Fadhel GHAJATI
Lead Auditor 27001
Risk Manager ISO 27005
fadhel.ghajati@ansi.tn
Tunisian Computer Emergency Response Team
...
Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
2
• Présent...
Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
3
• Présent...
Tunisian Computer Emergency Response Team
4
Lancement d’une unité, spécialisée dans la sécurité des SI
(Secrétariat d’état...
L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes
publics et ...
Décret 1249 du 25 Mai 2004
fixant les conditions et les procédures de certification des experts dans le domaine de la
sécu...
Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
7
• Présent...
8
Tunisian Computer Emergency Response Team
Faux sentiment
de propriété
Méconnaissance des
obligations nées du
contrat de ...
Création
Gestion
Utilisation
Archivage
Sécurité
Classification de données
9
Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
10
• Présen...
Données: définitions
Ce qui est connu ou admis comme tel, sur lequel on peut fonder un
raisonnement, qui sert de point de ...
données personnelles : tenant à la personne
données privées : tenant au respect de la vie privée
données professionnelles ...
Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
13
• Présen...
SECURITE SantéIndustrie
La classification de données est une problématique répandue dans le monde scientifique,
car elle e...
Généralement, trois niveaux de sécurité existent : C’est au « classifieur » de décider le
niveau de sécurité qui s’appliqu...
16Tunisian Computer Emergency Response Team
PaysClasse Très secret Secret Confidentiel Restreint
Afrique du Sud Top Secret...
Ordonnance concernant la protection des informations de la Confédération Suisse
Secret Confidentiel Interne
Les informatio...
18
le droit français ne protège pas tant contre l’appréhension de l’information (sous
réserve des articles 323-1 et suivan...
19Tunisian Computer Emergency Response Team
Classification (6/8)
En Tunisie la protection des données est régie par:
La lo...
A.8.2.1 Classification des informations
Mesure
Les informations doivent être classifiées en termes d’exigences légales, de...
FIPS PUB 199
Le format généralisé pour exprimer la catégorie de sécurité est :
SC Information = {(confidentialité, impact)...
Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
22
• Présen...
IMPACT POTENTIEL
Objectif de sécurité FAIBLE MOYEN ELEVE
Confidentialité
La divulgation non autorisée
d'informations pourr...
Criticité des
données
Classe de
données
1
CA
2
3
CB4
6
8
CC9
12
18
CD
27
Modèle Tunisien (Draft)
Tunisian Computer Emergen...
Criticité
des
données
Classe de
données
Confidentialté Intégrité Disponibilité
Impact Exemple Impact Outil d'échange
Temps...
Criticité
des
données
Classe
de
données
Impact sur la
population
Impact Economique
Impact de
l'interdependance
Périmiètre ...
27Tunisian Computer Emergency Response Team
Modèle Tunisien (Draft)
[Traitement de données]
 L’accès aux données,
 Le cy...
Données
Backup
Logs
Utilisation
Collaborateur
Introduction
Modification
Destruction
Le cycle de vie des données
28Tunisian...
Logs
Tiers
Communication Transmission
Station de travail
Supports
L’échange de données
29Tunisian Computer Emergency Respo...
Tunisian Computer Emergency Response Team
Criticité de données Classe de données Echange
1
CA Protéger l’accès au document...
Données
Demande d’accès
 Assurer que les personnes
concernées puissent faire
valoir leur droit.
 Assurer la reproductibi...
La classification de données La protection de données
La politique de protection de l’information a besoin de tous pour s’...
Merci pour votre attention
33
Share your knowledge. It is a way to achieve immortality
Prochain SlideShare
Chargement dans…5
×

La protection de données, La classification un premier pas

1 389 vues

Publié le

La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 389
Sur SlideShare
0
Issues des intégrations
0
Intégrations
11
Actions
Partages
0
Téléchargements
43
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Les organismes génèrent, managent et utilisent de nombreux types de données distincts et sous nombreuses formes dans le cadre de leurs opérations. Cependant, ces informations n’ont pas toutes la même valeur et requièrent donc des niveaux de protection différents.
    Une saine gestion de la sécurité de l’information doit donc s’instaurer sur l’ensemble des processus d’acquisition, de création, d’utilisation, d’archivage et de disposition des données, tout en n’oubliant pas de tenir compte des facteurs humains et de l’évolution des nouvelles technologies.
    En catégorisant et en classifiant les différents types et niveaux de sécurité de ces informations, l’organisme sera habile à établir une taxonomie appropriée de ces informations et d’édifier des stratégies basées sur des besoins de sécurité précis.
    Dans ce contexte, on présente une étude sur la classification de données, les différentes démarches au niveau international et une proposition pour la classification de données au niveau national tunisien.
  • La protection de données, La classification un premier pas

