A política de segurança de sistemas de informação (PSSI) é um plano de ação definido para manter um determinado nível de segurança. Reflete a visão estratégica da gestão da organização (SME, SMI, indústria, administração, Estado, Uniões de Estados, etc.) em termos de segurança dos sistemas de informação (ISS).
A política de segurança dos sistemas de informação está intrinsecamente ligada à segurança da informação .
Além disso, uma vez que um sistema de informação não se limita ao sistema de computador , uma política de segurança de sistemas de informação não se limita à segurança do computador .
O PSSI é o principal documento de referência do ISS da organização. É um elemento fundador que define os objetivos a atingir e os meios atribuídos para os atingir.
O processo de implementação desta política baseia-se na análise dos riscos à segurança do sistema de informação.
Após validação pelos diversos atores da segurança da informação da organização, o PSSI deve ser distribuído a todos os atores do sistema de informação (usuários, operadores, subcontratados, prestadores de serviços, etc.). Constitui, portanto, uma verdadeira ferramenta de comunicação sobre a organização e responsabilidades do ISS, os riscos do ISS e os meios disponíveis para os proteger.
A segurança do sistema de informações é tradicionalmente baseada na implementação de infraestrutura de chave pública (PKI).
Na opinião de especialistas , a implementação de uma infraestrutura de chave pública em um mundo aberto não é realmente eficaz sem certos cuidados. Em grandes organizações em rede, é necessário integrar a análise de segurança de dados a uma reflexão mais ampla sobre a estrutura legal e a implementação de registros de metadados .
Por exemplo, para tudo o que se relaciona com aplicações de investigação industrial (ver Dicionário de metadados do repositório de publicações do CNRS ), é necessária uma reflexão aprofundada sobre a utilização do certificado eletrónico , em relação aos elementos e refinamentos utilizados.
Na França, o DCSSI produziu entre 2002 e 2004 um guia para a política de segurança do sistema de informação. Consiste em quatro seções:
Este documento é uma atualização de documentos datados de 1994 .
Ver detalhes: Seção 1 - Introdução
O guia define os conceitos, além do PSSI:
Ele define o escopo e os atores aos quais o guia se destina:
Toma nota da nova natureza das ameaças : globais e transfronteiriças devido à interconexão das redes da Internet .
Ele define três tipos de patrimônio a serem protegidos:
Ele define o lugar do PSSI no repositório, em particular:
Indica as bases de legitimidade das regras de um PSSI:
Ver detalhes: Seção 2 - Metodologia
Ver detalhes: Seção 3 - Princípios de segurança
A Seção 3 discute as diferentes áreas de segurança geralmente cobertas por um PSSI:
Princípios organizacionaisVer detalhes: Seção 4 - Referências SSI
Critérios comuns para avaliação da segurança da tecnologia da informação
As diretrizes da OCDE
Códigos de ética para profissões de tecnologia da informação
Ataques a pessoas
Danos à propriedade
Ataques aos interesses fundamentais da nação , terrorismo e danos à confiança pública
Violações de propriedade intelectual
As disposições relativas à criptologia
As disposições relativas à assinatura eletrônica
Uma vez que os riscos mais sérios tenham sido identificados, podemos nos perguntar a questão de dividir o PSSI global em políticas de segurança técnica por negócio , atividade ou sistema. O PSSI geral também servirá como base para a consistência entre essas políticas e entre todos os estudos de segurança.
Assim, podemos encontrar diferentes tipos de políticas de segurança relacionadas à segurança da informação ou dados :