1. Administration et organisation de la sécurité 4








télécharger 71.38 Kb.
titre1. Administration et organisation de la sécurité 4
date de publication10.07.2017
taille71.38 Kb.
typeDocumentos
ar.21-bal.com > documents > Documentos







PROCEDURES D’EXPLOITATION DE SECURITE

[NOM]


Document de travail du [DATE]

Historique des modifications

Date

Objet de la modification

Statut










Table des matières

1. Administration et organisation de la sécurité 4

1.1.Introduction 4

1.2.Documents de référence 4

1.3.Description du système 4

1.4.Historique et vue d’ensemble 4

1.5.Mode d’exploitation 5

1.6.Homologation 5

1.7.Responsabilités 5

1.7.1.Autorité de sécurité 5

1.7.2.RSSI 5

1.7.3.Administrateurs 5

1.7.4.Utilisateurs 5

1.8.Diffusion des PES/SecOPs 5

1.9.Gestion des utilisateurs et de leurs droits 5

1.10.Signalement des incidents de sécurité 5

1.11.Procédures de contrôle applicables aux supports amovibles ou matériels privés 6

1.12.Sécurité des télécommunications 6

2.Sécurité physique 6

2.1.Identification des zones sensibles 6

2.2.Emplacements des équipements 6

2.3.Gestion des clés et des combinaisons 6

2.4.Contrôle d’accès 6

2.5.Contrôle des équipements 6

2.6.Gestion des alarmes et de la sécurité 6

2.7.Sécurité physique en dehors des heures de travail 6

3.Sécurité des personnes 6

3.1.Liste du personnel 6

3.2.Habilitations 6

3.3.Formation à la sécurité 7

3.4.Liste des accès autorisés 7

3.5.Personnel de maintenance et d’entretien 7

4.Sécurité des documents 7

4.1.Identification des documents 7

4.2.Inspections d’enregistrements et responsabilités 7

4.3.Contrôle, stockage et marquage des documents 7

4.4.Création, diffusion et réception de documents 7

4.5.Contrôle des enregistrements 7

4.6.Gestion des supports informatiques 7

4.7.Déclassification et destruction 7

5.Sécurité du SI 8

5.1.Environnement système 8

5.2.Environnement matériel 8

5.3.Arrêt / démarrage des machines 8

5.4.Connexion et déconnexion de matériels 8

5.5.Contrôles d’intégrité matérielle 8

5.6.Maintenance du système 8

6.Sécurité du logiciel 8

6.1.Contrôle d’accès au système informatique 8

6.2.Gestion des comptes utilisateurs 8

6.3.Contrôle lors de l’installation de logiciels 8

6.4.Masterisation logicielle et copies de sauvegarde 8

6.5.Gestion des traces d’audit 9

6.6.Archivage des journaux d’audit 9

6.7.Protection contre les virus 9

6.8.Zonage TEMPEST 9

6.9.Gestion des équipements chiffre et des clés associées 9

6.10.Gestion des filtres de sécurité 9

7.Plan de secours 9

7.1.Sauvegarde systèmes et sauvegarde des données utilisateurs 9

7.2.Stockage et accès aux supports de sauvegarde 9

7.3.Reprise sur incident matériel 9

7.4.Gestion des pertes d’alimentation électrique 9

7.5.Climatisation 10

7.6.Gestion des pertes de moyen de télécommunication 10

7.7.Protection incendie 10

7.8.Mesures d’urgence 10

8.Gestion de configuration 10

8.1.Responsabilités pour la gestion de configuration 10

8.2.Configuration de référence 10

8.3.Gestion des évolutions matérielles & logicielles 10

9.Annexes 10

A.Missions de responsabilités du RSSI 10

B.Misions et responsabilités des administrateurs du SI 10

C.Liste des personnels 10



  1. Administration et organisation de la sécurité

    1. Introduction


Cette partie décrit l’objectif ainsi que le champ d’application de la PES
    1. Documents de référence


Cette partie consiste à identifier le référentiel documentaire de l'organisme (SI, SSI, aspects déontologiques et contractuels) qui servira de base à la suite de la démarche

  • Les aspects légaux et réglementaires (RGS, PSSIE, Loi 78-17 du 06/01/1978 modifiée…)

  • Obligations contractuelles auxquelles l’organisme s’est engagé vis à vis de ses clients ou partenaires spécifiques

  • Obligations contractuelles des prestataires ou partenaires

  • Le référentiel de sécurité interne (schéma directeur informatique et SSI, analyses de risques, résultats d’audits…)

  • Le référentiel du ou des systèmes d’information (directive d’exploitation, concept d’emploi…)
    1. Description du système


Ce paragraphe a pour objectif d’identifier globalement le système, son but, son fonctionnement et le situer dans son environnement pour déterminer précisément le périmètre d’action de la PES. Avant d’analyser les procédures de sécurité à mettre en œuvre, il est utile de définir précisément le système lui-même et d’en observer les frontières et ses limites.

