PSSI rgles - Tous les lments

https://extra.core-cloud.net/collaborations/RSSI-CNRS/Lists/PSSI rgle...

N rgle POL-1

Chapitre Politique

Sensibilit *

Rgle Les rgles de la PSSI oprationnelle de l'unit sont dfinies aprs dtermination du niveau de couverture des risques applicable. Le DU est responsable de la scurit des systmes d'information (SSI) dans son unit et nomme une personne charge de la SSI (CSSI) pour l'assister en la matire Le DU est responsable de la formalisation et du suivi du plan d'action de mise en uvre des rgles de la PSSI dans l'unit La sensibilisation la SSI de l'ensemble des personnels de l'unit doit tre ralise La SSI doit tre prise en compte dans les contrats avec les tiers. Toute drogation aux rgles de cette PSSI doit tre valide par le DU avec avis motiv Le DU, en collaboration avec le CSSI, RSI et tout autre acteur impliqu dans la dmarche scurit, dfinit et formalise les responsabilits de chacun concernant les mesures SSI mettre en uvre. Les documents lectroniques produits dans lunit doivent tre marqus par leur producteur suivant leur niveau de confidentialit : diffusion publique, diffusion interne, diffusion restreinte. Les documents lectroniques doivent tre stocks, manipuls, transmis via les procdures et avec les outils propres assurer leur confidentialit au niveau adquat. Les systmes d'infomation utiliss dans l'unit doivent tre rfrencs et leur niveau de sensibilit valu (peu sensible, sensible, trs sensible, critique) Les systmes informatiques (serveurs, ensemble de serveurs, matriels scientifiques, postes de travail,etc.) utiliss dans l'unit doivent tre identifis et protgs suivant leur niveau de sensibilit

N ISO

Chapitre ISO 5 Politique de scurit

Mesures ISO 5.1.1, 8.2.2

ORG-1

Organisation

6 Organisation de la scurit de linformation

6.1.1, 6.1.2, 6.1.3

ORG-2

Organisation

6 Organisation de la scurit de linformation

6.1.1

ORG-3

Organisation

6 Organisation de la scurit de linformation 6 Organisation de la scurit de linformation 6 Organisation de la scurit de linformation 6 Organisation de la scurit de linformation

8.2.2

ORG-5

Organisation

6.2.3

ORG-6

Organisation

27001 4.2.1j

ORG-7

Organisation

***

6.1.3

PDI-1

Protection des documents et des informations

7 Gestion des actifs

7.2.1

PDI-2

Protection des documents et des informations

7 Gestion des actifs

7.2.2

PDI-3

Protection des documents et des informations

7 Gestion des actifs

7.1.1

PDI-4

Protection des documents et des informations

**

7 Gestion des actifs

7.1.3

1 sur 6

10/04/2013 11:04

PSSI rgles - Tous les lments

https://extra.core-cloud.net/collaborations/RSSI-CNRS/Lists/PSSI rgle...

PDI-5

Protection des documents et des informations

***

Les systmes informatiques critiques utiliss dans l'unit doivent tre attribus suivant une procdure formelle incluant la signature dun acte dengagement de la personne qui en est responsable. Les recherches sur Internet pouvant conduite la divulgation d'informations sensibles dans le cadre de l'intelligence conomique doivent tre effectus avec des outils limitant la fuite d'informations. Le personnel entrant dans l'unit doit tre accueilli suivant une procdure daccueil formalise qui inclut la prise de connaissance de la charte SSI et des rgles lmentaires de scurit informatique avant louverture des accs sur le SI. Toute personne physique ou morale amene travailler avec l'unit doit signer une clause de confidentialit. Laptitude respecter les rgles de scurit est prise en considration lors du recrutement du personnel sur des postes de confiance. Les personnes qui ne font pas partie du personnel doivent prendre connaissance des rgles SSI de l'unit avant toute connexion au SI de l'unit Le personnel sortant de l'unit doit tre connu de lquipe informatique qui applique une procdure de dpart formalise incluant la fermeture des droits sur le SI et la restitution des matriels appartenant l'unit. Le personnel en dplacement ltranger doit suivre, avant son dpart, une sensibilisation spcifique aux risques relatifs ces dplacements. Le personnel en dplacement ltranger doit suivre une procdure formalise permettant une gestion des matriels informatiques spcifique aux risques relatifs ces dplacements. Un plan dtaill des locaux doit permettre didentifier les locaux et/ou des zones sensibles (locaux ou zones qui contiennent des matriels, informations ou SI sensibles) qui seront marqus suivant leur niveau de sensibilit.

