La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1er semestre 2008 IUT Orsay Licence SRSI 1 Politique et management de la sécurité

Présentations similaires


Présentation au sujet: "1er semestre 2008 IUT Orsay Licence SRSI 1 Politique et management de la sécurité"— Transcription de la présentation:

1 1er semestre 2008 IUT Orsay Licence SRSI 1 Politique et management de la sécurité

2 Politique de sécurité 1er semestre 2008 IUT Orsay Licence SRSI 2 Le cadre de référence de la politique de sécurité La politique générale de sécurité Le schéma dorganisation de la fonction sécurité Les directives générales et les procédures Le reporting : les tableaux de bord La sensibilisation

3 La politique générale de sécurité 1er semestre 2008 IUT Orsay Licence SRSI 3 Elle représente la position de la Direction Générale sur la protection de son système dinformation La PSSI vise à informer la maîtrise douvrage et la maîtrise d'œuvre des enjeux tout en l'éclairant sur ses choix en terme de gestion des risques à susciter la confiance des utilisateurs et partenaires envers le système d'information. Elle est spécifique à un organisme, à sa culture d'entreprise, à ses objectifs et ses métiers Elle est établi en conformité avec : Les contraintes sectorielles La législation (textes légaux) Définitions et propriétés

4 1er semestre 2008 IUT Orsay Licence SRSI 4 Elle est précédée par une analyse des risques Elle est au cœur de la norme ISO et est un préalable indispensable à l'obtention de la certification Support important de sensibilisation, elle doit être diffusée, avec tous ses documents annexes, à tout les acteurs au sein de l'organisme Elle doit évoluer dans le temps au sein du système de gestion de la sécurité, au travers de mesures et d'améliorations continues La politique générale de sécurité Définitions et propriétés

5 1er semestre 2008 IUT Orsay Licence SRSI 5 Elle est émise sous la signature du dirigeant de la structure Elle présente les grands concepts de la sécurité Elle explicite les enjeux de la sécurité pour la structure Elle fixe les objectifs en termes de sécurité de linformation Elle détaille pour chaque acteur les droits et les devoirs vis- à-vis de la sécurité Elle est diffusée « personnellement » à chaque collaborateur La politique générale de sécurité La charte de sécurité

6 1er semestre 2008 IUT Orsay Licence SRSI 6 Elle présente les critères communs de sécurité s'appliquant à tous type de tiers SSII en régie ou au forfait Sociétés de maintenance Fournisseurs disposant d'accès en télémaintenance Partenaires accédant à certaines parties du SI Elle pourra être annexée au contrat signé avec le tiers. Des dispositions particulières à chaque tiers pourront être ajoutés utilement dans le document La politique générale de sécurité La charte de sécurité pour les tiers

7 1er semestre 2008 IUT Orsay Licence SRSI 7 Elle présente les objectifs suivants : Définition claire des droits et devoirs des utilisateurs Informer des comportements à risque devant être évités Informer sur la dimension juridique Elle respecte les règles de bases suivantes : Transparence de la part de l'organisme sur les moyens en place Discussion avec le CE, le CHSCT et les DP Respect des libertés individuelles Sensibilisation et formation à la sécurité de l'information et aux outils Elle précise les sanctions encourues La politique générale de sécurité La charte utilisateur du S.I.

8 1er semestre 2008 IUT Orsay Licence SRSI 8 Il précise : Les conditions daccès aux informations Les conditions de conservation, de transport et de diffusion des informations de lentité Il détaille les sanctions en cas de non respect Il sadresse À tous les collaborateurs de lentité À toute personne devant accéder à des informations quelque soit son lien avec lentité et la nature de ses actions Il est obligatoirement signé par la personne La politique générale de sécurité Lengagement de confidentialité

9 1er semestre 2008 IUT Orsay Licence SRSI 9 Il recense les missions / tâches liées à la sécurité Il pré-positionne les rôles et responsabilités des différents acteurs à légard des processus sécuritaires types, notamment en matière de : Cadre général et pilotage de la sécurité; Mise en œuvre opérationnelle de la sécurité; Prise en compte de la sécurité dans les projets; Identification et évaluation des risques liés au système dinformation; Audits de sécurité du système dinformation; La politique générale de sécurité Le schéma dorganisation de la fonction sécurité