Cette partie vise à fixer l’étendue de la PES et les entités sur lesquelles elle peut avoir une incidence. Les mesures écrites dans ce document doivent se limiter à un périmètre d’actions raisonnables (ni trop grand, ni trop petit).
    1. Historique et vue d’ensemble


Pour la présentation concrète du SI, il faut avoir une vue générale du fonctionnement et chercher à découper le système en domaines fonctionnels (sous-ensemble) avec les interconnexions (flux de données) entre chaque domaine. Il est conseillé de faire une représentation graphique de l’architecture fonctionnelle du système. Le détail des domaines sera donné dans la partie suivante (description du système cible).
    1. Mode d’exploitation


Le mode d’exploitation présente le contexte d’utilisation du système ainsi qu’une vue concrète de l’emploi du SI.

Le mode d'exploitation permet d’indiquer comment le système traite, transmet ou conserve des informations de sensibilités différentes pour des utilisateurs de catégories différentes. Il détermine à quel niveau les intervenants sur le système seront habilités et quel est leur besoin d’en connaître / modifier et d’en disposer.
    1. Homologation


Ce paragraphe indique à quel niveau le SI est homologué ainsi que les éventuelles conditions d’emploi.
    1. Responsabilités

      1. Autorité de sécurité


Cette partie précise le rôle et les responsabilités de l’autorité de sécurité.
      1. RSSI


Cette partie précise le rôle et les responsabilités de RSSI.
      1. Administrateurs


Cette partie précise le rôle et les responsabilités de l’administrateur.
      1. Utilisateurs


Cette partie précise le rôle et les responsabilités de l’utilisateur.
    1. Diffusion des PES/SecOPs


Cette partie précise comment l’ensemble des PES génériques et locales sont rédigées, mises à jour et diffusées au personnel exploitant.

La mise en réseau de la PES, si son niveau de classification le permet, doit constituer un objectif, permettant aux utilisateurs d’accéder en permanence aux règles d’exploitation de sécurité.
    1. Gestion des utilisateurs et de leurs droits


Ce paragraphe stipule la procédure de gestion des droits des utilisateurs (identifiant, accès système…)
    1. Signalement des incidents de sécurité


Cette partie décrit le comportement d’exception permettant de traiter ces incidents de sécurité et les opérations à réaliser (acte réflexe, alerte, collecte d’information, expertise,…).
    1. Procédures de contrôle applicables aux supports amovibles ou matériels privés


Cette partie précise les règles d’utilisation des supports et matériels personnels.
    1. Sécurité des télécommunications


Cette partie décrit les mesures de sécurité liées aux télécommunications notamment en mentionnant les règles à respecter lors de l’usage de la messagerie électronique.
  1. Sécurité physique

    1. Identification des zones sensibles


Ce paragraphe définit les zones sensibles et les périmètres sensibles (espaces délimités par des « obstacles » pour l’accès au système, murs, portes, bureaux, …).
    1. Emplacements des équipements


Ce paraphe précise l’emplacement des équipements constituant le SI.
    1. Gestion des clés et des combinaisons


Ce paragraphe décrit les procédures de gestions des clés et des combinaisons.
    1. Contrôle d’accès


    Ce paragraphe définit les contrôles physiques des accès à chaque périmètre (seul le personnel habilité doit avoir accès) et les modalités d’accès aux personnes non habilitées mais devant se rendre sur les lieux (lieu de livraison publique par exemple).
    1. Contrôle des équipements


Ce paragraphe précise des mesures particulières de contrôle d’équipements (intégrité)
    1. Gestion des alarmes et de la sécurité


Ce paragraphe décrit les procédures de gestion des alarmes et de la sécurité
    1. Sécurité physique en dehors des heures de travail


Ce paragraphe précise les mesures de sécurité physique en dehors des heures de travail.
  1. Sécurité des personnes

    1. Liste du personnel


La liste des différents responsables intervenants sur système devra être renseignée en annexe C en précisant le niveau (administrateur, utilisateur…).
    1. Habilitations


Ce paragraphe décrit les besoins d’habilitation des différents personnels (utilisateurs, administrateurs).
    1. Formation à la sécurité


Ce paragraphe précise les formations nécessaires pour :

  • Le personnel impliqué dans la mise en œuvre du système : une formation adaptée à la réalisation de leurs tâches et fonctions sur le système.

