La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Session de sécurité 2ème semestre 2013

Présentations similaires


Présentation au sujet: "Session de sécurité 2ème semestre 2013"— Transcription de la présentation:

1 Session de sécurité 2ème semestre 2013
Service Public de Programmation Intégration Sociale,

2 PROGRAMME Présentation du conseiller
Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale Lignes directrices de la BCSS pour les clouds (non encore officiellement agréées par le groupe de sécurité constitué à cet effet). Windows 365: bref aperçu. Nouvelle méthode de désignation du conseiller en sécurité Service Public de Programmation Intégration Sociale,

3 Questions ou sujets à aborder
A vous!

4 PRESENTATION DU CONSEILLER EN SECURITE 1
LES CONSEILLERS DE L’ACTION SOCIALE NE SAVENT PAS: ce qu’est la sécurité de l’information; ce qu’est un conseiller en sécurité; ce qu’ils doivent respecter afin d’être en ordre avec les normes minimales. Service Public de Programmation Intégration Sociale,

5 PRESENTATION DU CONSEILLER EN SECURITE 2
La sécurité de l’information est: - la prévention et la réparation rapide et efficiente des dommages aux données sociales - et des violations illégitimes de la vie privée des intéressés. Service Public de Programmation Intégration Sociale,

6 PRESENTATION DU CONSEILLER EN SECURITE 3
Le service chargé de la sécurité de l’information veille au respect, dans le CPAS, des règles de sécurité imposées par une disposition légale. AR 12/08/1993 Service Public de Programmation Intégration Sociale,

7 PRESENTATION DU CONSEILLER EN SECURITE 4
Le service chargé de la sécurité de l’information a une mission: d’avis, de stimulation, de documentation, de contrôle. Service Public de Programmation Intégration Sociale,

8 PRESENTATION DU CONSEILLER EN SECURITE 5
Le service chargé de la sécurité de l’information conseille le responsable de la gestion journalière (Directeur général – Secrétaire) de son CPAS, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l’information. Service Public de Programmation Intégration Sociale,

9 PRESENTATION DU CONSEILLER EN SECURITE 6
Sauf si les risques ne sont pas suffisamment importants, les avis s’expriment par écrit et sont motivés. Service Public de Programmation Intégration Sociale,

10 PRESENTATION DU CONSEILLER EN SECURITE 7
Dans le délai …. maximum de trois mois, le responsable de la gestion journalière décide/ de suivre ou non les avis et informe le service chargé de la sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée. Service Public de Programmation Intégration Sociale,

11 PRESENTATION DU CONSEILLER EN SECURITE 8
Le service chargé de la sécurité de l’information promeut le respect des règles de sécurité imposées par une disposition ………ainsi que l’adoption, par les personnes employées dans le CPAS d’un comportement favorisant la sécurité. Service Public de Programmation Intégration Sociale,

12 PRESENTATION DU CONSEILLER EN SECURITE 9
Le service chargé de la sécurité de l’information rassemble la documentation utile à ce sujet. Service Public de Programmation Intégration Sociale,

13 PRESENTATION DU CONSEILLER EN SECURITE 10
Le conseiller en sécurité veille au respect, dans le CPAS, des règles de sécurité imposées par une disposition légale ….. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de l’institution, accompagnées des avis nécessaires en vue d’éviter de telles infractions à l’avenir. Service Public de Programmation Intégration Sociale,

14 PRESENTATION DU CONSEILLER EN SECURITE 11
Les conseillers en sécurité et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions qu’ils émettent ou des actes qu’ils accomplissent dans le cadre de l’exercice correct de leur fonction. Service Public de Programmation Intégration Sociale,

15 PRESENTATION DU CONSEILLER EN SECURITE 12
Le service chargé de la sécurité de l’information est placé sous l’autorité fonctionnelle directe du responsable de la gestion journalière du CPAS. Service Public de Programmation Intégration Sociale,

16 PRESENTATION DU CONSEILLER EN SECURITE 13
Il travaille en étroite collaboration avec les services qui requièrent ou peuvent requérir, son intervention, en particulier: avec le service informatique; le SIPP. Service Public de Programmation Intégration Sociale,