10 Responsable Sécurité Systèmes dInformation (RSSI) Maître douvrage de la gestion des risques S.I. Direction Générale Directions opérationnelles Métiers DSI Responsable Sécurité Informatique (RSI) Maître dœuvre de la maîtrise des risques informatiques et télécoms Division Risk Management Correspondant. Sécurité Systèmes dInformation (CSSI) Interrelations fonctionnelles Études & Développements Architectes & Experts Exploitants & Administrateurs Interrelations fonctionnelles Comité Directeur Audit Inspection Générale Comité Risques Commission Sécurité des Systèmes dInformation (COSSI) Instance dorientation & darbitrage Maîtrise douvrage SSI Maîtrise dœuvre SSI Instance de pilotage et de coordination Instance daudit et de contrôle Instance denquêtes

11 1er semestre 2008 IUT Orsay Licence SRSI 11 La politique générale de sécurité Directives générales de sécurité (1/5) Elles représentent le référentiel de sécurité de lentreprise Elles regroupent par grands domaines les règles de sécurité à respecter Elles sont en ligne avec les enjeux, risques majeurs et préoccupations prioritaires soulignés au sein du document de politique générale Elles tiennent compte des principes sécuritaires déjà mis en œuvre, que ce soit au sein des infrastructures informatiques et de télécommunication proprement dites, comme au sein des processus métier Elles sont réalisées à partir dentretiens avec les différents responsables techniques et fonctionnels de lentreprise

12 1er semestre 2008 IUT Orsay Licence SRSI 12 La politique générale de sécurité Directives générales de sécurité (2/5) Origine Normes et standards (ISO 27002, IETF,…) Bonne pratiques de sécurité (CoBit) Recommandations (Bâle II, Commission bancaire,…) Expertises Natures 15 directives à dominante informatique (réseaux, postes de travail, Internet, messagerie électronique, téléphonie,…) 6 directives à dominantes non informatique (classification, continuité des activités, ressources humaines,…)

13 1er semestre 2008 IUT Orsay Licence SRSI 13 La politique générale de sécurité Directives générales de sécurité (3/5) Elles sont mises à jours régulièrement pour tenir compte des évolutions : technologiques (nouvel OS, nouveau langage de programmation,…) darchitecture physique ou logicielle Elles sont diffusées largement et dun accès aisé Enonc é de la r è gle Niveau de s é curit é (S, R, M) Acteurs impliqu é s Les dispositifs de filtrage, de commutation et de routage doivent être configur é s pour garantir l acheminement des seuls flux autoris é s aux seuls destinataires devant les recevoir. S Administrateur dispositifs de s é curit é

14 1er semestre 2008 IUT Orsay Licence SRSI 14 La politique générale de sécurité Directives générales de sécurité (4/5) Sécurité Standard (S) Il sagit dun principe ou dune règle dont la mise en œuvre est nécessaire, quelle que soit la criticité de la ressource sur laquelle il/elle est appliqué(e). Le niveau de sécurité standard correspond à la mise en œuvre de dispositifs relevant avant tout de « bonnes pratiques sécuritaires », dans le respect des principes et objectifs définis dans la Politique de Sécurité. Sécurité Renforcée (R) Il sagit dun principe ou dune règle dont la mise en œuvre est souhaitable lorsque l'évaluation des menaces et des enjeux peut amener les Maîtrises dOuvrage à demander la mise en place de moyens de sécurité complémentaires sous la forme de dispositifs plus robustes. Sécurité Maximale (M) Il sagit dun principe ou dune règle dont la mise en œuvre est a priori recommandée lorsque des situations spécifiques imposent la mise en œuvre de solutions « sur mesure » (non nécessairement du marché ou standard).

15 1er semestre 2008 IUT Orsay Licence SRSI 15 La politique générale de sécurité Directives générales de sécurité (5/5) Les acteurs Maitrise douvrage RSSI : Responsable de la Sécurité des Systèmes dInformation, Propriétaire dinformation, Responsable métier / hiérarchique, Utilisateur Maitrise dœuvre Equipe développements, Architecte / expert sécurité SI, Administrateur droits daccès, Administrateur dispositifs de sécurité, Equipe exploitation, Responsable surveillance sécurité Les fonctions supports Ressources humaines (formation, contrats de travail, …), Juridique, Communication, etc. … Les fonctions de contrôle Audit, Inspection, Contrôle des risques, etc. …