  • L’administrateur système / de sécurité : une formation spécifique sur la sécurité informatique et l’administration sécurisée d’un système d’exploitation.

Il définit également le contenu et la fréquence des sensibilisations éventuelles.
    1. Liste des accès autorisés


Ce paragraphe décrit les restrictions d’accès (documents, locaux).
    1. Personnel de maintenance et d’entretien


Ce paragraphe décrit les procédures de gestion des personnels de maintenance et d’entretien.
  1. Sécurité des documents

    1. Identification des documents


Ce paragraphe décrit les différents documents (technique ou non), en spécifiant les mesures de protection spécifiques.
    1. Inspections d’enregistrements et responsabilités


Ce paragraphe précise les procédures d’inspections des enregistrements et les responsabilités.
    1. Contrôle, stockage et marquage des documents


Ce paragraphe précise les mesures à mettre en œuvre pour le contrôle, le stockage et le marquage des documents.
    1. Création, diffusion et réception de documents


Ce paragraphe indique les procédures de création, diffusion et réception de documents.
    1. Contrôle des enregistrements


Ce paragraphe décrit les procédures de contrôle des enregistrements.
    1. Gestion des supports informatiques


Ce paragraphe décrit les procédures de gestion des supports informatiques (de la mise en place au retrait).
    1. Déclassification et destruction


Ce paragraphe décrit les procédures de déclassification et de destruction des documents (papier, support amovible)
  1. Sécurité du SI

    1. Environnement système


Cette partie décrit l’environnement du système.
    1. Environnement matériel


    Cette partie décrit les mesures de protection contre la perte, l’endommagement, le vol, la compromission des biens du système (protection des documents classifiés, des supports amovibles, …). On évoque l’emplacement, le stockage, la prise en compte, la manipulation …
    1. Arrêt / démarrage des machines


Cette partie précise la procédure d’arrêt et de démarrage des postes.
    1. Connexion et déconnexion de matériels


    Cette partie décrit les mesures de protection des services généraux. Protéger le matériel contre des coupures de courant et autres perturbations dues à une défaillance des services généraux (alimentation, énergie, climatisation).

    Elle définit les matériels autorisés ainsi que les restrictions.
    1. Contrôles d’intégrité matérielle


Ce paragraphe décrit les procédures de contrôle d’équipements (intégrité)
    1. Maintenance du système


Cette partie définit les différents type de maintenance des matériels peut être de deux types : préventive ou curative et décrit les procédures dans les différents cas de réalisation de la maintenance : en interne ou en externe, par du personnel de l’organisme ou extérieur. Les périodicités et les méthodes à appliquer pour réaliser les opérations de maintenance préventive doivent être spécifiées par avance.
  1. Sécurité du logiciel

    1. Contrôle d’accès au système informatique


Ce paragraphe décrit les procédures de contrôle d’accès au SI.
    1. Gestion des comptes utilisateurs


Ce paragraphe décrit les procédures de gestion des comptes utilisateurs.
    1. Contrôle lors de l’installation de logiciels


Ce paragraphe décrit les procédures de contrôle de l’intégrité logiciel du système, de leurs paramètres de configuration par rapport à une version de référence.
    1. Masterisation logicielle et copies de sauvegarde


Ce paragraphe décrit les procédures de masterisation et de sauvegarde logicielle.
    1. Gestion des traces d’audit


Ce paragraphe décrit les procédures permettant de surveiller l’utilisation des moyens de traitement de l’information se déclinent selon :

  • un contrôle des accès autorisés,

  • la gestion des alarmes de sécurité (antivirus) ou les défaillances (pannes),

  • un contrôle des modifications ou de tentatives de modification des paramètres ou mesures de sécurité.
    1. Archivage des journaux d’audit


Ce paragraphe précise les procédures de sauvegarde des fichiers permettant de retracer l’historique des faits (journaux).
    1. Protection contre les virus


Ce paragraphe précise les procédures de mise en place les mesures de protection contre les codes malveillants (anti-virus, sas, machine blanche).
    1. Zonage TEMPEST


