Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

PGSSI-S : Politique générale de sécurité des systèmes d’information de santé Gu

PGSSI-S : Politique générale de sécurité des systèmes d’information de santé Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs sanitaire et médico-social Tome 1 : Structure sans approche SSI formalisée v0.3 Février 2015 ASIP Santé PGSSI-S – Guide PSSI pour les structures sans approche SSI formalisée 17/02/15 Classification : Public 2 / 66 Sommaire 1 PREAMBULE ............................................................................................................................................. 4 1.1 A QUOI SERT CE GUIDE ? .............................................................................................................................. 4 1.2 A QUI S’ADRESSE CE GUIDE? ......................................................................................................................... 4 1.2.1 Quels lecteurs ? ................................................................................................................................. 4 1.2.2 Quels types de structure ? ................................................................................................................. 5 1.2.3 Les structures ayant externalisé tout ou partie de leur SI sont-elles concernées ? ........................... 5 1.2.4 Faut-il des connaissances en sécurité des systèmes d’information pour utiliser ce guide ? .............. 6 1.3 COMMENT UTILISER CE GUIDE ? .................................................................................................................... 7 1.3.1 Guide PSSI et canevas de PSSI ........................................................................................................... 7 1.3.2 Quels chapitres lire en priorité ? ........................................................................................................ 7 1.3.3 Signalétique utilisée .......................................................................................................................... 7 1.3.4 Spécificité des secteurs sanitaire et médico-social ............................................................................ 7 1.4 POSITIONNEMENT DU GUIDE PAR RAPPORT AUX AUTRES DOCUMENTS DE REFERENCE ............................................... 9 2 POURQUOI UNE POLITIQUE DE SECURITE DES SYSTEMES D’INFORMATION ? ........................................ 10 2.1 LES BESOINS DE SSI DANS LES SECTEURS SANITAIRE ET MEDICO-SOCIAL ................................................................ 10 2.1.1 Les besoins métiers spécifiques des secteurs sanitaire et médico-social......................................... 10 2.1.2 Les besoins de sécurité « génériques » des SI .................................................................................. 11 2.1.3 La diversité des risques informatiques ............................................................................................ 12 2.2 DEFINITION ET FINALITE D’UNE PSSI ............................................................................................................. 14 2.3 SPECIFICITE DE LA METHODE D’ELABORATION DE LA PSSI PROPOSEE PAR CE GUIDE ................................................ 15 3 COMMENT ELABORER LA POLITIQUE DE SECURITE DE VOTRE SI ? ......................................................... 16 3.1 SYNTHESE DE LA DEMARCHE ........................................................................................................................ 16 3.2 LES ACTEURS DE LA PSSI ............................................................................................................................ 17 3.3 ORGANISATION DU DOCUMENT PSSI ............................................................................................................ 17 3.4 ETAPE 1 – « CADRER » : EXPLICITER LE CONTEXTE .......................................................................................... 18 3.4.1 Tâche 1.1 : Valider le projet avec la direction de la structure ......................................................... 18 3.4.2 Tâche 1.2 : Fixer l’objet de la PSSI ................................................................................................... 18 3.4.3 Tâche 1.3 : Définir le champ d’application de la PSSI ...................................................................... 18 3.4.4 Tâche 1.4 : Préciser les enjeux de sécurité ....................................................................................... 19 3.4.5 Tâche 1.5 : Identifier les textes applicables ..................................................................................... 20 3.5 ETAPE 2 – « INVENTORIER » : RECENSER LES MOYENS DU SI ............................................................................. 21 3.6 ETAPE 3 – « ANALYSER » : QUALIFIER LES PRINCIPAUX RISQUES DU SI................................................................. 23 3.6.1 Tâche 3.1 : Identifier les principaux risques liés au SI ...................................................................... 