5-PSSI Regles - Tous Les Elements

N rgle Chapitre Sensibilit Rgle N ISO Chapitre ISO Mesures ISO

POL-1 Politique * Les rgles de la PSSIoprationnelle de l'unitsont dfinies aprsdtermination du niveaude couverture des risquesapplicable.

5 Politique descurit

5.1.1, 8.2.2

ORG-1 Organisation * Le DU est responsable dela scurit des systmesd'information (SSI) dansson unit et nomme unepersonne charge de la SSI(CSSI) pour l'assister en lamatire

6 Organisation de lascurit delinformation

6.1.1, 6.1.2,6.1.3

ORG-2 Organisation * Le DU est responsable dela formalisation et du suividu plan d'action de miseen uvre des rgles de laPSSI dans l'unit


6.1.1

ORG-3 Organisation * La sensibilisation la SSIde l'ensemble despersonnels de l'unit doittre ralise


8.2.2

ORG-5 Organisation * La SSI doit tre prise encompte dans les contratsavec les tiers.


6.2.3

ORG-6 Organisation * Toute drogation auxrgles de cette PSSI doittre valide par le DU avecavis motiv


27001 4.2.1j

ORG-7 Organisation *** Le DU, en collaborationavec le CSSI, RSI et toutautre acteur impliqu dansla dmarche scurit,dfinit et formalise lesresponsabilits de chacunconcernant les mesuresSSI mettre en uvre.


6.1.3

PDI-1 Protection desdocuments etdesinformations

* Les documentslectroniques produitsdans lunit doivent tremarqus par leurproducteur suivant leurniveau de confidentialit :diffusion publique,diffusion interne, diffusionrestreinte.

7 Gestion des actifs 7.2.1


* Les documentslectroniques doivent trestocks, manipuls,transmis via lesprocdures et avec lesoutils propres assurerleur confidentialit auniveau adquat.



* Les systmes d'infomationutiliss dans l'unitdoivent tre rfrencs etleur niveau de sensibilitvalu (peu sensible,sensible, trs sensible,critique)



** Les systmesinformatiques (serveurs,ensemble de serveurs,matriels scientifiques,postes de travail,etc.)utiliss dans l'unitdoivent tre identifis etprotgs suivant leurniveau de sensibilit


PSSI rgles - Tous les lments https://extra.core-cloud.net/collaborations/RSSI-CNRS/Lists/PSSI rgle...

1 sur 6 10/04/2013 11:04


*** Les systmesinformatiques critiquesutiliss dans l'unitdoivent tre attribussuivant une procdureformelle incluant lasignature dun actedengagement de lapersonne qui en estresponsable.

7 Gestion des actifs 7.1.2,


** Les recherches sur Internetpouvant conduite ladivulgation d'informationssensibles dans le cadre del'intelligence conomiquedoivent tre effectus avecdes outils limitant la fuited'informations.

7 Gestion des actifs

GRH-1 Ressourceshumaines

* Le personnel entrant dansl'unit doit tre accueillisuivant une procduredaccueil formalise quiinclut la prise deconnaissance de la charteSSI et des rgleslmentaires de scuritinformatique avantlouverture des accs sur leSI.

8 Scurit lie auxressourceshumaines

8.1.3

GRH-1-1 Ressourceshumaines

** Toute personne physiqueou morale amene travailler avec l'unit doitsigner une clause deconfidentialit.


6.1.5


*** Laptitude respecter lesrgles de scurit est priseen considration lors durecrutement du personnelsur des postes deconfiance.


8.1.2


* Les personnes qui ne fontpas partie du personneldoivent prendreconnaissance des rglesSSI de l'unit avant touteconnexion au SI de l'unit



* Le personnel sortant del'unit doit tre connu delquipe informatique quiapplique une procdure dedpart formalise incluantla fermeture des droits surle SI et la restitution desmatriels appartenant l'unit.


8.3.1, 8.3.2,8.3.3


* Le personnel endplacement ltrangerdoit suivre, avant sondpart, une sensibilisationspcifique aux risquesrelatifs cesdplacements.


8.2.2


** Le personnel endplacement ltrangerdoit suivre une procdureformalise permettant unegestion des matrielsinformatiques spcifiqueaux risques relatifs cesdplacements.


