter tout en sachant que lanalyse de risques exécutée par CPAS peut donner lieu à dautres mesures de sécurité complémentaires

49 49 Lignes directrices de sécurité concernant les clouds: risques 22 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service 5 domaines dattention. Les données sensibles: le prestataire doit mettre en œuvre, de façon cohérente, les processus en matière de sécurité, gestion du personnel, inventaire, qualification et traçabilité des données, les centres de calcul : le prestataire doit disposer dune gestion de la sécurité des accès physiques aux centres de calcul ainsi des dispositifs techniques assurant la protection contre les menaces extérieures et environnementales (incendie, inondation, panne de courant, etc).

50 50 Lignes directrices de sécurité concernant les clouds: risques 23 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service 5 domaines dattention. la sécurité des accès logiques : le prestataire doit disposer de contrôles daccès logique assurant la protection adéquate des données sensibles ou non, la sécurité des systèmes : le prestataire doit disposer de systèmes configurés et protégés des failles de sécurité, en particulier pour les hébergements de données, la sécurité du réseau : le prestataire doit disposer dun réseau sécurisé avec un isolement approprié envers les tiers.

51 51 Lignes directrices de sécurité concernant les clouds: risques 23 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service Données Le prestataire assure : que la localisation des données sensibles ou non, propriétés de linstitution, est connue et conforme aux exigences du CPAS (centre de calcul, stockage et serveurs) que les systèmes de sauvegardes et plan de secours informatiques associés sont mis en œuvre et testés périodiquement, disposer dun code déthique appliqué par et à son personnel et ses éventuels sous-traitants. Il nexerce et nexercera pas dactivités pouvant entrainer un risque de conflit dintérêts,

52 52 Lignes directrices de sécurité concernant les clouds: risques 24 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service Données Le prestataire assure : que son personnel suit régulièrement des formations de sensibilisation à la sécurité, disposer de moyens de traçabilité centralisés permettant de détecter des violations de privilèges ou des comportements malveillants, disposer dune gestion des incident de sécurité incluant la détection, lalerte, le traitement jusquà la résolution, identification des causes et la communication à linstitution.

53 53 Lignes directrices de sécurité concernant les clouds: risques 25 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service Sécurité des centres de calcul Le prestataire assure : disposer de systèmes de contrôle daccès physiques sécurisés, de détection dintrusion, dincendie, dinondations et de vidéo surveillance ; Que les accès aux centres de calcul sont autorisés aux seules personnes habilitées en suivant un circuit dapprobation approprié ; ils sont tracés et revus régulièrement ; que tout sous-traitant de maintenance amené à utiliser ou réparer des équipements contenant des données sensibles est soumis à des clauses contractuelles de confidentialité ; que tout media de stockage de données contenant des données sensibles et destiné à être réaffecté, mis au rebus ou recyclé fait lobjet dun effacement adéquat préalable.

54 54 Lignes directrices de sécurité concernant les clouds: risques 26 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service Sécurité des accès logiques Le prestataire assure : appliquer les règles dautorisation daccès aux données en fonction des éléments communiqués par le CPAS (consultation, création, modification et suppression); que les accès des utilisateurs et administrateurs aux systèmes contenant des données sensibles sappuient sur des mécanismes assurant la confidentialité et la traçabilité (pistes daudit des accès aux données et traitement de la problématique des comptes génériques) ; appliquer une politique dauthentification conforme à celle du CPAS.

55 55 Lignes directrices de sécurité concernant les clouds: risques 27 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes Le prestataire assure : que les données sauvegardées, quel que soit le support, sont chiffrées au moyen dun dispositif adéquat (algorithme, longueur de clef,…) ; gérer les vulnérabilités des systèmes et organise au moins annuellement des tests dintrusion, les vulnérabilités critiques identifiées sont corrigées immédiatement ; que les serveurs hébergeant les données sensibles sont configurés avec un niveau de sécurité renforcé ;

56 56 Lignes directrices de sécurité concernant les clouds: risques 28 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes Le prestataire assure que: les patchs de sécurité sont gérés de façon centralisée, testés préalablement et appliqués dans des délais inférieurs à un mois ; les anti-virus sont installés sur les serveurs, les postes de travail, tenus à jour et supervisés ; lusage des clés USB et autres medias de stockage mobiles est contrôlé, géré et nativement interdit sur tous les systèmes contenant des données sensibles ; en ce compris tous types de stockages externes non prévus explicitement dans le contrat.

57 57 Lignes directrices de sécurité concernant les clouds: risques 29 Service Public de Programmation Int é gration Sociale, Respect des bonnes pratiques par le prestataire de service Sécurité des accès au réseau Le prestataire assure que: les points dentrée au réseau sont limités, sécurisés et filtrés ; les tâches dadministration des systèmes sont opérées depuis un réseau dadministration sécurisé ; dédié et isolé en se connectant avec des mécanismes dauthentification forte ; les changements au niveau des équipements réseau sont tracés, documentés et préalablement approuvés ; dans le cas dun service « Cloud computing » partagé : laccès au réseau est autorisé uniquement à des terminaux de confiance ; le réseau sur lequel sont connectés les systèmes hébergeant les données sensibles est isolé du réseau des autres clients.