17 PRESENTATION DU CONSEILLER EN SECURITE 14
Le conseiller en sécurité rédige un projet de plan de sécurité pour une durée de 3 ans, à l’attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis Service Public de Programmation Intégration Sociale,

18 PRESENTATION DU CONSEILLER EN SECURITE 15
Le service chargé de la sécurité de l’information rédige un rapport annuel à l’attention du responsable de la gestion journalière de l’institution. Service Public de Programmation Intégration Sociale,

19 PRESENTATION DU CONSEILLER EN SECURITE 16
Les missions du service chargé de la sécurité de l’information telles que définies se rapportent également aux données sociales à caractère personnel conservées, traitées ou échangées par l’intermédiaire de tiers (maisons de soft, administration communale, etc.) pour le compte du CPAS. Service Public de Programmation Intégration Sociale,

20 PRESENTATION DU CONSEILLER EN SECURITE 17
Service Public de Programmation Intégration Sociale,

21 Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
Source: Le respect de la vie privée A. Le secret Au sein du CPAS, le respect du secret professionnel est une nécessité sociale impérieuse. L’obligation au secret professionnel est consacrée d’abord par l’article 458 du Code pénal, Toutes les informations reçues ou constatées durant l’exercice de la profession ou du mandat tombent sous le secret professionnel. Service Public de Programmation Intégration Sociale,

22 Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
La loi du 8 juillet 1976 organique des CPAS précise en outre que: les membres du conseil de l’action sociale ainsi que toute autre personne qui, en vertu de la loi, assistent aux réunions du conseil, du bureau permanent et des comités spéciaux, sont tenus au secret (art. 36, al. 2); ces dispositions sont également applicables aux membres du personnel du CPAS (art. 50). Service Public de Programmation Intégration Sociale,

23 Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
Ainsi, au sein du CPAS, ce ne sont pas seulement les travailleurs sociaux mais l’ensemble des membres du personnel (y compris le personnel auxiliaire) ainsi que les mandataires qui sont tenus au secret professionnel. Service Public de Programmation Intégration Sociale,

24 Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
Les membres du conseil et les personnes qui peuvent assister à la réunion ne peuvent donc divulguer la teneur des discussions et délibérations, les points de vue, opinions et prises de position ni la manière dont le vote s'est déroulé, fût-ce aux demandeurs d'aide. Service Public de Programmation Intégration Sociale,

25 CONSEIL Examiner d’abord avec votre Directeur général et votre Président: l’intérêt de rappeler les règles, le contenu, la manière (très didactique si possible et très simple).

26 Lignes directrices de sécurité concernant les clouds: risques 1
La perte de gouvernance sur le traitement. La perte d’auditabilité du prestataire due à une défaillance de gestion des sous-traitants. La dépendance technologique du CPAS vis-à-vis du fournisseur de Cloud Computing = impossibilité ou difficulté de changer de solution (pour un autre fournisseur ou une solution interne) sans perte de données. Service Public de Programmation Intégration Sociale,

27 Lignes directrices de sécurité concernant les clouds: risques 2
Une faille dans l’isolation des données = c’est-à-dire le risque que les données hébergées sur un système (virtualisé) ne soient plus isolées et puissent être modifiées ou rendues accessibles à des tiers non autorisés, suite à une défaillance du prestataire ou à une mauvaise gestion du rôle d’hyperviseur ; Service Public de Programmation Intégration Sociale, 27

28 Lignes directrices de sécurité concernant les clouds: risques 3
L’exécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales (exemple: USA). Service Public de Programmation Intégration Sociale, 28

29 Lignes directrices de sécurité concernant les clouds: risques 4
Google veut pouvoir publier le nombre de requêtes de la NSA Le Vif mercredi 19 juin 2013 à 06h36 Google a demandé mardi à la cour spéciale gérant les enquêtes liées à la sécurité nationale la permission de publier le nombre de requêtes des services de renseignement lui réclamant des données. Service Public de Programmation Intégration Sociale, 29

30 Lignes directrices de sécurité concernant les clouds: risques 5
Une faille dans la chaîne de sous-traitance e.a., dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service. Le non-respect des règles de conservation et de destruction de l’institution, e.a. par une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue. Service Public de Programmation Intégration Sociale, 30

