PSSI générique et management de la sécurité
13 juin 2012 introduction au projet PSSI générique ... définition d'un SMSI (système de management de ... la sécurité est un processus avec tous ses.
Lensemble documentaire de la PSSI générique
Les normes ISO 27000 ? • ISO 27001 : management de la sécurité de l'information (SMSI). • ISO 27002 : guide de bonnes
Démarche PSSI générique : retour dexpérience détablissements
Rappel sur le projet PSSI générique gestion pédagogie et enseignement
Démarche PSSI générique : retour dexpérience détablissements
Le référentiel générique : ?. Une politique de management de la sécurité de l'information. (PMSI). ?. Une politique de sécurité des systèmes d'information
POLITIQUE DE SÉCURITÉ DES SYSTÈMES DINFORMATION DE L
Gestion des risques et homologation de sécurité . sécurité des systèmes d'information (PSSI) et défini un plan d'action. Celui-ci.
Démarche PSSI générique : retour dexpérience détablissements
5 nov. 2011 Le référentiel générique est constitué des documents suivants : • une politique de management de la sécurité de l'information (PMSI) ...
POLITIQUE DE SÉCURITE DES SYSTÈMES DINFORMATION
31 oct. 2013 La PSSI s'applique à l'ensemble du système d'information de ... Une politique de management de la sécurité de l'Information décrit les ...
Elaboration et mise en œuvre dune PSSI pour les structures des
Les besoins de sécurité « génériques » des SI . Une structure peut confier par contrat la gestion de tout ou partie de son SI à des tiers.
PGSSI-S - Politique générale de sécurité des systèmes dinformation
12 janv. 2017 sécurité – Systèmes de management de la sécurité de l'information – Vue ... technique générique d'un accès au SI est proposé en Annexe 3.
Guide pour lélaboration dune politique de sécurité de système d
3 mars 2004 La PSSI offre les bénéfices suivants : - une vision stratégique de la gestion des risques globaux dont la SSI
![Lensemble documentaire de la PSSI générique Lensemble documentaire de la PSSI générique](https://pdfprof.com/Listes/20/24024-2020120314_referentielgeneriqu_8.pdf.pdf.jpg)
Objectifs
•!fournir des documents rédigés sur la base de risques identifiés •!pour les établissements n'ayant pas de PSSI ou les ressources pour entamer une démarche complète •!fournir des documents répondant à la plupart des besoins •!faciles à s'approprier •!pour les établissements ayant leur PSSI mais n'ayant pas de processus d'amélioration continue•!pouvoir mettre en oeuvre ce processus •!affiner l'analyse •!répondre aux besoins de l'établissement
2Type de documents
•!documents génériques •!documents d'aide à l'analyse de risque •!documents permettant l'amélioration continue et la transmission d'un information pertinente 3Les documents génériques
•!rédigés par le prestataire Fidens et remis en forme par le GT-PSSI•!documents quasiment utilisables tels quels •!certains chapitres sont à adapter à votre
établissement :
•!nom de l'établissement •!enjeux et missions •!certaines dénominations •!...
•!ils doivent être approuvés par la gouvernance (par exemple le CA) 4Les documents génériques (2)
•!PMSI : politique de management de la sécurité de l'information (ou politique de gouvernance de la sécurité de l'information) :
•!document décrivant l'organisation de la SSI dans votre établissement (instances de révision, veille, etc.) •!document d'une vingtaine de pages •!PSSI : politique de sécurité du système d'information : •!document recensant l'ensemble des règles de sécurité à mettre en oeuvre et validées par le chef d'établissement •!document d'une soixantaine de pages 5Les documents génériques (3)
•!PGSSI : la politique générale de sécurité de la sécurité du système d'information
•!reprend les chapitres de la PSSI •!ne reprend que les grands thèmes et ne détaille pas •!adopter ce document revient à le considérer comme étant la PSSI, la PSSI devenant un document d'application 6 Les documents d'aide à l'analyse de risque •!gestion du projet analyse de risque :•!plan de management •!guide d'entretiens •!notes de cadrage •!planning projet •!cartographie du SI
7Les documents d'aide à l'analyse de risque (2)
•!des documents d'aide à la réalisation des étapes suivantes d'une analyse de risques :
•!analyse du contexte •!étude des besoins •!étude des menaces 8Amélioration continue
•!dans l'esprit des normes ISO 27000•!une déclaration d'applicabilité type •!un plan d'action type dans la mise en oeuvre d'un
processus d'amélioration continue •!une matrice d'affectation des mesures ISO :•!pour le choix des règles •!orientée métiers pour rédiger des guides métiers
de la sécurité de l'information •!les risques évoluent : vos mesures doivent aussi évoluer 9Les normes ISO 27000 ?
