Baselines obligatoires de Sécurité
2010/06/10 par ITSRMUne « Baseline de Sécurité » définit un ensemble d’objectifs basiques de sécurité qui doivent être atteints par tout service ou système. Les objectifs sont choisis de manière à être pragmatiques et complets, et n’imposent pas de moyens techniques. Par conséquent, les détails sur comment ces objectifs de sécurité sont réalisés par un service/système particulier doivent être documentés dans un « Document sur l’implémentation de la sécurité » (« Security Implementation Document ») séparé. Ces détails dépendent de l’environnement opérationnel dans lequel le service/système est déployé, et peuvent donc utiliser et appliquer toute mesure de sécurité appropriée. Les dérogations de la « baseline » sont possibles et expectées, et doivent être explicitement indiquées.
Au CERN, pour chaque service/système utilisé en production, un tel “Document sur l’implémentation de la sécurité” doit être fourni par le propriétaire du système/service, et accepté et approuvé par le Responsable de la Sécurité Informatique (Computer Security Officer).
Tous les systèmes/services doivent être implémentés et déployés en accord avec le “Document sur l’implémentation de la sécurité” correspondant. La non-conformité impliquera finalement une connectivité réduite au réseau pour les services et systèmes concernés (c.-à-d. fermeture des ouvertures du firewall du CERN, rupture d’accès aux autres domaines du réseau, et/ou déconnexion du réseau du CERN).
Baselines de sécurité : documents
(Ces documents sont seulement disponibles en anglais.)
- Security Baseline for Hardened PCs and Laptops
(EDMS 1593100) - Security Baseline for Servers, PCs and Laptops used in a CERN Production Environment
(EDMS 1062500) - Security Baseline for File Hosting Services used in a CERN Production Environment
(EDMS 1062503) - Security Baseline for Web Hosting Services used in a CERN Production Environment
(EDMS 1062502) - Security Baseline for Industrial Embedded Devices used in a CERN Production Environment
(EDMS 1139163)
Vous trouverez le modèle pour le « Document sur l’implémentation de la sécurité » ici : EDMS 1062504.