31 Lignes directrices de sécurité concernant les clouds: risques 6
Problèmes de gestion des droits d’accès. Indisponibilité du prestataire = indisponibilité du service en lui-même mais aussi indisponibilité des moyens d’accès au service (notamment les problèmes réseaux). La fermeture du service du prestataire ou le changement non volontaire de prestataire par un tiers. Non-conformité réglementaire, notamment sur les transferts internationaux. Service Public de Programmation Intégration Sociale, 31

32 Lignes directrices de sécurité concernant les clouds: risques 7
Observations (1) Avant d’envisager l’utilisation d’un Cloud Computing, le CPAS doit clairement identifier les données, traitements ou services qui pourraient être hébergés dans le Cloud et déterminer le retour sur investissement en tenant compte, notamment de l’application des contraintes de sécurité. Au cas où un type de donnée est soumis à une réglementation spécifique, le CPAS doit identifier les conditions minimales ou restrictions à leur transfert. Les surcoûts de l’application des évolutions, vraisemblables et probables, des contraintes de sécurité notamment, devront être évalués et chiffrés. Service Public de Programmation Intégration Sociale, 32

33 Lignes directrices de sécurité concernant les clouds: risques 8
Observations (2) Les modèles de services sont les suivants : SaaS : « Software as a Service », c’est-à-dire la fourniture de logiciel en ligne; PaaS : « Platform as a Service », c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne; IaaS : « Infrastructure as a Service », c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne. Service Public de Programmation Intégration Sociale, 33

34 Lignes directrices de sécurité concernant les clouds: risques 9
Observations (3) Les modèles de déploiement sont les suivants : « Public » quand un service est partagé et mutualisé entre de nombreux clients; « Privé » quand le Cloud est dédié à un client; « Communautaire » quand le Cloud est partagé par des clients ayant les mêmes contraintes (légales, …); « Hybride » quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé. Service Public de Programmation Intégration Sociale, 34

35 Lignes directrices de sécurité concernant les clouds: risques 10
Observations (4) Ni le cloud public ni le cloud hybride ne rencontrent actuellement les contraintes de sécurité requises. Il faut définir ses propres exigences de sécurité technique et juridique. Si le but du Cloud est de décharger le CPAS de certaines tâches opérationnelles, il doit s’assurer a priori que le prestataire suit un niveau d’exigence au moins égal à celui demandé par le CPAS (exemple: cloud Adehis). Service Public de Programmation Intégration Sociale, 35

36 Lignes directrices de sécurité concernant les clouds: risques 9
Plus le cloud est loin, plus le risque est élevé. Le CPAS doit s’assurer que les données sont réellement conservées dans le cloud et non ailleurs (il y a des outils permettant de vérifier le lieu de stockage). Conduire une analyse de risques adéquate est essentiel pour être en mesure de définir les mesures de sécurité appropriées et notamment à exiger du prestataire. Service Public de Programmation Intégration Sociale, 36

37 Lignes directrices de sécurité concernant les clouds: risques 10
Service Public de Programmation Intégration Sociale, 37

38 Lignes directrices de sécurité concernant les clouds: risques 11
Garanties Clause relative à la possibilité pour un prestataire de service « cloud » de sous-traiter une partie de ses activités. Le prestataire de service reste le seul responsable vis-à-vis du CPAS de l’exécution de ses obligations donc aussi dans le cas où il sous-traite certaines de ses activités. Dans la perspective que certaines tâches particulières puissent être attribuées à des sous-traitants, le contrat doit stipuler que le prestataire « cloud » en informe le CPAS et s’engage à reporter formellement toutes les obligations qui lui incombent dans les engagements qu’il contactera avec ses sous-traitants. Le prestataire devra également s'assurer que ces engagements sont respectés par ses sous-traitants en effectuant les contrôles nécessaires. Service Public de Programmation Intégration Sociale, 38

39 Lignes directrices de sécurité concernant les clouds: risques 12
Garanties Clause relative à l’intégrité, la continuité et la qualité de service Le prestataire doit disposer et mettre en œuvre tous les dispositifs assurant la conservation et l’intégrité des informations traitées durant la durée du contrat tels que des systèmes de sauvegarde. Service Public de Programmation Intégration Sociale, 39