8.2.2

PHY-1 Scuritphysique

* Un plan dtaill des locauxdoit permettre didentifierles locaux et/ou des zonessensibles (locaux ou zonesqui contiennent desmatriels, informations ouSI sensibles) qui serontmarqus suivant leurniveau de sensibilit.

9 Scurit physique etenvironnementale

9.1.1


2 sur 6 10/04/2013 11:04


* Les locaux et/ou zonesdoivent tre protgs parles moyens recommandssuivant leur niveau desensibilit(peu sensible,sensible, trs sensible,critique).


9.1.3

PHY-2-1 Scuritphysique

*** L'intervention despersonnels et des visiteursdans les zones scurises(zone 3 et zone 4) estencadre par desprocdures suivant lesdirectives nationales.


9.1.5


*** Des moyens de protectioncontre les accs physiquesillicites sont dfinis et misen uvre pour chacunedes zones suivant lesdirectives nationales.


9.1.2


*** La procdure de sortie d'unmatriel qui est extraitd'une zone de niveausuprieur 2 doit suivreles directives nationales.


9.2.7


** Les matrielsinformatiques sontprotgs par une fixationlorsqu'il sont susceptiblesd'tre facilementemports.


9.2.1

EXP-1 Exploitation desSI

** Les procduresdexploitation dessystmes doivent tredocumentes, tenues jour et disponibles pourtous les utilisateursconcerns.

10 Gestion delexploitation et destlcommunications

10.1.1


** Les quipements dedveloppement, d'essai etdexploitation doivent trespars pour rduire lesrisques daccs ou dechangements nonautoriss dans le systmedinformation enexploitation.


10.1.4


* Lorsque tout ou partie del'exploitation des SI estconfie un tiers, Il doittre assur que lesmesures de scuritdfinies par cette politiquesont reportes dans lecontrat.


10.2.1


* L'usage d'outilspermettant d'administrer distance un systme oupermettant d'effectuer desdiagnostics techniques estrserv aux seulsadministrateurs techniquesautoriss.



* La gestion des traces del'activit des systmesinformatiques doit suivreles directives nationales


EXP-5-1 Exploitation desSI

** Les traces gnres parles systmesinformatiques doivent trecentralises et stockessur 12 mois glissants.



*** Les systmesinformatiques (serveurs,matriels actifs, etc.) sontsuperviss via les outils adhoc.



3 sur 6 10/04/2013 11:04


*** Les traces gnres parles systmesinformatiques (serveurs,postes de travail,matriels actifs, etc.) sontrgulirement analysespour dtecter d'ventuelsvnements anormaux.



* Les systmes d'acquisitionet de contrle des donnes(SCADA, SupervisoryControl And DataAcquisition) doivent tretraits comme des SI part entire en fonction deleur sensibilit.


7.1.1, 7.1.3

EXP-CNF-1 Exploitation desSI

* Le parc logiciel de lunitest gr et permetnotamment un suivi delattribution des logicielsau personnel.



** Les logiciels (OS,applications, etc.) utilisspar le personnel doiventfaire partie de la liste deslogiciels autoriss par leCSSI de l'unit.



* La configuration logicielledes matriels utiliss parle personnel doit trescurise suivant lesrecommandationsnationales spcifiques chaque type de matriel,OS, et usage.


EXP-MAT-1 Exploitation desSI

** Le parc du matrielinformatique de lunit estgr et permet notammentun suivi de lattribution deces matriels aupersonnel.



** L'utilisation du matrielinformatique est soumise une autorisationpralable



** La maintenance dumatriel informatique doitsuivre une procdureformalise permettant deprotger les informationsmanipules par cematriel.


EXP-MAT-4-1 Exploitation desSI

** La mise au rebut d'unmatriel sensible doitsuivre les directivesnationales.


EXP-RES-1 Exploitation desSI

** Un plan dtaill du rseaude lunit doit permettredidentifier les zonessensibles (segment derseau contenant des SIsensibles) qui serontmarqus suivant leurniveau de sensibilit (peusensible, sensible, trssensible, critique).



** Les zones sensibles durseau doivent treprotges par les moyensrecommands suivant leurniveau de sensibilit.



** Les dispositifs de contrledes accs au rseau et auxzones sensibles de cerseau doivent traiter defaon diffrencie lesaccs des postes de travailcontrls des accs depostes non contrls.



