Política de seguridad del sistema de información

La política de seguridad de los sistemas de información (PSSI) es un plan de acción definido para mantener un cierto nivel de seguridad. Refleja la visión estratégica de la gestión de la organización (PYME, SMI, industria, administración, Estado, uniones de Estados, etc.) en materia de seguridad de los sistemas de información (ISS).

Dependencia y disociación

La política de seguridad de los sistemas de información está intrínsecamente vinculada a la seguridad de la información .

Además, dado que un sistema de información no se limita al sistema informático , una política de seguridad de los sistemas de información no se limita a la seguridad informática .

Descripción

El PSSI es el principal documento de referencia de ISS de la organización. Es un elemento fundacional que define los objetivos a alcanzar y los medios otorgados para lograrlos.

El proceso de implementación de esta política se basa en un análisis de los riesgos de seguridad del sistema de información.

Después de la validación por parte de los distintos actores de la seguridad de la información de la organización, el PSSI debe distribuirse a todos los actores del sistema de información (usuarios, operadores, subcontratistas, proveedores de servicios, etc.). Por tanto, constituye una verdadera herramienta de comunicación sobre la organización y las responsabilidades de ISS, los riesgos de ISS y los medios disponibles para protegerse contra ellos.

La seguridad del sistema de información se basa tradicionalmente en la implementación de una infraestructura de clave pública (PKI).

En opinión de los expertos , la implementación de una infraestructura de clave pública en un mundo abierto no es realmente efectiva sin ciertas precauciones. En las grandes organizaciones en red, es necesario integrar el análisis de seguridad de los datos en una reflexión más amplia sobre el marco legal y la implementación de registros de metadatos .

Por ejemplo, para todo lo relacionado con las aplicaciones de investigación industrial (ver Diccionario de metadatos para el repositorio de publicaciones del CNRS ), se requiere una reflexión profunda sobre el uso del certificado electrónico , en relación a los elementos y refinamientos utilizados.

Desarrollo de una política de seguridad del sistema de información

En Francia, la DCSSI elaboró ​​entre 2002 y 2004 una guía para la política de seguridad de los sistemas de información. Consta de cuatro secciones:

1. Introducción
2. Metodología
3. Principios de seguridad
4. Referencias SSI

Este documento es una actualización de documentos que datan de 1994 .

Introducción

Ver detalles: Sección 1 - Introducción

La guía define los conceptos, además del PSSI:

• principios de seguridad,
• reglas de seguridad.

Define el alcance y los actores a los que está destinada la guía:

• Funcionarios de seguridad de los sistemas de información (FSSI) en las administraciones,
• Responsable de la seguridad de los sistemas de información (RSSI) en las empresas.

Toma nota de la nueva naturaleza de las amenazas  : globales y transfronterizas debido a la interconexión de las redes de Internet .

Define tres tipos de patrimonio a proteger:

• Patrimonio material,
• Patrimonio inmaterial
• Información relativa a personas, físicas y jurídicas ( datos personales de la LOPD).

Define el lugar del PSSI en el repositorio, en particular:

• los vínculos entre el PSSI y las directrices de la OCDE ,
• los vínculos entre el PSSI y los criterios comunes .

Indica las bases de legitimidad de las reglas de un PSSI:

• Leyes, reglamentos, normas y recomendaciones de organismos internacionales, nacionales o profesionales.

Las reglas también encuentran su justificación en los componentes de la cultura de la organización (tradiciones, regulaciones internas).

• Reglas de ética  :
  • Principios internacionales,
  • Códigos deontológicos por sectores profesionales,
  • Códigos deontológicos para profesiones de tecnología de la información .

• Principios de protección de los intereses vitales del Estado  :
  • La protección de elementos de defensa no clasificados,
  • Información relacionada con secretos de defensa  :
    • Protección del secreto y la información relativa a la defensa nacional y la seguridad del Estado ( IGI 1300 )
    • La seguridad de los sistemas de información sujetos a una clasificación de defensa para sí mismos o para la información procesada ( IGI 900 ),
    • Protección del secreto entre Francia y Estados extranjeros (II 50),
    • La protección del secreto para la protección de los mercados y otros contratos (II 2000).

• Principios para salvaguardar los intereses de la organización, en particular los requisitos vis-à-vis:
  • proveedores,
  • proveedores de servicio,
  • subcontratación,
  • de otras organizaciones.

Metodología

Ver detalles: Sección 2 - Metodología

Principios de seguridad

Ver detalles: Sección 3 - Principios de seguridad

La Sección 3 analiza las diferentes áreas de seguridad que generalmente cubre un PSSI:

Principios organizativos

• Politica de seguridad
• Organización de seguridad
• Gestión de riesgos de ISS
• Ciclo de vida del software y la seguridad
• Garantía y certificación

Principios de implementación

• Aspectos humanos
• Planificación de la Continuidad del Negocio
• Administracion de incidentes
• Sensibilización y formación
• Operación
• Aspectos físicos y medio ambiente

Principios tecnicos

• Identificación / autenticación
• Control de acceso lógico a activos
• Inicio sesión
• Infraestructuras de gestión de claves criptográficas
• Señales comprometedoras

Referencias SSI

Ver detalles: Sección 4 - Referencias SSI

Criterios comunes para la evaluación de la seguridad de la tecnología de la información

Las directrices de la OCDE

Códigos de ética para profesiones de tecnología de la información

Ataques a personas

Daños a la propiedad

Ataques a los intereses fundamentales de la nación , terrorismo y daño a la confianza pública

Violaciones de propiedad intelectual

Las disposiciones relativas a la criptología.

Las disposiciones relativas a la firma electrónica

Variaciones

Pasar de los principios globales de ISS a políticas especializadas

Una vez identificados los riesgos más graves, podemos plantearnos la cuestión de descomponer el PSSI global en políticas de seguridad técnica por negocio , actividad o sistema. El PSSI general también servirá como base para la coherencia entre estas políticas y entre todos los estudios de seguridad.

Así, podemos encontrar diferentes tipos de políticas de seguridad relacionadas con la seguridad de la información o los datos  :

• Política de seguridad de TI
  • Política de seguridad de la red de TI
  • Política de seguridad del sistema

Apéndices

Ver también

• Seguridad de información
• Seguridad de los sistemas de información
• Paquete ISO / IEC 27000
• Politica de seguridad
• Gerente de seguridad de sistemas de información
• Fuga de información
• Política de seguridad de la información

Bibliografía

• (fr) OCTO Technology, trabajo colectivo, Identity Management: A Policy for the Information System , Octo Technology, 2007, ( ISBN  2952589518 ) .
• (fr) Vuibert Sciences , Guinier D. - Capítulo: Política de seguridad, p.  1486-1498 , en la enciclopedia de sistemas informáticos y de información, 2088 páginas , Vuibert Sciences , 2006, ( ISBN  9782711748464 ) .

enlaces externos

• ANSSI: Guía para desarrollar políticas de seguridad de sistemas de información
• Guía de sensibilización MEDEF sobre seguridad informática y protección de activos de información
• Publicación sobre "la seguridad de los sistemas de información en los establecimientos de salud" editada por la GMSIH