40 Lignes directrices de sécurité concernant les clouds: risques 13
Garanties Un engagement sur un niveau de service (SLA) doit être formalisé dans un accord annexé au contrat entre le CPAS et le prestataire de service « cloud » ; y seront spécifiés, notamment, pendant et après toute période de garantie, la disponibilité de service et le délai maximum de redémarrage en cas d’interruption après accident et tous autres critères relatifs à la reprise des activités (temps délimité de récupération et perte maximale de données tolérable). De même, le détail des mesures permettant la continuité de service doit être fourni dans l’accord de niveau de service (SLA) annexé au contrat. Service Public de Programmation Intégration Sociale, 40

41 Lignes directrices de sécurité concernant les clouds: risques 14
Garanties Clause relative à l’assurance de restitution des données. Le prestataire s’engage à ne pas conserver les données du CPAS au-delà de la durée de conservation fixée en concertation avec l’institution au regard des finalités pour lesquelles les données ont été collectées. En cas de rupture anticipée ou en fin de prestation, le prestataire s’engage à la restitution de l’intégralité des données du CPAS dans un mode et un délai convenu, sur base d’un format conventionnel, structuré et couramment utilisé afin que le CPAS puisse assurer la continuité de son service. Une fois la restitution effectuée et avec l’accord du CPAS, le prestataire de service s’engage à détruire toutes les copies des données en sa possession, y compris les backups et archives dans un délai raisonnable et à apporter la preuve de la destruction. Service Public de Programmation Intégration Sociale, 41

42 Lignes directrices de sécurité concernant les clouds: risques 15
Garanties Clause sur la garantie de portabilité des données et l’interopérabilité des systèmes. En fin de prestation, le prestataire s’engage à fournir, à des conditions convenues dans le contrat, l’aide nécessaire à la migration des traitements opérés de son « cloud » vers une autre solution. Service Public de Programmation Intégration Sociale, 42

43 Lignes directrices de sécurité concernant les clouds: risques 16
Garanties Clause sur les règles d’audits Le prestataire s’engage à autoriser les audits commandités par le CPAS, à collaborer étroitement et à traiter les déficiences observées le plus rapidement possible. Ces audits peuvent être effectués par le CPAS lui-même ou par un tiers de confiance choisi par le CPAS. Les audits doivent permettre l’analyse du respect du contrat et des règles de sécurité en application dans cette politique ou encore l’analyse de conformité, au regard notamment des bonnes pratiques recommandées par des organismes internationaux (ISO p.ex). L’audit doit aussi permettre de s’assurer que les mesures de sécurité relatives à la confidentialité, la disponibilité, la traçabilité et l’intégrité des données mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié. Lorsqu'il y a sous-traitance, qu'elle soit totale ou partielle, les règles d’audit sont aussi d’application chez tous les sous-traitants. Service Public de Programmation Intégration Sociale, 43

44 Lignes directrices de sécurité concernant les clouds: risques 17
Microsoft n’autorise pas d’audit dans ses clouds. Service Public de Programmation Intégration Sociale, 44

45 Lignes directrices de sécurité concernant les clouds: risques 18
Garanties Clause sur les obligations du prestataire en matière de confidentialité des données: le prestataire doit s’engager, pour lui, ses sous-traitants et éventuels repreneurs, à ne pas utiliser ou divulguer les données pour son propre compte ou celui d’un tiers. il doit s’engager à protéger et tenir à la disposition du client toutes les traces d’accès (nécessaires à déterminer qui à fait quoi et quand) aux données, outils d’administration et applicatifs, et ce pendant une durée déterminée contractuellement. il doit informer le CPAS de toute anomalie détectée dans les traces de connexion, exemple: tentatives d’accès de personnes non-autorisées. le prestataire doit informer immédiatement le CPAS de toute enquête ou demande d’enquête provenant d’une autorité administrative ou judicaire belge ou étrangère. Service Public de Programmation Intégration Sociale, 45

