Política de segurança do sistema de informação

A política de segurança de sistemas de informação (PSSI) é um plano de ação definido para manter um determinado nível de segurança. Reflete a visão estratégica da gestão da organização (SME, SMI, indústria, administração, Estado, Uniões de Estados, etc.) em termos de segurança dos sistemas de informação (ISS).

Dependência e dissociação

A política de segurança dos sistemas de informação está intrinsecamente ligada à segurança da informação .

Além disso, uma vez que um sistema de informação não se limita ao sistema de computador , uma política de segurança de sistemas de informação não se limita à segurança do computador .

Descrição

O PSSI é o principal documento de referência do ISS da organização. É um elemento fundador que define os objetivos a atingir e os meios atribuídos para os atingir.

O processo de implementação desta política baseia-se na análise dos riscos à segurança do sistema de informação.

Após validação pelos diversos atores da segurança da informação da organização, o PSSI deve ser distribuído a todos os atores do sistema de informação (usuários, operadores, subcontratados, prestadores de serviços, etc.). Constitui, portanto, uma verdadeira ferramenta de comunicação sobre a organização e responsabilidades do ISS, os riscos do ISS e os meios disponíveis para os proteger.

A segurança do sistema de informações é tradicionalmente baseada na implementação de infraestrutura de chave pública (PKI).

Na opinião de especialistas , a implementação de uma infraestrutura de chave pública em um mundo aberto não é realmente eficaz sem certos cuidados. Em grandes organizações em rede, é necessário integrar a análise de segurança de dados a uma reflexão mais ampla sobre a estrutura legal e a implementação de registros de metadados .

Por exemplo, para tudo o que se relaciona com aplicações de investigação industrial (ver Dicionário de metadados do repositório de publicações do CNRS ), é necessária uma reflexão aprofundada sobre a utilização do certificado eletrónico , em relação aos elementos e refinamentos utilizados.

Desenvolvimento de uma política de segurança do sistema de informação

Na França, o DCSSI produziu entre 2002 e 2004 um guia para a política de segurança do sistema de informação. Consiste em quatro seções:

1. Introdução
2. Metodologia
3. Princípios de segurança
4. Referências SSI

Este documento é uma atualização de documentos datados de 1994 .

Introdução

Ver detalhes: Seção 1 - Introdução

O guia define os conceitos, além do PSSI:

• princípios de segurança,
• regras de segurança.

Ele define o escopo e os atores aos quais o guia se destina:

• Funcionários de segurança de sistemas de informação (FSSI) nas administrações,
• Responsável pela segurança dos sistemas de informação (RSSI) nas empresas.

Toma nota da nova natureza das ameaças  : globais e transfronteiriças devido à interconexão das redes da Internet .

Ele define três tipos de patrimônio a serem protegidos:

• Patrimônio material,
• Patrimônio imaterial
• Informações relativas a pessoas, naturais e jurídicas ( dados pessoais da Lei de Proteção de Dados).

Ele define o lugar do PSSI no repositório, em particular:

• as ligações entre o PSSI e as diretrizes da OCDE ,
• as ligações entre o PSSI e os critérios comuns .

Indica as bases de legitimidade das regras de um PSSI:

• Leis, regulamentos, normas e recomendações de organismos internacionais, nacionais ou profissionais.

As regras também encontram sua justificativa nos componentes da cultura da organização (tradições, regulamentos internos).

• Regras de ética  :
  • Princípios internacionais,
  • Códigos de ética por setores profissionais,
  • Códigos de ética para profissões de tecnologia da informação .

• Princípios de proteção dos interesses vitais do Estado  :
  • A proteção de elementos de defesa não classificados,
  • Informações relacionadas aos segredos de defesa  :
    • Proteção de sigilo e informações relativas à defesa nacional e segurança do Estado ( IGI 1300 )
    • A segurança dos sistemas de informação que estão sujeitos a uma classificação de defesa para eles próprios ou para a informação processada ( IGI 900 ),
    • Proteção de sigilo entre a França e os estados estrangeiros (II 50),
    • A proteção do sigilo para a proteção de mercados e outros contratos (II 2000).

• Princípios de salvaguarda dos interesses da organização, em particular os requisitos vis-à-vis:
  • provedores,
  • provedores de serviço,
  • subcontratação,
  • de outras organizações.

Metodologia

Ver detalhes: Seção 2 - Metodologia

Princípios de segurança

Ver detalhes: Seção 3 - Princípios de segurança

A Seção 3 discute as diferentes áreas de segurança geralmente cobertas por um PSSI:

Princípios organizacionais

• Política de segurança
• Organização de segurança
• Gestão de risco ISS
• Segurança e ciclo de vida do software
• Garantia e certificação

Princípios de implementação

• Aspectos humanos
• Planejamento de continuidade de negócios
• Gestão de incidentes
• Conscientização e treinamento
• Operação
• Aspectos físicos e meio ambiente

Princípios técnicos

• Identificação / autenticação
• Controle de acesso lógico aos ativos
• Exploração madeireira
• Infraestruturas de gerenciamento de chaves criptográficas
• Sinais comprometedores

Referências SSI

Ver detalhes: Seção 4 - Referências SSI

Critérios comuns para avaliação da segurança da tecnologia da informação

As diretrizes da OCDE

Códigos de ética para profissões de tecnologia da informação

Ataques a pessoas

Danos à propriedade

Ataques aos interesses fundamentais da nação , terrorismo e danos à confiança pública

Violações de propriedade intelectual

As disposições relativas à criptologia

As disposições relativas à assinatura eletrônica

Variações

Mude dos princípios globais da ISS para políticas especializadas

Uma vez que os riscos mais sérios tenham sido identificados, podemos nos perguntar a questão de dividir o PSSI global em políticas de segurança técnica por negócio , atividade ou sistema. O PSSI geral também servirá como base para a consistência entre essas políticas e entre todos os estudos de segurança.

Assim, podemos encontrar diferentes tipos de políticas de segurança relacionadas à segurança da informação ou dados  :

• Política de segurança de TI
  • Política de segurança de rede de TI
  • Política de segurança do sistema

Apêndices

Veja também

• Segurança da informação
• Segurança de sistemas de informação
• Suíte ISO / IEC 27000
• Política de segurança
• Gerente de segurança de sistemas de informação
• Vazamento de informação
• Política de segurança da informação

Bibliografia

• (fr) Tecnologia OCTO, obra coletiva, Identity Management: A Policy for the Information System , Octo Technology, 2007, ( ISBN  2952589518 ) .
• (fr) Vuibert Sciences , Guinier D. - Capítulo: Política de segurança, p.  1486-1498 , na enciclopédia de sistemas de computação e informação, 2088 páginas , Vuibert Sciences , 2006, ( ISBN  9782711748464 ) .

links externos

• ANSSI: Guia para o desenvolvimento de políticas de segurança de sistemas de informação
• Guia de conscientização MEDEF para segurança de TI e proteção de ativos de informação
• Publicação sobre "a segurança dos sistemas de informação em estabelecimentos de saúde" editada pelo GMSIH