23 3.6.2 Tâche 3.2 : Préciser la stratégie de traitement des risques ............................................................. 26 3.7 ETAPE 4 – « DECIDER » : CHOISIR LES MESURES DE SECURITE ............................................................................ 28 3.7.1 Organisation des exigences et des règles ........................................................................................ 28 3.7.2 Tâche 4.1 - Fixer les exigences de sécurité applicables ................................................................... 29 3.7.3 Tâche 4.2 - Décliner les exigences de sécurité en règles .................................................................. 30 3.7.4 Avec quelles règles commencer ....................................................................................................... 31 4 LE PLAN D’ACTION SECURITE : COMMENT METTRE EN ŒUVRE LA PSSI ? ............................................... 32 4.1 ELABORER LE PLAN D’ACTION SECURITE ........................................................................................................ 33 4.1.1 Etape 1 : Identifier les personnes en charge de l’application de chaque règle ................................ 33 4.1.2 Etape 2 : Estimer l’effort nécessaire à la mise en œuvre de chaque règle ...................................... 34 4.1.3 Etape 3 : Fixer les objectifs de déploiement des règles ................................................................... 35 4.1.4 Etape 4 : faire valider la PSSI et le Plan d’Action SSI par la direction .............................................. 37 4.1.5 Comment prendre en compte les parties externalisées du SI dans le Plan d’Action SSI ? ............... 37 4.2 SUIVRE ET METTRE A JOUR LE PLAN D’ACTION SSI ........................................................................................... 38 5 FAIRE VIVRE LA PSSI ............................................................................................................................... 40 6 CONCLUSION ......................................................................................................................................... 42 ANNEXES ........................................................................................................................................................ 43 ANNEXE 1 - MODELE D’INVENTAIRE DES MOYENS DU SI ................................................................................................ 43 Locaux ........................................................................................................................................................... 43 ASIP Santé PGSSI-S – Guide PSSI pour les structures sans approche SSI formalisée 17/02/15 Classification : Public 3 / 66 Equipements d’infrastructure système et réseaux ....................................................................................... 43 Equipements utilisateurs .............................................................................................................................. 44 Organisations ............................................................................................................................................... 46 ANNEXE 1BIS - EXEMPLE D’INVENTAIRE DES MOYENS DU SI ............................................................................................ 47 Locaux ........................................................................................................................................................... 47 Equipements d’infrastructure système et réseaux ....................................................................................... 48 Equipements utilisateurs .............................................................................................................................. 51 Organisations ............................................................................................................................................... 53 ANNEXE 2 - METRIQUES D’ANALYSE DE RISQUES .......................................................................................................... 54 Échelle de niveaux de vraisemblance ........................................................................................................... 54 Échelle de niveaux de gravité ....................................................................................................................... 55 Échelle de niveau de risque........................................................................................................................... 56 ANNEXE 3 - SYNTHESE DES RISQUES GENERIQUES POUR UN ETABLISSEMENT DE SANTE ........................................................ 57 ANNEXE 4 – DESCRIPTION DES DOCUMENTS QUI CONDITIONNENT LE GUIDE PSSI ............................................................... 58 Cadre légal .................................................................................................................................................... 58 Guides, Règles et mesures de sécurité .......................................................................................................... 