46 Lignes directrices de sécurité concernant les clouds: risques 19
Garanties Clause sur la souveraineté Fournir au CPAS l'assurance que le prestataire et ses éventuels sous-traitants ne sont pas assujettis à des requêtes d'autorités étrangères à la Belgique ou à d'autres Etats membres de l'Union européenne. Service Public de Programmation Intégration Sociale, 46

47 Lignes directrices de sécurité concernant les clouds: risques 20
Garanties Clause sur les obligations du prestataire en matière de sécurité des données. Fournir au client la politique de sécurité des systèmes d’information qu’il a mise en place et l’informer des évolutions de cette politique. Le fournisseur de service « Cloud Computing » est tenu au respect des bonnes pratiques en vigueur et exigées par et pour l’institution ; notamment telles que structurées dans l’ISO ou telles que mentionnées dans les normes minimales pour la sécurité sociale. Service Public de Programmation Intégration Sociale, 47

48 Lignes directrices de sécurité concernant les clouds: risques 21
Respect des bonnes pratiques par le prestataire de service Les bonnes pratiques mentionnées ici sont une liste minimum et non-exhaustive de mesures de sécurité que le prestataire de service « cloud computing » est dans l’obligation de respecter tout en sachant que l’analyse de risques exécutée par CPAS peut donner lieu à d’autres mesures de sécurité complémentaires Service Public de Programmation Intégration Sociale, 48

49 Lignes directrices de sécurité concernant les clouds: risques 22
Respect des bonnes pratiques par le prestataire de service 5 domaines d’attention. Les données sensibles: le prestataire doit mettre en œuvre, de façon cohérente, les processus en matière de sécurité, gestion du personnel, inventaire, qualification et traçabilité des données, les centres de calcul : le prestataire doit disposer d’une gestion de la sécurité des accès physiques aux centres de calcul ainsi des dispositifs techniques assurant la protection contre les menaces extérieures et environnementales (incendie, inondation, panne de courant, etc) . Service Public de Programmation Intégration Sociale, 49

50 Lignes directrices de sécurité concernant les clouds: risques 23
Respect des bonnes pratiques par le prestataire de service 5 domaines d’attention. la sécurité des accès logiques : le prestataire doit disposer de contrôles d’accès logique assurant la protection adéquate des données sensibles ou non, la sécurité des systèmes : le prestataire doit disposer de systèmes configurés et protégés des failles de sécurité, en particulier pour les hébergements de données, la sécurité du réseau : le prestataire doit disposer d’un réseau sécurisé avec un isolement approprié envers les tiers. Service Public de Programmation Intégration Sociale, 50

51 Lignes directrices de sécurité concernant les clouds: risques 23
Respect des bonnes pratiques par le prestataire de service Données Le prestataire assure : que la localisation des données sensibles ou non, propriétés de l’institution, est connue et conforme aux exigences du CPAS (centre de calcul, stockage et serveurs) que les systèmes de sauvegardes et plan de secours informatiques associés sont mis en œuvre et testés périodiquement, disposer d’un code d’éthique appliqué par et à son personnel et ses éventuels sous-traitants. Il n’exerce et n’exercera pas d’activités pouvant entrainer un risque de conflit d’intérêts, Service Public de Programmation Intégration Sociale, 51

52 Lignes directrices de sécurité concernant les clouds: risques 24
Respect des bonnes pratiques par le prestataire de service Données Le prestataire assure : que son personnel suit régulièrement des formations de sensibilisation à la sécurité, disposer de moyens de traçabilité centralisés permettant de détecter des violations de privilèges ou des comportements malveillants, disposer d’une gestion des incident de sécurité incluant la détection, l’alerte, le traitement jusqu’à la résolution, identification des causes et la communication à l’institution. Service Public de Programmation Intégration Sociale, 52

53 Lignes directrices de sécurité concernant les clouds: risques 25
Respect des bonnes pratiques par le prestataire de service Sécurité des centres de calcul Le prestataire assure : disposer de systèmes de contrôle d’accès physiques sécurisés, de détection d’intrusion, d’incendie, d’inondations et de vidéo surveillance ; Que les accès aux centres de calcul sont autorisés aux seules personnes habilitées en suivant un circuit d’approbation approprié ; ils sont tracés et revus régulièrement ; que tout sous-traitant de maintenance amené à utiliser ou réparer des équipements contenant des données sensibles est soumis à des clauses contractuelles de confidentialité ; que tout media de stockage de données contenant des données sensibles et destiné à être réaffecté, mis au rebus ou recyclé fait l’objet d’un effacement adéquat préalable. Service Public de Programmation Intégration Sociale, 53