7 Gestion des actifs

7.1.2,

PDI-6

Protection des documents et des informations

**

7 Gestion des actifs

GRH-1

Ressources humaines

8 Scurit lie aux ressources humaines

8.1.3

GRH-1-1

Ressources humaines

**

8 Scurit lie aux ressources humaines

6.1.5

GRH-1-2

Ressources humaines

***

8 Scurit lie aux ressources humaines

8.1.2

GRH-1-3

Ressources humaines

8 Scurit lie aux ressources humaines

GRH-2

Ressources humaines

8 Scurit lie aux ressources humaines

8.3.1, 8.3.2, 8.3.3

GRH-3

Ressources humaines

8 Scurit lie aux ressources humaines

8.2.2

GRH-4

Ressources humaines

**

8 Scurit lie aux ressources humaines

8.2.2

PHY-1

Scurit physique

9 Scurit physique et 9.1.1 environnementale

2 sur 6

10/04/2013 11:04

PSSI rgles - Tous les lments

https://extra.core-cloud.net/collaborations/RSSI-CNRS/Lists/PSSI rgle...

PHY-2

Scurit physique

Les locaux et/ou zones doivent tre protgs par les moyens recommands suivant leur niveau de sensibilit(peu sensible, sensible, trs sensible, critique). L'intervention des personnels et des visiteurs dans les zones scurises (zone 3 et zone 4) est encadre par des procdures suivant les directives nationales. Des moyens de protection contre les accs physiques illicites sont dfinis et mis en uvre pour chacune des zones suivant les directives nationales. La procdure de sortie d'un matriel qui est extrait d'une zone de niveau suprieur 2 doit suivre les directives nationales. Les matriels informatiques sont protgs par une fixation lorsqu'il sont susceptibles d'tre facilement emports. Les procdures dexploitation des systmes doivent tre documentes, tenues jour et disponibles pour tous les utilisateurs concerns. Les quipements de dveloppement, d'essai et dexploitation doivent tre spars pour rduire les risques daccs ou de changements non autoriss dans le systme dinformation en exploitation. Lorsque tout ou partie de l'exploitation des SI est confie un tiers, Il doit tre assur que les mesures de scurit dfinies par cette politique sont reportes dans le contrat. L'usage d'outils permettant d'administrer distance un systme ou permettant d'effectuer des diagnostics techniques est rserv aux seuls administrateurs techniques autoriss. La gestion des traces de l'activit des systmes informatiques doit suivre les directives nationales Les traces gnres par les systmes informatiques doivent tre centralises et stockes sur 12 mois glissants. Les systmes informatiques (serveurs, matriels actifs, etc.) sont superviss via les outils ad hoc.

9 Scurit physique et 9.1.3 environnementale

PHY-2-1

Scurit physique

***

9 Scurit physique et 9.1.5 environnementale

PHY-2-2

Scurit physique

***

9 Scurit physique et 9.1.2 environnementale

PHY-2-3

Scurit physique

***

9 Scurit physique et 9.2.7 environnementale

PHY-3

Scurit physique

**

9 Scurit physique et 9.2.1 environnementale

EXP-1

Exploitation des ** SI

10 Gestion de lexploitation et des tlcommunications

10.1.1

EXP-2

Exploitation des ** SI

10 Gestion de lexploitation et des tlcommunications

10.1.4

EXP-3

Exploitation des * SI

10 Gestion de lexploitation et des tlcommunications

10.2.1

EXP-4

Exploitation des * SI

10 Gestion de lexploitation et des tlcommunications

EXP-5

Exploitation des * SI

10 Gestion de lexploitation et des tlcommunications 10 Gestion de lexploitation et des tlcommunications

EXP-5-1

Exploitation des ** SI

EXP-6

Exploitation des *** SI

10 Gestion de lexploitation et des tlcommunications

3 sur 6

10/04/2013 11:04

PSSI rgles - Tous les lments

https://extra.core-cloud.net/collaborations/RSSI-CNRS/Lists/PSSI rgle...

