Baselines obligatoires de Sécurité

2010/06/10 par ITSRM

Une « Baseline de Sécurité » définit un ensemble d’objectifs basiques de sécurité qui doivent être atteints par tout service ou système. Les objectifs sont choisis de manière à être pragmatiques et complets, et n’imposent pas de moyens techniques. Par conséquent, les détails sur comment ces objectifs de sécurité sont réalisés par un service/système particulier doivent être documentés dans un « Document sur l’implémentation de la sécurité » (« Security Implementation Document ») séparé. Ces détails dépendent de l’environnement opérationnel dans lequel le service/système est déployé, et peuvent donc utiliser et appliquer toute mesure de sécurité appropriée. Les dérogations de la « baseline » sont possibles et expectées, et doivent être explicitement indiquées.

Au CERN, pour chaque service/système utilisé en production, un tel “Document sur l’implémentation de la sécurité” doit être fourni par le propriétaire du système/service, et accepté et approuvé par le Responsable de la Sécurité Informatique (Computer Security Officer).

Tous les systèmes/services doivent être implémentés et déployés en accord avec le “Document sur l’implémentation de la sécurité” correspondant. La non-conformité impliquera finalement une connectivité réduite au réseau pour les services et systèmes concernés (c.-à-d. fermeture des ouvertures du firewall du CERN, rupture d’accès aux autres domaines du réseau, et/ou déconnexion du réseau du CERN).

Baselines de sécurité : documents

(Ces documents sont seulement disponibles en anglais.)

• Security Baseline for Hardened PCs and Laptops
  (EDMS 1593100)
• Security Baseline for Servers, PCs and Laptops used in a CERN Production Environment
  (EDMS 1062500)
• Security Baseline for File Hosting Services used in a CERN Production Environment
  (EDMS 1062503)
• Security Baseline for Web Hosting Services used in a CERN Production Environment
  (EDMS 1062502)
• Security Baseline for Industrial Embedded Devices used in a CERN Production Environment
  (EDMS 1139163)

Vous trouverez le modèle pour le « Document sur l’implémentation de la sécurité » ici : EDMS 1062504.

Règles informatiques du CERN

• Circulaire opérationelle Nº5
• But de OC5
• Utilisation à des fins personnelles
• Non-respect des règles

OC5 règles subsidiaires & bonnes pratiques

• Accès par des tiers aux comptes et données des utilisateurs
• Baselines de sécurité
• Comptes informatiques d'utilisateur
• Effacer des donnes correctement
• Politique de conservation des données
• Politique de traitement des données
• Ouvertures dans le pare-feu de périmètre extérieur
• Protection des fichiers sur AFS, DFS et EOS
• Utilisation des caméras web
• Utilisation du réseau CERN
• Utilisation des réseaux sociaux
• Utilisation des services de fichiers
• Utilisation des services de messagerie électronique
• Utilisation des services Windows

Restrictions concernant les logiciels

• Générateurs OTP
• TeamViewer
• VPN et autres réseaux superposés

Autres informations utiles

• Bureau de la protection des données personnelles
• Licenses pour les logiciels développé par le CERN
• Open Hardware Repository

© Copyright 2024 CERN Computer Security Team

e-mail: Computer.Security@cern.ch Utilisez la clé PGP suivante pour encrypter vos messages : ID: 0x954CE234B4C6ED84 429D 6046 0EBE 8006 B04C DF02 954C E234 B4C6 ED84

Téléphone: +41 22 767 0500 (Écoutez les instructions enregistrées.)