54 Lignes directrices de sécurité concernant les clouds: risques 26
Respect des bonnes pratiques par le prestataire de service Sécurité des accès logiques Le prestataire assure : appliquer les règles d’autorisation d’accès aux données en fonction des éléments communiqués par le CPAS (consultation, création, modification et suppression); que les accès des utilisateurs et administrateurs aux systèmes contenant des données sensibles s’appuient sur des mécanismes assurant la confidentialité et la traçabilité (pistes d’audit des accès aux données et traitement de la problématique des comptes génériques) ; appliquer une politique d’authentification conforme à celle du CPAS. Service Public de Programmation Intégration Sociale, 54

55 Lignes directrices de sécurité concernant les clouds: risques 27
Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes Le prestataire assure : que les données sauvegardées, quel que soit le support, sont chiffrées au moyen d’un dispositif adéquat (algorithme, longueur de clef,…) ; gérer les vulnérabilités des systèmes et organise au moins annuellement des tests d’intrusion, les vulnérabilités critiques identifiées sont corrigées immédiatement ; que les serveurs hébergeant les données sensibles sont configurés avec un niveau de sécurité renforcé ; Service Public de Programmation Intégration Sociale, 55

56 Lignes directrices de sécurité concernant les clouds: risques 28
Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes Le prestataire assure que: les patchs de sécurité sont gérés de façon centralisée, testés préalablement et appliqués dans des délais inférieurs à un mois ; les anti-virus sont installés sur les serveurs, les postes de travail, tenus à jour et supervisés ; l’usage des clés USB et autres medias de stockage mobiles est contrôlé, géré et nativement interdit sur tous les systèmes contenant des données sensibles ; en ce compris tous types de stockages externes non prévus explicitement dans le contrat. Service Public de Programmation Intégration Sociale, 56

57 Lignes directrices de sécurité concernant les clouds: risques 29
Respect des bonnes pratiques par le prestataire de service Sécurité des accès au réseau Le prestataire assure que: les points d’entrée au réseau sont limités, sécurisés et filtrés ; les tâches d’administration des systèmes sont opérées depuis un réseau d’administration sécurisé ; dédié et isolé en se connectant avec des mécanismes d’authentification forte ; les changements au niveau des équipements réseau sont tracés, documentés et préalablement approuvés ; dans le cas d’un service « Cloud computing » partagé : l’accès au réseau est autorisé uniquement à des terminaux de confiance ; le réseau sur lequel sont connectés les systèmes hébergeant les données sensibles est isolé du réseau des autres clients. Service Public de Programmation Intégration Sociale, 57

58 Lignes directrices de sécurité concernant les clouds: risques 30
Respect de certains obligations légales dans le cas de traitement de données personnelles Le CPAS doit toujours veiller au respect des règles de protection des données à caractère personnel (loi de la vie privée) lors de traitement de telles données dans un service de type « cloud ». Dans ce cadre, le CPAS propriétaire des données sera toujours tenu responsable du bon respect des règles de protection des données personnelles. Le choix du prestataire de service « cloud computing » par le CPAS se limite à des prestataires de service qui n’offrent uniquement que des services « cloud privé » en cas d’externalisation de données à caractère personnel. Service Public de Programmation Intégration Sociale, 58

59 Lignes directrices de sécurité concernant les clouds: risques 31
Respect de certains obligations légales dans le cas de traitement de données personnelles Les données à caractère personnel peuvent circuler librement depuis la Belgique et au sein de l’union européenne, tant que les principes généraux de la loi « vie privée belge sont respectées. Dans ce cadre, le choix d’une externalisation de données à caractère personnel ou de services de traitement de données personnelles vers un pays de l’union européenne est autorisé uniquement si la loi «  vie privée belge est d’application.en fonction des pays de l’union (comme indiqué dans la directive européenne 95/46/CE). De plus, toute externalisation de données à caractère personnel nécessite un chiffrement des données durant le transfert et la période de stockage. Les moyens de chiffrement doivent toujours rester sous le contrôle de l’institution en termes de gestion et ne peuvent être sous-traité. Service Public de Programmation Intégration Sociale, 59