EXP-7

Exploitation des *** SI

Les traces gnres par les systmes informatiques (serveurs, postes de travail, matriels actifs, etc.) sont rgulirement analyses pour dtecter d'ventuels vnements anormaux. Les systmes d'acquisition et de contrle des donnes (SCADA, Supervisory Control And Data Acquisition) doivent tre traits comme des SI part entire en fonction de leur sensibilit. Le parc logiciel de lunit est gr et permet notamment un suivi de lattribution des logiciels au personnel. Les logiciels (OS, applications, etc.) utiliss par le personnel doivent faire partie de la liste des logiciels autoriss par le CSSI de l'unit. La configuration logicielle des matriels utiliss par le personnel doit tre scurise suivant les recommandations nationales spcifiques chaque type de matriel, OS, et usage. Le parc du matriel informatique de lunit est gr et permet notamment un suivi de lattribution de ces matriels au personnel. L'utilisation du matriel informatique est soumise une autorisation pralable La maintenance du matriel informatique doit suivre une procdure formalise permettant de protger les informations manipules par ce matriel. La mise au rebut d'un matriel sensible doit suivre les directives nationales. Un plan dtaill du rseau de lunit doit permettre didentifier les zones sensibles (segment de rseau contenant des SI sensibles) qui seront marqus suivant leur niveau de sensibilit (peu sensible, sensible, trs sensible, critique). Les zones sensibles du rseau doivent tre protges par les moyens recommands suivant leur niveau de sensibilit. Les dispositifs de contrle des accs au rseau et aux zones sensibles de ce rseau doivent traiter de faon diffrencie les accs des postes de travail contrls des accs de postes non contrls.

10 Gestion de lexploitation et des tlcommunications

EXP-8

Exploitation des * SI

10 Gestion de lexploitation et des tlcommunications

7.1.1, 7.1.3

EXP-CNF-1

Exploitation des * SI

10 Gestion de lexploitation et des tlcommunications

EXP-CNF-2

Exploitation des ** SI

10 Gestion de lexploitation et des tlcommunications

EXP-CNF-3

Exploitation des * SI

10 Gestion de lexploitation et des tlcommunications

EXP-MAT-1

Exploitation des ** SI

10 Gestion de lexploitation et des tlcommunications

EXP-MAT-2

Exploitation des ** SI

10 Gestion de lexploitation et des tlcommunications 10 Gestion de lexploitation et des tlcommunications

EXP-MAT-4

Exploitation des ** SI

EXP-MAT-4-1

Exploitation des ** SI

10 Gestion de lexploitation et des tlcommunications 10 Gestion de lexploitation et des tlcommunications

EXP-RES-1

Exploitation des ** SI

EXP-RES-2

Exploitation des ** SI

10 Gestion de lexploitation et des tlcommunications

EXP-RES-4

Exploitation des ** SI

10 Gestion de lexploitation et des tlcommunications

4 sur 6

10/04/2013 11:04

PSSI rgles - Tous les lments

https://extra.core-cloud.net/collaborations/RSSI-CNRS/Lists/PSSI rgle...