59 ANNEXE 5 – CORRESPONDANCE ENTRE THEMATIQUES PSSI ET ISO27002 ....................................................................... 61 ANNEXE 6 – GLOSSAIRE .......................................................................................................................................... 62 ANNEXE 7 – POUR EN SAVOIR PLUS ........................................................................................................................... 63 ANNEXE 8 – DOCUMENTS DE REFERENCE ................................................................................................................... 64 ANNEXE 9 – PREMIERES REGLES A METTRE EN ŒUVRE................................................................................................... 65 ASIP Santé PGSSI-S – Guide PSSI pour les structures sans approche SSI formalisée 17/02/15 Classification : Public 4 / 66 1 Préambule 1.1 A quoi sert ce guide ? Ce guide a été conçu pour aider les structures1 des secteurs sanitaire et médico-social qui ne disposent pas encore d’approche formalisée pour la Sécurité de leur Système d’Information (SSI) à élaborer une Politique de Sécurité des Systèmes d’Information (PSSI) rapidement applicable. Il propose une démarche qui permet :  d’élaborer une PSSI pragmatique en s’appuyant sur un canevas et un contenu préparés spécifiquement pour les structures des secteurs sanitaire et médico-social,  de la mettre en œuvre de manière progressive dans le temps, dans une optique d’amélioration continue de la sécurité. La PSSI qui résulte de la mise en application de ce guide répond également à l’exigence de documentation de la politique de sécurité énoncée dans le cadre des différents programmes ou plans nationaux (ex. programme Hôpital Numérique, certification des établissements de santé HAS…). 1.2 A qui s’adresse ce guide? 1.2.1 Quels lecteurs ? Ce guide est particulièrement destiné :  au responsable de la structure, afin de comprendre les enjeux de sécurité, d’identifier la personne qui va porter le projet, d’être en mesure de mieux arbitrer les ressources humaines et matérielles nécessaires pour assurer la sécurité du système d’information de la structure ;  aux personnes en charge de la définition, de la rédaction ou de la mise à jour de la PSSI de la structure ;  aux personnes qui participent aux réflexions et aux travaux sur la PSSI. Note : Ces rôles peuvent, bien entendu, être tenus par une seule et même personne. 1 Par convention, le terme structure est utilisé dans le document pour désigner une structure d’exercice collectif du secteur sanitaire ou médico-social quel que soit son type (ex. hôpital, clinique, centre de santé, maison de santé, EHPAD…) prenant en charge des patients. Les structures d’exercice individuel de type cabinet libéral ne sont pas concernées par ce guide.  Ce guide se concentre sur la sécurité des SI et des données dématérialisées qu’ils manipulent. Bien que certaines règles et mesures de sécurité proposées dans le canevas de PSSI puissent participer à la sécurisation des données sur support papier, ce sujet nécessite des dispositions spécifiques qui ne sont pas abordées dans ce guide. ASIP Santé PGSSI-S – Guide PSSI pour les structures sans approche SSI formalisée 17/02/15 Classification : Public 5 / 66 1.2.2 Quels types de structure ? Le présent guide est destiné aux structures qui prennent en compte la nécessité de commencer une démarche sécurité et qui doivent la déployer de manière progressive et réaliste. Il s’adresse également aux structures dont la PSSI est considérée comme obsolète, incomplète ou trop complexe à mettre en œuvre2. Le questionnaire suivant permet de déterminer rapidement si ce guide est adapté à la structure. Compte tenu de son périmètre, le guide est particulièrement adapté aux systèmes d’information « standard ». Si le SI de votre structure comprend des éléments dits «spécifiques»3, nous vous recommandons, une fois la PSSI de votre SI rédigée en suivant ce guide, de mettre rapidement en œuvre une démarche sécurité plus approfondie, afin de définir les règles relatives à ces éléments. Dans cette optique, le guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs sanitaire et médico-social - Tome 2 : Structure avec approche SSI formalisée [Réf. n°9]. 1.2.3 Les structures ayant externalisé tout ou partie de leur SI sont-elles concernées ? Une structure peut confier par contrat la gestion de tout ou partie de son SI à des tiers. L’externalisation totale est rare dans la mesure où la structure conserve généralement au moins des postes de travail, ne serait-ce que pour accéder au SI externalisé. Les prestataires retenus doivent présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité définies dans le contrat conclu avec la structure, responsable de traitement au sens de la loi n°78-17 du 6 janvier 1978 dite loi 2 Le fait qu’une PSSI soit trop complexe pour être mise en œuvre n’indique pas forcément qu’elle est à rejeter comme inadaptée à la structure. Elle peut être conservée pour référence et/ou uploads/Ingenierie_Lourd/ d-x27-information-de-sante-v0-3-fevrier-2015.pdf