4 sur 6 10/04/2013 11:04


* La prise de main distance sur un poste detravail ne peut treralise que par desadministrateurs autiorisset sous le contrle del'utilisateur habituel de ceposte de travail.


AUT-1 Authentificationet contrled'accs

* Seuls les comptesindividuels (non partags)sont autoriss pourl'identification pralable l'accs aux ressourcesinformatiques (postes detravail, systmesd'information, etc.).

11 Contrle d'accs 11.1.1


* Toute action dautorisationd'accs dun utilisateur une ressource des SI,quelle soit locale ounationale, doit sinscriredans le cadre dunprocessus dautorisationformalis qui sappuie surle processus dentre et desortie du personnel.

11 Contrle d'accs 11.2.1

AUT-2-1 Authentificationet contrled'accs

*** Toute action d'autorisationd'accs d'un utilisateur une ressource des SIclasse ZRR doit tregre suivant lesdirectives nationales.

11 Contrle d'accs


* La gestion des moyensd'authentification desutilisateurs sur les SI doitse faire suivant lesrecommandationsnationales

11 Contrle d'accs


* Lorsque les moyens decontrle d'accspersonnels d'un utilisateuraux informations doiventtre rendus accessiblesaux administrateurs,l'utilisateur doit en treinform et cesinformations doiventtransmises et stockes defaon scurise.

11 Contrle d'accs


*** Le contrle d'accs aux SIclasss ZRR est grsuivant les directivesnationales.

11 Contrle d'accs

DEV-1 Dveloppementdes SI

** Tout projetinformatique/scientifiquedoit respecter lesexigences nationales enmatire de scurit desSystmes dInformation etprendre en compte lascurit ds sondmarrage.

12 Acquisition,dveloppement etmaintenance dessystmesdinformation

INC-1 Gestion desincidents

* Tout incident de scuritdoit tre gr suivant laprocdure formalise par leRSSI du CNRS(qualification, protection,alerte, etc.).

13 Gestion desincidents lis lascurit delinformation

CNT-1 Continuitd'activit

* Un plan de sauvegardeinformatique de lunit doittre formalis et mis enuvre de faon garantirla rcupration desdonnes en cas de sinistreou de panne matrielleet/ou logicielle sur lesmatriels grs par l'unit.

14 Gestion de lacontinuit delactivit

15.2.1, 15.2.2


5 sur 6 10/04/2013 11:04

Designed and powered by

CNT-2 Continuitd'activit

** Un plan de continuitd'activit doit treformalis en fonction desbesoins de l'unit en lamatire.

14 Gestion de lacontinuit delactivit

CNF-1 Conformit * Le DU est responsable del'application desprocdures lies la miseen uvre de larglementation relative autraitement automatis desdonnes caractrepersonnel raliss sur dessystmes qui sont sous laresponsabilit de l'unit.

15 Conformit 15.1.4

CNF-2 Conformit * Le DU est responsable dusuivi du bon respect desrgles en matire deprotection des donnes caractre personnel pourlensemble des traitementsdont son unit estresponsable.

15 Conformit 15.1.4

CNF-3 Conformit * Le DU s'assure de la miseen uvre de moyens deprvention visant interdire la consultation etla diffusion de messages caractre violent,pdo-pornographique oude nature porter atteinte la dignit humaine.

15 Conformit 15.1.5

CNF-4 Conformit * Le DU s'assure du respectdes droits de propritintellectuelle pour toutlogiciel, supportmultimdia (photos,fichiers audio et vido,etc.), base de donnes oudocument manipul ausein de son unit.

15 Conformit 15.1.2

CNF-5 Conformit ** Le DU doit transmettrechaque anne, via le RSSIde DR, un rapport au FSDet au RSSI du CNRSpermettant de juger duniveau dapplication desrgles de scurit des SIdans lunit.

15 Conformit

CNF-6 Conformit * Le DU doit mettre disposition de lauditinterne du CNRS, du RSSIdu CNRS, du RSSI de la DRdont il dpend toutdocument permettant dejuger du niveaudapplication des rgles descurit des SI danslunit.

15 Conformit 15.3.1


6 sur 6 10/04/2013 11:04

5-PSSI Regles - Tous Les Elements

Documents

Transcript of 5-PSSI Regles - Tous Les Elements