EXP-RES-6

Exploitation des * SI

La prise de main distance sur un poste de travail ne peut tre ralise que par des administrateurs autioriss et sous le contrle de l'utilisateur habituel de ce poste de travail. Seuls les comptes individuels (non partags) sont autoriss pour l'identification pralable l'accs aux ressources informatiques (postes de travail, systmes d'information, etc.). Toute action dautorisation d'accs dun utilisateur une ressource des SI, quelle soit locale ou nationale, doit sinscrire dans le cadre dun processus dautorisation formalis qui sappuie sur le processus dentre et de sortie du personnel. Toute action d'autorisation d'accs d'un utilisateur une ressource des SI classe ZRR doit tre gre suivant les directives nationales. La gestion des moyens d'authentification des utilisateurs sur les SI doit se faire suivant les recommandations nationales Lorsque les moyens de contrle d'accs personnels d'un utilisateur aux informations doivent tre rendus accessibles aux administrateurs, l'utilisateur doit en tre inform et ces informations doivent transmises et stockes de faon scurise. Le contrle d'accs aux SI classs ZRR est gr suivant les directives nationales. Tout projet informatique/scientifique doit respecter les exigences nationales en matire de scurit des Systmes dInformation et prendre en compte la scurit ds son dmarrage. Tout incident de scurit doit tre gr suivant la procdure formalise par le RSSI du CNRS (qualification, protection, alerte, etc.). Un plan de sauvegarde informatique de lunit doit tre formalis et mis en uvre de faon garantir la rcupration des donnes en cas de sinistre ou de panne matrielle et/ou logicielle sur les matriels grs par l'unit.

10 Gestion de lexploitation et des tlcommunications

AUT-1

Authentification * et contrle d'accs

11 Contrle d'accs

11.1.1

AUT-2

Authentification * et contrle d'accs

11 Contrle d'accs

11.2.1

AUT-2-1

Authentification *** et contrle d'accs

11 Contrle d'accs

AUT-4

Authentification * et contrle d'accs

11 Contrle d'accs

AUT-5

Authentification * et contrle d'accs

11 Contrle d'accs

AUT-8

Authentification *** et contrle d'accs Dveloppement des SI **

11 Contrle d'accs

DEV-1

12 Acquisition, dveloppement et maintenance des systmes dinformation

INC-1

Gestion des incidents

13 Gestion des incidents lis la scurit de linformation

CNT-1

Continuit d'activit

14 Gestion de la continuit de lactivit

15.2.1, 15.2.2

5 sur 6

10/04/2013 11:04

PSSI rgles - Tous les lments

https://extra.core-cloud.net/collaborations/RSSI-CNRS/Lists/PSSI rgle...

CNT-2

Continuit d'activit

**

Un plan de continuit d'activit doit tre formalis en fonction des besoins de l'unit en la matire. Le DU est responsable de l'application des procdures lies la mise en uvre de la rglementation relative au traitement automatis des donnes caractre personnel raliss sur des systmes qui sont sous la responsabilit de l'unit. Le DU est responsable du suivi du bon respect des rgles en matire de protection des donnes caractre personnel pour lensemble des traitements dont son unit est responsable. Le DU s'assure de la mise en uvre de moyens de prvention visant interdire la consultation et la diffusion de messages caractre violent, pdo-pornographique ou de nature porter atteinte la dignit humaine. Le DU s'assure du respect des droits de proprit intellectuelle pour tout logiciel, support multimdia (photos, fichiers audio et vido, etc.), base de donnes ou document manipul au sein de son unit. Le DU doit transmettre chaque anne, via le RSSI de DR, un rapport au FSD et au RSSI du CNRS permettant de juger du niveau dapplication des rgles de scurit des SI dans lunit. Le DU doit mettre disposition de laudit interne du CNRS, du RSSI du CNRS, du RSSI de la DR dont il dpend tout document permettant de juger du niveau dapplication des rgles de scurit des SI dans lunit.

14 Gestion de la continuit de lactivit

CNF-1

Conformit

15 Conformit

15.1.4

CNF-2

Conformit

15 Conformit

15.1.4

CNF-3

Conformit

15 Conformit

15.1.5

CNF-4

Conformit

15 Conformit

15.1.2

CNF-5

Conformit

**

15 Conformit

CNF-6

Conformit

15 Conformit

15.3.1

Designed and powered by

6 sur 6

10/04/2013 11:04