Ce paragraphe précise les zones de protection à respecter : la zone de couplage et la zone de sécurité.
    1. Gestion des équipements chiffre et des clés associées


Ce paragraphe décrit les procédures spécifiques de gestion des équipements chiffre et des clés associées.
    1. Gestion des filtres de sécurité


Ce paragraphe spécifie la méthode de cloisonnement et précise les politiques de gestion.
  1. Plan de secours

    1. Sauvegarde systèmes et sauvegarde des données utilisateurs


Ce paragraphe décrit les responsabilités et la périodicité des sauvegardes systèmes et utilisateurs.
    1. Stockage et accès aux supports de sauvegarde


Ce paragraphe décrit le stockage et accès des sauvegardes systèmes et utilisateurs
    1. Reprise sur incident matériel


Ce paragraphe décrit les procédures de reprise après incident.
    1. Gestion des pertes d’alimentation électrique


Ce paragraphe décrit les mesures de protection des matériels contre des coupures de courant et autres perturbations dues à une défaillance des services généraux (alimentation, énergie)
    1. Climatisation


Ce paragraphe décrit les mesures de protection des matériels contre des perturbations dues à une défaillance de climatisation)
    1. Gestion des pertes de moyen de télécommunication


Cette partie décrit les procédures de gestion des perte de moyen de télécommunication.
    1. Protection incendie


Cette partie définit la protection incendie nécessaire à l’installation et utilisation du SI.
    1. Mesures d’urgence


Ce paragraphe décrit les mesures d’urgence à appliquer.
  1. Gestion de configuration

    1. Responsabilités pour la gestion de configuration


Ce paragraphe précise les responsabilités du contrôle de l’intégrité matérielle et des logiciels du système, de leurs paramètres de configuration par rapport à une version de référence
    1. Configuration de référence


Enumération détaillée des configurations matérielles et logicielles (noms des logiciels d’exploitation, des logiciels spécifiques, des progiciels et des utilitaires avec leurs numéros de version associés éventuellement au numéro de patch)
    1. Gestion des évolutions matérielles & logicielles


Ce paragraphe décrit la procédure de gestions des évolutions matérielles et logicielles.
  1. Annexes

  1. Missions de responsabilités du RSSI

  2. Misions et responsabilités des administrateurs du SI

  3. Liste des personnels





similaire:

1. Administration et organisation de la sécurité 4 iconI. Administration de la sécurité 3
«appliance Maître». Ce mode d’administration centralisée est fourni en standard

1. Administration et organisation de la sécurité 4 iconAdministration unifiée de la sécurité
«objets» réseaux, serveurs, utilisateurs, services, ressources et actions définis dans le cadre de la politique de sécurité sont...

1. Administration et organisation de la sécurité 4 iconQuestions clés sur la sécurité
«cloud computing» et des principes de base de la sécurité du nuage. Son but n'est pas de répondre à toutes les questions relatives...

1. Administration et organisation de la sécurité 4 iconI. Qu’est-ce que la sécurité sociale ? La sécurité sociale, c’est...
«Toute personne en tant que membre de la société, a droit à la sécurité sociale»

1. Administration et organisation de la sécurité 4 iconSecurite sociale et protection sociale
«sociétés de secours mutuels», qui seront reconnues et strictement règlementées par une loi Humann du 22 juin 1835. Elles seront...

1. Administration et organisation de la sécurité 4 icon«Organisation de voyages scolaires»
«Organisation de voyages scolaires» – 113, rue du 5ème rtm bp 157 01 306 Belley cedex

1. Administration et organisation de la sécurité 4 iconNote Paix et la sécurité
«architecture de paix et de sécurité» africaine au cours des quelques années à venir

1. Administration et organisation de la sécurité 4 iconLa réforme de l'administration
«gérer l’Etat comme une entreprise», qui veut donc appliquer à l’Etat une opération de réduction des coûts, et pour lequel une réforme...

1. Administration et organisation de la sécurité 4 iconBmw information média 11/2015 Page Le nouveau bmw c 650 Sport. Le...
«Sécurité à 360°», le système de freinage se porte garant d’une sécurité de conduite active maximale avec de série l’abs bmw motorrad...

1. Administration et organisation de la sécurité 4 iconBibliographie : G. Dupuis, Gudeon et Patrice Chrétien
«La police municipale a pour objet d’assurer le bon ordre, la sûreté, la sécurité et la salubrité publiques»): la tranquillité publique...








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com