Cabinet de Consultants en Scurit Informatique depuis 1989 Spcialis sur Unix, Windows, TCP/IP et Internet
Politique de scurit
cohrente et pragmatique
<Herve.Schauer@hsc.fr>
Herv Schauer
Sommaire
Politique de scurit
Dfinitions Quelle rfrence choisir ?
Politique et Management des risques Politiques de scurit spcifiques Communication de la politique ISO 27003 Autres politiques Conclusion
Politiques de scurit Politiques et ISO 27001 Politique du SMSI Politique de Scurit des Systmes d'Information Rvision de la politique
2/21
3/21
4/21
Majorit des cas : Politique de Scurit de l'Information = Politique du SMSI Cas complexes : enchainement de politiques imbriques les unes dans les autres
Exemple : Cf prsentation d'Orange-France Telecom au Club 27001
5/21
Direction gnrale doit dcliner sa vision pour l'organisme en vision pour la scurit de l'information
6/21
Politiques de scurit
Plusieurs politiques
Valides des niveaux hirarchiques diffrents Politique du SMSI Politique de Scurit de l'Information
Politiques spcifiques
MOE
7/21
RSSI
MOE
Acceptation du risque
ISO 27001 4.2.1.h ISO 27005 10
PSSI DdA
ISO 27001 4.2.1.j
8/21
Politique du SMSI
Politique du SMSI (ISO 27001 4.2.1.b) au sommet
Politique de scurit de l'information en dessous (ISO 27002 5.1.1) mais gnralement mme document
Politique du SMSI
Politique du SMSI ou PSI (ISO 27001 4.2.1.b)
Synthtique Courte
Exemple XXX : une page, 69 lignes
Fondatrice Rellement lisible et comprhensible par tous les membres du comit de direction
Donc par toute l'entreprise
Ne doit changer sur le fond que lorsque la stratgie de l'organisme change Ne doit pas avoir de mise jour temporelle
Exemple : changement de lgislation ne doit pas imposer une mise jour
10/21
Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite
Politique du SMSI
Politique du SMSI ou PSI (ISO 27001 4.2.1.b)
Doit inclure les critres d'acceptation des risques (ISO 27001 4.2.1.c.2)
Permettra de dterminer les critres d'valuation des risques Manquent rgulirement
Aval de la direction permet d'acqurir la lgitimit pour agir et faire la PSSI Revalide ou mise jour lors chaque revue de direction
11/21
PSSI
Politique de Scurit des Systmes d'Information Politique en dessous de la politique du SMSI est souvent la PSSI Politique habituellement impose
RGS DNS Dossier d'agrment des hbergeurs de donnes de sant ARJEL
Souvent l'existant
Gnrale, globale ou dtaille
Exemple XXX : 183 pages signes par la direction gnrale
12/21
PSSI
PSSI pas clairement dans les normes
Mlange avec la Politique du SMSI / PSI Systmes d'Information n'apparat rellement que dans l'ISO 27003
13/21
Rvision de la politique
ISO 27002 5.1.2
The information security policy should be reviewed at planned intervals
ISO 27002 5.1.2 plus large que juste la rvision de la politique, mais rexamen global
14/21
Scurit Inf.
PSSI
Conserver la ISO 27001 4.2.1.f, 4.2.1.g ISO 27005 9 cohrence Plan de traitement des risques ISO 27003 8.3 entre tous les ISO 27001 4.3.1.c (partiel), 5.2.1.b (partiel) PSSI ISO 27002 5.1.1.c, .d.2, 5.1.1.e, .f documents DdA
ISO 27001 4.2.1.j ISO 27005 ISO 27003 8.4 ISO 27001 4.3.1.c (partiel) ISO 27002 5.1.1.f
Politiques spcifiques
16/21
Politiques spcifiques
Politique de contrle d'accs (ISO 27002 11.1.1) Politique de conservation des donnes nominatives (ISO 27002 15.1.4) Politique de gestion des enregistrements (ISO 27002 15.1.3) Politique d'change d'information avec les tiers (ISO 27002 6.2.3) Politique d'accs pour les tlmaintenances (ISO 27002 11.4.4) Politique de maniement des cls-mmoire USB (ISO 27002 10.7.1) ...
17/21
Communication de la Politique
Politique de scurit de l'information doit tre communique tous (ISO27001 5.1 d)
Courte et synthtique donc affichable
PSSI ? Politiques spcifiques ne sont communiques qu'aux destinataires ayant besoin de les connatre
18/21
Autres politiques
Dans chaque mtier les patrons sont des responsables d'activit avec une quipe :
DSI Finances Commercial Production Achats
Qualit, PCA, Scurit de l'information, etc, sont tranverses et pas hirarchiquement responsables de ceux qui doivent appliquer
D'o le formalisme sous forme de politiques D'o la ncessit de l'engagement de la direction
20/21
Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite
Conclusion
Politique : pas une fin en soi Politique = outil Sans l'engagement et l'appui de la direction, un RSSI ne sert rien
Comme un responsable qualit
Revue et augmente
2 dition
Questions ?
Herve.Schauer@hsc.frwww.hsc.fr
21/21
Copyright Herv Schauer Consultants 2000-2010 - Reproduction Interdite
Ressources
Pour tlcharger le schma de modlisation de l'ISO 27005 :
http://www.hsc.fr/ressources/presentations/netclu0927005/HSCModelisationISO27005.pdf
22/21