•!ISO 27001 : management de la sécurité de l'information (SMSI) •!ISO 27002 : guide de bonnes pratiques (développement des annexes de la 27001)•!ISO 27005 : appréciation des risques •!ISO 27003 : implémentation •!ISO 27004 : indicateurs du SMSI
10Que contient la PSSI générique
•!un rappel des enjeux de l'établissement •!un rappel des obligations réglementaires •!des mesures de sécurité issues de la norme ISO 27002 •!ces mesures couvrent des risques identifiés lors des analyses •!ces mesures sont déclinées en règles les mettant en oeuvre 11Grands chapitres de la PSSI
•!gestion de la politique•!gestion des biens (inventaires et attributions) •!sécurité liée aux ressources humaines •!gestion des tiers •!habilitation •!sécurité des échanges de données •!sécurité des réseaux •!sécurité des applications •!mobilité •!projets, développements et maintenance •!sauvegardes •!continuité d'activité •!gestion des incidents •!...
12Exemples
!Classification des biens ![ISO 27001 - A 7.2.1] Lignes directrices pour la classification ![GDB_01] Plan de classification •!Un plan de classification est défini au niveau del'établissement pour hiérarchiser les niveaux d e protection et gérer les biens con formément au x besoins de sécurité identifiés.
•!Ce plan de classification d éfinit l es échelles desensibilité à partir des critères conf identi alité, intégrité, et disponibilité.
13Exemples (2)
!Inventaire des biens![ISO 27001 - A 7.1.1] Inventaire des biens ![GDB_02] Identification et inventaire des biens sensibles •!On qualifie de " bien sensible » toute composante qui traite d'information
ou de fonction de niveau 2 selon le plan de classification. On appelle " critique » un bien supérieur au niveau 3 selon le plan de classification.
•!Les biens sensibles participant au fonctionnement du système d'information(informations, biens logiciels, biens physiques, services, etc.) sont inventoriés par domaine. Chaque bien recensé fait l'objet d'une identification renseignant le niveau de classi fication (établi sur la base du plan mentionné ci-dessus), son détenteur ou responsable, et les personnes qui y ont accès (pour les données).
•!Un extrait de l'inventaire est réalisé afin d'identifier les biens " critiques »parmi l'ensemble des biens constituant le système d'information de manière à pouvoir protéger les éléments vitaux de l'organisme identifiés en cas de sinistre majeur. 14
Exemples (3)
!Utilisation de matériel hors des locaux ![ISO 27001 - A 9.2.5] Sécurité du matériel hors des locaux ![NOMAD_05] Dispositifs de sécurité installés sur les nomades •!Tout poste nomade comprend par défaut : •!Un antivirus / anti-spam. •!Un logiciel de chiffrement de disque et/ou des fichiers. •!Selon les besoins identifiés et les informations traitées, desconfigurations durcies peuvent être mises à d isposition des usagers : authen tification forte pour la connexion au poste, outil de sécurisation de la connexion VPN, outil de chiffrement des disques durs, support amovible sécurisé, outil de contrôle de double connexion.
