Académique Documents
Professionnel Documents
Culture Documents
Jean-Marc Robert
Gnie logiciel et des TI
Plan de la prsentation
Introduction
Analyse de risque
Politique de scurit
De sa dfinition son application
Politique de scurit
Dfinir les objectifs de scurit en fonction des risques prsents. Une politique de scurit est un document qui tablit comment une organisation planifie de protger ses actifs et datteindre les objectifs quelle sest donns.
Ce document donne les grandes lignes des actions et des principes devant tre suivis.
Types de politique
Politique rglementaire (Regulatory)
Se basant sur la rglementation dune industrie.
Bancaire : Gramm-Leach_Bliley Act (GLBA), 2001 (USA) Sant : Health Information Portability & Accountability (HIPAA), 1996 (USA)
Politique-conseil (Advisory)
Dfinissant les comportements et activits permis aux employs au sein de lentreprise ainsi que les sanctions possibles.
Politique ou Politiques
Une politique globale Un ensemble de politiques indpendantes, mais cohrentes.
Chaque politique cible un sujet concis (une deux pages). Chaque politique est crite pour une audience cible. Chaque politique peut tre approuve indpendamment.
Politique : Sa naissance
La politique organisationnelle de scurit doit reflter les objectifs et les processus daffaires. Programme de scurit intgr (gouvernance)
Analyse de risque Politique de scurit
Organisation
Politique refltant bien lorganisation. Organisation agissant de faon cohrente.
Comportementales
10
Politique : Sa rvaluation
Un politique pour les politiques! Les politiques doivent tre revues priodiquement (six mois?).
Rvaluation Mise jour
11
Mise en uvre
Norme Note d'orientation Procdure
12
13
Doit tre chang tous les 60 jours Doit tre diffrent des 10 derniers mots de passe utiliss
14
15
16
Description
Objectifs Raison dtre Audience Politique Exceptions Actions disciplinaires
17
nonc
Introduction un ensemble de politiques.
Quest-ce qui a motiv la prsentation de ces politiques? Quelle est la ligne de pense qui a t suivie pour la dfinition de ces politiques? Comment ces politiques sintgrent-elles dans la culture de lorganisation?
Livrer un message clair au sujet de limportance de la scurit de linformation aux lecteurs de la politique.
18
Nomenclature
Catgorie
Domaine (ou sous-domaine) dapplication Scurit du personnel Ententes de confidentialit
Nom
Nom de lorganisation Nom du document
Version
Identificateur unique du document Numro de version Priode de validit
Approbation
Nom de la personne qui a approuv cette politique.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 19
Description Objectifs
Quels sont les buts de cette politique?
Quest-ce que lon cherche faire en dfinissant cette politique?
La confidentialit des donnes de lorganisation est une des pierres angulaires de notre programme de scurit de linformation. Afin datteindre ce but, XYZ inc. demandera la signature dune entente de confidentialit toutes les personnes autorises utiliser ses systmes dinformation. Cette entente doit respecter les lois et les rglementations en vigueur ainsi que la convention collective. Quoi: Demander la signature dune entente de confidentialit de la part de tous les usagers autoriss.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 20
Description Audience
qui sadresse cette politique? La politique de confidentialit doit tre suivie par tous les employs de XYZ inc. ayant lautorisation daccder aux informations confidentielles de XYZ inc. Qui: Tous les employs autoriss accder aux informations confidentielles.
22
Description Politique
Description de la politique dtails de la mise en uvre. - Les employs doivent signer une entente de confidentialit avant quils soient autoriss accder aux informations confidentielles. - Les ententes sont revues avec les employs lorsquil y a un changement dans leur statut demploi ou leur contrat. - Les ententes sont conserves par le dpartement des ressources humaines.
23
Description Exceptions
Certaines situations demandent parfois un traitement particulier.
Sil y a trop dexceptions, la rgle initiale est
Inapproprie Perue ngativement pas importante, favoritisme Difficile appliquer et auditer
Le CISO peut dcider quun tiers ne soit pas oblig de signer une entente de confidentialit si le contrat avec celui-ci inclut dj une telle clause.
24
Le non-respect de cette politique peut entraner des mesures disciplinaires qui pouvant aller jusquau congdiement de lemploy, lannulation du contrat liant XYZ inc. et un tiers. De plus, les individus peuvent tre poursuivis au civil ou au criminel.
25
26
Cette approche est fidle la norme ISO 27002. Chaque catgorie devient donc une famille de politiques.
27
Cette approche est fidle la norme PCI (Payment Card Industry) DSS (Data Security Standard). Chaque catgorie devient donc une famille de politiques.
28
Usagers
Authentification Accs distance Utilisation de lInternet, du courriel et des messageries instantanes Tlchargement de logiciel ou tout autre document
Administrateurs rseau
Architecture rseau Accs rseau Audit
29
Politique pour la protection contre les virus Politique pour laccs distance Politique pour le contrle des changements Politique sur la notification des incidents et la rponse ses incidents Politique pour les sauvegardes informatiques et les rcuprations de donnes
30
31
32
33
34
35
36
37
38
Les accs sont accords selon des objectifs daffaires prcis. Les accs sont accords de faon minimale afin datteindre les objectifs daffaires.
39
40
Installation de logiciels
Objectif Rduire les risques qui sont associs lutilisation de logiciels illicites.
Ils peuvent contenir des logiciels malicieux (tels que des Chevaux de Troie) permettant des personnes malveillantes daccder un ordinateur. Ils peuvent contrevenir aux droits dauteurs, exposant ainsi lentreprise des poursuites judiciaires.
Raison dtre Dfinir clairement la liste des logiciels pouvant tre utilises par les employs de XYZ inc. Audience Tout employ utilisant un ordinateur de XYZ inc.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 41
Exception Aucune.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 42
Rfrences
Sari Stern Greene, Security Policies and Procedures: Principles and Practices, Prentice-Hall, 2006. Scott Barman, Writing Information Security Policies, New Riders, 2002. Sorcha Diver, Information Security Policy A Development Guide for Large and Small Companies, SANS Institute, 2007 (http://tiny.cc/U85XB).
43