16 1er semestre 2008 IUT Orsay Licence SRSI 16 La politique générale de sécurité Procédures de sécurité Décrivent une suite logique d'actions visant à atteindre un objectif Rubriques dune procédure Lélément déclenchant, Le responsable Les acteurs La description des tâches unitaires Les livrables attendus pour chaque tâche Les conditions de contrôle et de conservation des traces

17 1er semestre 2008 IUT Orsay Licence SRSI 17 Le reporting : Le tableau de bord Cest un outil de synthèse et de visualisation de la politique de sécurité mise en œuvre: Au niveau stratégique. Il permet: Le suivi de lapplication de la politique de sécurité De se positionner vis-à-vis des autres structures De préparer les choix et les arbitrages Au niveau du pilotage. Il permet : Le contrôle de la réalisation Lamélioration de la qualité Au niveau opérationnel. Il permet : De mesurer la production et les efforts entrepris pour atteindre les objectifs De motiver et dynamiser les équipes

18 1er semestre 2008 IUT Orsay Licence SRSI 18 Il est constitué de différents indicateurs sélectionnés à partir des objectifs validés dans la politique de sécurité. Les formats des indicateurs : Un dénombrement, Un degré mesuré ou estimé sur une échelle de valeur, Un taux, Un ratio, Une note estimée en fonction dune grille de notation… Le reporting : Le tableau de bord

19 1er semestre 2008 IUT Orsay Licence SRSI 19 Ces indicateurs ont les qualités suivantes : Facilement quantifiables (construit à partir dinformations ou de processus générant des informations quantifiables) afin de permettre des comparaisons (entre systèmes ou entre périodes). Il sagit le plus souvent de pourcentage, de taux, de ratio, de moyenne et/ou de nombres « bruts »; Les informations nécessaires doivent être faciles à obtenir et/ou collecter; sappuyer sur des processus « stables » et aisément « reproductibles » ; permettre la mesure des évolutions suite à des actions correctives ; être fiable sur la durée et autoriser une analyse des écarts ; Le reporting : Le tableau de bord

20 1er semestre 2008 IUT Orsay Licence SRSI 20 Un indicateur possède les caractéristiques suivantes : Un indicateur est une donnée objective qui permet dapprécier une situation, du strict point de vue quantitatif. un référentiel (la performance à atteindre ou à respecter), un seuil dalerte (niveau à partir duquel des actions correctrices doivent être déclenchées), des points de mesure (les informations élémentaires à collecter), une valeur (lexpression du constat : nombre, pourcentage, différence...), une fréquence de calcul, une fréquence de diffusion, un responsable nommément désigné. Le reporting : Le tableau de bord

21 1er semestre 2008 IUT Orsay Licence SRSI 21 Proportion de traces contrôlées o Calcul : Volume des traces contrôlées x 100 / volume des traces o Valeur cible : 100% Évolution du nombre de comptes inutilisés o Calcul : Nombre de comptes inutilisés o Valeur cible : 0 Renouvellement des sensibilisations et informations des personnels techniques o Calcul : Somme des délais écoulés depuis la dernière sensibilisation ou information de chaque personnel technique / nombre de personnels techniques o Valeur seuil : délai moyen maximal à fixer Le reporting : Le tableau de bord

22 1er semestre 2008 IUT Orsay Licence SRSI 22 La sensibilisation Cest axe primordial da la politique de sécurité Elle concerne tous les collaborateurs de lentreprise quelque soit le métier exercé et le niveau de responsabilité Elle doit être adaptée : Au profil des collaborateurs Au métier exercé dans lentreprise Elle peut porter sur un axe particulier de la sécurité et accompagner la mise en œuvre de pratiques nouvelles Lutte anti virale Renforcement de lauthentification

23 1er semestre 2008 IUT Orsay Licence SRSI 23 La sensibilisation Elle nest pas « unique » Elle peut prendre une forme ludique (quizz, concours,…) Elle rappelle les obligations professionnelles et légales Elle traite de cas concrets et dévènements réels Elle prend des formes diverses Interventions des dirigeants lors de manifestation Stage daccueil Journal dentreprise et campagne daffichage dans les locaux Messages sur lIntranet ou à louverture de session Jeux


Télécharger ppt "1er semestre 2008 IUT Orsay Licence SRSI 1 Politique et management de la sécurité"

Présentations similaires


Annonces Google