58 58 Lignes directrices de sécurité concernant les clouds: risques 30 Service Public de Programmation Int é gration Sociale, Respect de certains obligations légales dans le cas de traitement de données personnelles Le CPAS doit toujours veiller au respect des règles de protection des données à caractère personnel (loi de la vie privée) lors de traitement de telles données dans un service de type « cloud ». Dans ce cadre, le CPAS propriétaire des données sera toujours tenu responsable du bon respect des règles de protection des données personnelles. Le choix du prestataire de service « cloud computing » par le CPAS se limite à des prestataires de service qui noffrent uniquement que des services « cloud privé » en cas dexternalisation de données à caractère personnel.

59 59 Lignes directrices de sécurité concernant les clouds: risques 31 Service Public de Programmation Int é gration Sociale, Respect de certains obligations légales dans le cas de traitement de données personnelles Les données à caractère personnel peuvent circuler librement depuis la Belgique et au sein de lunion européenne, tant que les principes généraux de la loi « vie privée belge sont respectées. Dans ce cadre, le choix dune externalisation de données à caractère personnel ou de services de traitement de données personnelles vers un pays de lunion européenne est autorisé uniquement si la loi « vie privée belge est dapplication.en fonction des pays de lunion (comme indiqué dans la directive européenne 95/46/CE). De plus, toute externalisation de données à caractère personnel nécessite un chiffrement des données durant le transfert et la période de stockage. Les moyens de chiffrement doivent toujours rester sous le contrôle de linstitution en termes de gestion et ne peuvent être sous- traité.

60 60 Lignes directrices de sécurité concernant les clouds: risques 34 Service Public de Programmation Int é gration Sociale, Questions éventuelles???

61 61 WINDOWS 365 Service Public de Programmation Int é gration Sociale, Quelques principes

62 62 Nouvelle procédure de désignation du conseiller en sécurité* (1) Service Public de Programmation Int é gration Sociale, Voici les différentes étapes. 1. Faire désigner le conseiller en sécurité ou le conseiller en sécurité adjoint par le Conseil de lAction sociale. 2. Envoyer la désignation signée au conseiller en sécurité du SPP IS par courrier ou scannée par mail à SPP Intégration sociale, Bd Roi Albert II, 30, 1000 Bruxelles. * Ceci vaut aussi pour le conseiller en sécurité adjoint.

63 63 Nouvelle procédure de désignation du conseiller en sécurité (2) Service Public de Programmation Int é gration Sociale, 3. Aller ensuite sur le site de la BCSS. 4. Cliquer sur Conseillers en sécurité (juste en dessous de "Sécurité et vie privée" ).

64 64 Nouvelle procédure de désignation du conseiller en sécurité (3) Service Public de Programmation Int é gration Sociale, ou sur ebsites/belgium/security/security_03.html ebsites/belgium/security/security_03.html Aller sur "Questionnaire d'évaluation pour le candidat conseiller en sécurité« et cliquer dessus. Ladresse du lien est la suivante: ite/explications_questionnaire_evaluation_conseiller_e.pdf ite/explications_questionnaire_evaluation_conseiller_e.pdf

65 65 Nouvelle procédure de désignation du conseiller en sécurité (4) Service Public de Programmation Int é gration Sociale, 7. Le document "Questionnaire d'évaluation pour le candidat conseiller en sécurité" souvre. 8. Lisez attentivement tout le document AVANT de le compléter. 9. Cliquez ensuite sur "ici" pour ouvrir le document à remplir. 10. Lexique: responsable de la gestion journalière à Bruxelles: le Secrétaire en Wallonie: le Directeur général. Lorganisme demandeur est le CPAS.

66 66 Nouvelle procédure de désignation du conseiller en sécurité (5) Service Public de Programmation Int é gration Sociale, 11. Complétez tout le formulaire. 12. Lorsque le formulaire est complété, allez à la page 2 et signez le électroniquement. 13. Si le Secrétaire ou Directeur général est le conseiller en sécurité, faites signer le Président à la place du Responsable de la gestion journalière. 14. Le fait de signer électroniquement envoie automatiquement le document vers la Commission de la vie privée. 15. Faites une impression du document complété si vous voulez lenvoyer par la poste et gardez toujours un exemplaire pour vous.

67 67 Nouvelle procédure de désignation du conseiller en sécurité (6) Service Public de Programmation Int é gration Sociale, Lorsque le nouveau conseiller en sécurité a rempli ces formalités, il doit: - attendre une quinzaine de jours (temps de traitement de la Commission de la vie privée); - Demander au Responsable des Accès Entités daller sur https://professional.socialsecurity.be, de cliquer sur Employeur et ensuite de cliquer sur "Se connecter«.https://professional.socialsecurity.be

68 68 Nouvelle procédure de désignation du conseiller en sécurité (7) Service Public de Programmation Int é gration Sociale, - si le conseiller en sécurité existe déjà et a un rôle, de le supprimer; - si le conseiller en sécurité nexiste pas encore, de ne pas le créer, - de cliquer sur "Remplacer le Gestionnaire local" - dintroduire le numéro de Registre national du nouveau conseiller en sécurité, denregistrer et de cliquer sur "confirmer".

69 69 Nouvelle procédure de désignation du conseiller en sécurité (8) Service Public de Programmation Int é gration Sociale, Rappel: le conseiller en sécurité ne peut être le Secrétaire ou le Directeur général dans un grand CPAS. Le conseiller en sécurité ne peut être le Responsable du service informatique ou le Directeur du service informatique. La Commission de la vie privée enregistrera les informations mais ne portera aucun jugement sur vos connaissances et nempêchera personne dêtre désigné Conseiller en sécurité de linformation.

70 QUESTIONS?

71 FIN


Télécharger ppt "1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,"

Présentations similaires


Annonces Google