15Plan de la PMSI
•!1. Introduction •!2. Contexte •!3. Grands principes •!3.1. Principes de gouvernance •!3.2. Principes de sécurité •!4. Gestion des risques •!4.1. Stratégie •!4.2. Critères •!4.3. Audit et contrôle 16Plan de la PMSI (2)
•!5. Organisation de la sécurité•!5.1. Le Comité de Pilotage Stratégique •!5.2. Le Comité de Sécurité Opérationnelle •!5.3. Les comités de liaison •!5.4. Fonctions présentes aux comités •!5.5. Rôles et responsabilités
•!6. Mesure et amélioration de la sécurité•!6.1. Amélioration du niveau de sécurité •!6.2. Amélioration du processus SMSI •!6.3. Gestion du document de politique SMSI
17Démarche complète
analyse de risque sélection des mesures appropriées modification des documents génériques
18Scénarios d'utilisation
•!dans tous les cas : •!un groupe projet (travail sur les documents et les entretiens) •!un comité de pilotage : validation des travaux avant adoption •!l'étude du contexte vous permettra : •!d'identifier les missions et axes stratégiques de l'établissement•!de définir le périmètre de la PSSI •!définir les critères de gestion de risques
19Scénarios d'utilisation (2)
•!si vous avez peu d'énergie à consacrer à la démarche complète•!travail sur les documents PMSI, PSSI (et PGSSI) •!évaluation de l'applicabilité des règles proposées
(organisation, finances,...) •!adaptation des règles à votre contexte (ou retrait selon le cas) •!validation des documents par les instances dirigeantes •!planification de la mise en oeuvre 20Scénarios d'utilisation (3)
•!si vous pouvez réunir une équipe projet sur une étude de risques :•!reprendre les documents d'analyse de risques •!réévaluer les besoins de sécurité •!réévaluer la vraisemblance des menaces •!appliquer une stratégie de traitement des risques
•!par les mesures : impacts financiers par exemple •!par les risques (ex. : traitement des risques de niveau 3
et 4) •!adapter alors les documents PMSI et PSSI 21Scénarios d'utilisation (4)
•!reprendre toute la démarche •!en partant ou pas des documents d'analyse de risque •!identification des mesures : •!la matrice de correspondance permet de sélectionner les règles des documents génériques •!adapter alors les documents PMSI et PSSI 22Important
•!une équipe projet ayant un minimum de culture sur les études de risques •!formations du CFSSI •!formation 27000 ? •!une gouvernance impliquée •!la sécurité est au service des intérêts de l'établissement •!c'est une culture qui s'acquiert par l'usage •!commencer sur un périmètre plus restreint 23Où trouver les documents ?
•!intranet des RSSI de l'enseignement supérieur et de la recherche : •!accès réservé, adressez-vous à votre RSSI pour les obtenir 24quotesdbs_dbs33.pdfusesText_39
[PDF] Public cible Professionnel-le-s des domaines du social, de la santé, des sciences humaines.
[PDF] Publication des liens
[PDF] PUBLICITÉ, DOCUMENTATION COMMERCIALE ET CORRESPONDANCE
[PDF] Publier son profil de formateur ou d établissement sur le site de Guide Maestro
[PDF] PUISSANCE ET ÉNERGIE ÉLECTRIQUE
[PDF] Q U A N T I T É S B R E S. Document réalisé par le Groupe Maternelle DEC 26
[PDF] Q U E S T I O N N A I R E D E R I S Q U E
[PDF] Qu est ce qu une maison médicale?
[PDF] Qu est-ce qu un ordinateur?
[PDF] Qu est-ce que la commission de surendettement?
[PDF] Quadro Paese Stream 2013-2015 TUNISIA
[PDF] Qualibat environnement Niveau «Maîtrise de l environnement» Référentiel. «Maîtrise de l environnement»
[PDF] Qualifications requises selon les disciplines à l enseignement régulier
[PDF] Qualité de vie des Franciliens de 60 ans ou plus : agir sur les limitations physiques