Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

VERSION 1.1 Service Central de la Sécurité des Systèmes d'Information DISI/ SCS

VERSION 1.1 Service Central de la Sécurité des Systèmes d'Information DISI/ SCSSI/DIS GS - 001 Guide pour l'élaboration d'une Politique de Sécurité Interne (PSI) P S I à l'usage du responsable de la sécurité du système d'information 15 septembre 1994 P.S.I. AVERTISSEMENT AU LECTEUR Avertissement au lecteur 1°) Le présent guide est un support de réflexion. Élaboré par le SCSSI pour mettre son expérience au profit des différents départements ministériels, des administrations de l'État et des grands organismes publics, ce guide constitue une grille de travail. Appliqué aux ministères, il est destiné aux fonctionnaires de sécurité des systèmes d'information (FSSI) afin de leur permettre de mettre en place une politique de sécurité, conformément à l'IGI 900. Appliqué aux autres organismes, il offre une réponse possible pour l'application des actions préconisées par la Recommandation 901, relative aux informations sensibles ne relevant pas du secret de défense. 2°) Le présent guide n'est pas un règlement : il n'a pas de portée obligatoire. Les références contenues dans ce guide ont uniquement pour objet de servir d'illustration et de souligner le sens qui peut être donné aux principes et aux règles de sécurité choisies par un organisme. Tout particulièrement pour le domaine juridique, le lecteur est averti qu'il doit, dans tous les cas, vérifier la validité et la portée des textes législatifs auxquels il se réfère, dans le cadre des activités propres à son organisme. © SCSSI, 1994 P.S.I. AVERTISSEMENT AU LECTEUR Page laissée blanche P.S.I. SOMMAIRE i Sommaire Introduction générale et présentation du guide Introduction générale Présentation du guide Partie 1 Les fondements de la politique de sécurité interne Présentation de la première partie Chapitre 1 La politique de sécurité interne 1.1. Représentation d'un système d'information et définitions 1.2. Lien entre la politique de sécurité interne et les Critères d'évaluation de la sécurité des systèmes informatiques (ITSEC) 1.3. Lien entre la politique de sécurité interne et les Lignes directrices régissant la sécurité des systèmes d'information (document de l'OCDE) 1.4. Finalités de la politique de sécurité interne 1.5. Champ d'application de la politique de sécurité interne 1.6. Les recommandations pour la mise en œuvre de la politique de sécurité interne Chapitre 2 Les bases de légitimité pour une politique de sécurité interne 2.1. Les bases de légitimité reposant sur la déontologie 2.1.1. Les grands principes d'éthique 2.1.2. Les codes d'éthique des métiers des technologies de l'information 2.2. Les bases de légitimité reposant sur la lutte contre les accidents 2.3. Les bases de légitimité reposant sur la préservation des intérêts vitaux de l'État 2.3.1. Les informations relevant du secret de défense 2.3.1.1. La protection du secret et des informations concernant la défense nationale et la sûreté de l'État 2.3.1.2. La sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées 2.3.1.3. La protection du secret dans les rapports entre la France et les états étrangers 2.3.1.4. La protection du secret et des informations pour les marchés et autres contrats 2.3.1.5. Les instructions techniques particulières pour la lutte contre les signaux parasites compromettants P.S.I. SOMMAIRE ii 2.3.2. Les informations ne relevant pas du secret de défense 2.4. Les bases de légitimité reposant sur l'arsenal juridique pour la lutte contre la malveillance 2.5. Les bases de légitimité reposant sur les contrôles technologiques 2.5.1. Le contrôle étatique dans le domaine de la cryptologie 2.5.2. Le contrôle consumériste 2.5.2.1. La normalisation 2.5.2.2. La certification 2.6. Les bases de légitimité reposant sur la préservation des intérêts particuliers de l'organisme 2.6.1. La mission ou le métier de l'organisme 2.6.2. La culture de l'organisme 2.6.3. Les orientations stratégiques et la structure de l'organisme 2.6.4. Les relations de l'organisme avec son environnement : les contrats passés avec des tiers 2.6.5. Les ressources de l'organisme Partie 2 Les principes et les règles pour une politique de sécurité interne Présentation de la deuxième partie Chapitre 1 Principe général pour une politique de sécurité interne Chapitre 2 Principes de sécurité liés à l'information 2.1. Principe de protection juridique des informations 2.2. Principe de typologie des informations nécessitant une protection 2.3. Principe de continuité dans la protection des informations Chapitre 3 Principes de sécurité liés aux biens physiques 3.1. Principe de protection des biens physiques 3.2. Principe de gestion des biens physiques Chapitre 4 Principes liés à l'organisation de la sécurité 4.1. Principe d'une structure de la sécurité 4.2. Principe de continuité du contrôle de la sécurité Chapitre 5 Principes de sécurité liés au personnel 5.1. Principe de sélection du personnel 5.2. Principe de contrôle de l'affectation du personnel aux postes de travail sensibles P.S.I. SOMMAIRE iii 5.3. Principe de sensibilisation pour la sécurité