60 Lignes directrices de sécurité concernant les clouds: risques 34
Questions éventuelles??? Service Public de Programmation Intégration Sociale, 60

61 WINDOWS 365 Quelques principes 61
Service Public de Programmation Intégration Sociale, 61

62 Nouvelle procédure de désignation du conseiller en sécurité* (1)
Voici les différentes étapes. Faire désigner le conseiller en sécurité ou le conseiller en sécurité adjoint par le Conseil de l’Action sociale. Envoyer la désignation signée au conseiller en sécurité du SPP IS par courrier ou scannée par mail à SPP Intégration sociale, Bd Roi Albert II, 30, 1000 Bruxelles. Service Public de Programmation Intégration Sociale, *Ceci vaut aussi pour le conseiller en sécurité adjoint. 62

63 Nouvelle procédure de désignation du conseiller en sécurité (2)
Aller ensuite sur le site de la BCSS. Cliquer sur Conseillers en sécurité (juste en dessous de "Sécurité et vie privée" ). Service Public de Programmation Intégration Sociale, 63

64 Nouvelle procédure de désignation du conseiller en sécurité (3)
ou sur Aller sur "Questionnaire d'évaluation pour le candidat conseiller en sécurité«  et cliquer dessus. L’adresse du lien est la suivante: Service Public de Programmation Intégration Sociale, 64

65 Nouvelle procédure de désignation du conseiller en sécurité (4)
Le document "Questionnaire d'évaluation pour le candidat conseiller en sécurité"  s’ouvre. Lisez attentivement tout le document AVANT de le compléter. Cliquez ensuite sur "ici"  pour ouvrir le document à remplir. Lexique: responsable de la gestion journalière à Bruxelles: le Secrétaire en Wallonie: le Directeur général. L’organisme demandeur est le CPAS. Service Public de Programmation Intégration Sociale, 65

66 Nouvelle procédure de désignation du conseiller en sécurité (5)
Complétez tout le formulaire. Lorsque le formulaire est complété, allez à la page 2 et signez le électroniquement. Si le Secrétaire ou Directeur général est le conseiller en sécurité, faites signer le Président à la place du Responsable de la gestion journalière. Le fait de signer électroniquement envoie automatiquement le document vers la Commission de la vie privée. Faites une impression du document complété si vous voulez l’envoyer par la poste et gardez toujours un exemplaire pour vous. Service Public de Programmation Intégration Sociale, 66

67 Nouvelle procédure de désignation du conseiller en sécurité (6)
Lorsque le nouveau conseiller en sécurité a rempli ces formalités, il doit: attendre une quinzaine de jours (temps de traitement de la Commission de la vie privée); Demander au Responsable des Accès Entités d’aller sur de cliquer sur Employeur et ensuite de cliquer sur "Se connecter« . Service Public de Programmation Intégration Sociale, 67

68 Nouvelle procédure de désignation du conseiller en sécurité (7)
si le conseiller en sécurité existe déjà et a un rôle, de le supprimer; si le conseiller en sécurité n’existe pas encore, de ne pas le créer, de cliquer sur "Remplacer le Gestionnaire local" d’introduire le numéro de Registre national du nouveau conseiller en sécurité, d’enregistrer et de cliquer sur "confirmer". Service Public de Programmation Intégration Sociale, 68

69 Nouvelle procédure de désignation du conseiller en sécurité (8)
Rappel: le conseiller en sécurité ne peut être le Secrétaire ou le Directeur général dans un grand CPAS. Le conseiller en sécurité ne peut être le Responsable du service informatique ou le Directeur du service informatique. La Commission de la vie privée enregistrera les informations mais ne portera aucun jugement sur vos connaissances et n’empêchera personne d’être désigné Conseiller en sécurité de l’information. Service Public de Programmation Intégration Sociale, 69

70 QUESTIONS?

71 FIN


Télécharger ppt "Session de sécurité 2ème semestre 2013"

Présentations similaires


Annonces Google