des systèmes d'information 5.4. Principe de responsabilité du personnel Chapitre 6 Principes de sécurité liés au cycle de vie du système d'information 6.1. Principe de spécification pour le développement du système d'information sécurisé 6.2. Principe d'autorisation pour l'utilisation du système d'information 6.3. Principe d'exploitation sécurisée du système d'information 6.4. Principe de sécurité pour les communications 6.5. Principe de sécurité pour la maintenance du système d'information 6.6. Principe de mise en place d'une documentation de sécurité 6.7. Principe de limitation des sinistres touchant le système d'information 6.8. Principe d'application des ITSEC pour une évaluation de la sécurité du système d'information 6.9. Principe d'anticipation sur l'évolution de la sécurité du système d'information Annexes Annexe 1 Notes complémentaires Annexe 2 Les critères d'évaluation de la sécurité des systèmes informatiques (ITSEC) Annexe 3 Lignes directrices régissant la sécurité des systèmes d'information (OCDE) Annexe 4 Codes d'éthique des métiers des technologies de l'information Annexe 5 Textes législatifs et réglementaires relatifs aux informations relevant du secret de défense Annexe 6 Textes législatifs et réglementaires relatifs aux informations ne relevant pas du secret de défense Annexe 7 Textes législatifs et recommandations relatifs à la lutte contre la malveillance Annexe 8 Les guides méthodologiques développés par le Service Central de la Sécurité des Systèmes d'Information Annexe 9 Liste des règles contenues dans le guide P.S.I. SOMMAIRE iv Page laissée blanche P.S.I. INTRODUCTION GÉNÉRALE ET PRÉSENTATION DU GUIDE GS-001 Juillet 1994 1 Introduction générale et présentation du guide P.S.I. INTRODUCTION GÉNÉRALE ET PRÉSENTATION DU GUIDE GS-001 Juillet 1994 2 POLITIQUE DE SÉCURITÉ INTERNE Ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les biens, en particulier les informations sensibles, au sein de l'organisation. Définition du Catalogue des critères d'évaluation de la sécurité des systèmes d'informatique, ITSEC, Commission européenne, juin 1991, chapitre 2, paragraphe 2.10. Remarque importante : Traduction du terme anglo-saxon "Corporate security policy", la Politique de sécurité interne (PSI) intéresse la sécurité relative à l'information et au système d'information. Cette politique doit être appliquée conjointement et en accord avec la sécurité générale de l'organisme couvrant la sécurité des personnes (sécurité du travail, sécurité incendie, assurances, etc.) ainsi que, en général, les consignes existantes pour les accès physiques aux bâtiments. P.S.I. INTRODUCTION GÉNÉRALE ET PRÉSENTATION DU GUIDE GS-001 Juillet 1994 3 Introduction générale Au cours de ces vingt dernières années, le développement rapide des technologies de l'information a entraîné une dépendance de plus en plus grande des organismes envers leur système d'information, devenu une composante stratégique au même titre que la recherche ou l'innovation. Par ailleurs, l'utilisation croissante des systèmes d'information pour des applications de plus en plus diversifiées a fait prendre conscience à la communauté des utilisateurs qu'il ne suffisait pas de mettre en œuvre les moyens de communication les plus performants, mais que ces derniers devaient être fiables en terme de disponibilité, d'intégrité et de confidentialité. La sécurité du système d'information est devenue un facteur essentiel du bon fonctionnement de l'organisme. Mais, le fait nouveau se situe également dans la mutation des qualifications requises pour assumer la fonction de responsable de la sécurité par rapport à une formation initiale technique, alors que la pluridisciplinarité de ce nouveau métier rend indispensable l'adoption d'une approche plus systémique. En effet, une parfaite intégration de la composante sécurité dans la gestion d'un organisme impose la prise en compte d'éléments aussi divers que les particularités de sa culture, les contraintes liées à sa mission ou à son métier, les orientations stratégiques qui représentent le devenir souhaité et, d'une façon générale, l'ensemble des règles touchant au personnel, à l'organisation et aux méthodes et techniques utilisées. La pluridisciplinarité du domaine de la sécurité ouvre la voie à un véritable exercice de prospective au bénéfice de l'organisme tout entier : il en résulte une réflexion qui est l'essence même de la politique de sécurité interne. Présentation du guide La première partie, intitulée "Les fondements de la politique de sécurité interne", situe la place d'une politique de sécurité interne dans l'organisme et précise les bases de légitimité sur lesquelles elle s'appuie. La deuxième partie, intitulée "Principes et règles pour une politique de sécurité interne", expose les grands principes de sécurité qui peuvent être retenus ainsi que les règles qui en découlent. Toutefois, ce guide n'est pas le document final, immédiatement appropriable par un responsable de la sécurité : il propose seulement les bases de légitimité essentielles ainsi qu'un corpus de principes et de règles dont uploads/Politique/ principe-liee-a-lorganisation-de-la-securite.pdf