    1. 1. Fadhel GHAJATI Lead Auditor 27001 Risk Manager ISO 27005 fadhel.ghajati@ansi.tn Tunisian Computer Emergency Response Team La protection de données: La classification un premier pas 25 Février 2015
    2. 2. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 2 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
    3. 3. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 3 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
    4. 4. Tunisian Computer Emergency Response Team 4 Lancement d’une unité, spécialisée dans la sécurité des SI (Secrétariat d’état à l’informatique) 1999 Considération du rôle de la sécurité des SI comme pilier de la « Société d’Information : Mise en place d’une stratégie : priorités, volume des actions, logistique nécessaire 2002 Décision du conseil ministériel restreint (CMR): Créer une Agence Nationale : Obligation d’audit et création d’un corps d’auditeurs certifiés en sécurité des SI. 2003 Promulgation d’une Loi “originale” sur la sécurité des SI (Loi N° 5-2004, Fév. 2004 et ses 3 décrets associés) 2004 Lancement du CERT-TCC (Computer Emergency Response Team / Tunisian Coordination Center) 2005 Historique
    5. 5. L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés, elle est chargée des missions suivantes: Missions Tunisian Computer Emergency Response Team Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine Assurer la veille technologique dans le domaine de la sécurité informatique Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux 5
    6. 6. Décret 1249 du 25 Mai 2004 fixant les conditions et les procédures de certification des experts dans le domaine de la sécurité informatique. Cadre réglementaire Tunisian Computer Emergency Response Team 6 Loi n° 5 - 2004 du 3 février 2004 relative à la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux. Décret 1250 du 25 Mai 2004 fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit. Circulaire n° 19 - du 11 avril 2007 relatif au renforcement des mesures de sécurité informatique dans les établissements publiques (Création d'une Cellule Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI ; et mise en place d'un Comité de pilotage).
    7. 7. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 7 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
    8. 8. 8 Tunisian Computer Emergency Response Team Faux sentiment de propriété Méconnaissance des obligations nées du contrat de travail ou de prestation de service Contrôle de l’application des règles d’utilisation du SI Déficit de sensibilisation ou complexité de la politique de protection et de classification de l’information « Vol de données » par un Utilisateur Quelle est la portée et le contenu de l’obligation de loyauté ? Quelles sont les clauses importantes des contrats d’externalisation ? … Comment la Charte peut- elle protéger l’entreprise ? Quelles sont les dispositions à prévoir ? … Quel périmètre pour la politique de protection de données? … Quel est le statut juridique de l’information ? Toutes les informations présentes sur le SI sont- elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? …
    9. 9. Création Gestion Utilisation Archivage Sécurité Classification de données 9
    10. 10. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 10 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
    11. 11. Données: définitions Ce qui est connu ou admis comme tel, sur lequel on peut fonder un raisonnement, qui sert de point de départ pour une recherche, Représentation conventionnelle d'une information en vue de son traitement informatique. Une Donnée au sens statistique est destinée à être étudiée dans le cadre de l'analyse des données. Une Donnée au sens informatique est destinée à faire l'objet d'un traitement de données. Une Donnée à caractère personnel pouvant bénéficier d'une certaine protection dans le cadre de la Protection de la vie privée ou du droit à l'image. Dictionnaire 11
    12. 12. données personnelles : tenant à la personne données privées : tenant au respect de la vie privée données professionnelles : à finalité professionnelle données publiques : définies par la loi 12 Données: définitions Tunisian Computer Emergency Response Team
    13. 13. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 13 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
    14. 14. SECURITE SantéIndustrie La classification de données est une problématique répandue dans le monde scientifique, car elle est à l’origine de nombreuses applications. 14Tunisian Computer Emergency Response Team Gouvernement Finances Classification (1/8)
    15. 15. Généralement, trois niveaux de sécurité existent : C’est au « classifieur » de décider le niveau de sécurité qui s’applique à chaque document ou n’importe quelle autre forme d’information qui existe dans la base de données. interne secretconfidentiel 15Tunisian Computer Emergency Response Team Classification (2/8)
    16. 16. 16Tunisian Computer Emergency Response Team PaysClasse Très secret Secret Confidentiel Restreint Afrique du Sud Top Secret Secret Confidential Restricted USA Top Secret Secret Confidential Belgique Très secret Secret Confidentiel Diffusion Restreinte France Très secret Défense Secret Défense Confidentiel Défense Diffusion restreinte Italie Segretissimo Segreto Riservatissimo Riservato Suisse Secret Secret Confidentiel Interne Source: http://cryptome.info/appf.pdf Classification (3/8)
    17. 17. Ordonnance concernant la protection des informations de la Confédération Suisse Secret Confidentiel Interne Les informations dont la prise de connaissance par des personnes non autorisées peut porter un grave préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut: a. compromettre gravement la liberté d’action de l’Assemblée fédérale ou du Conseil fédéral; b. compromettre gravement la sécurité de la population; c. compromettre gravement l’approvisionnement économique du pays ou la sécurité d’installations de conduite et d’infrastructures d’intérêt national; d. compromettre gravement l’accomplissement de la mission de l’administration fédérale, de l’armée ou de parties essentielles de celle-ci; e. compromettre gravement les intérêts en matière de politique extérieure ou les relations internationales de la Suisse; f. compromettre gravement soit la protection des sources ou des personnes, soit le maintien du secret quant aux moyens et aux méthodes opératifs des services de renseignements. les informations dont la prise de connaissance par des personnes non autorisées peut porter préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut : a. porter atteinte à la libre formation de l’opinion et de la volonté de l’Assemblée fédérale ou du Conseil fédéral; b. porter atteinte à la mise en œuvre conforme de mesures concrètes décidées par une autorité; c. porter atteinte à la sécurité de la population; d. porter atteinte à l’approvisionnement économique du pays ou à la sécurité d’infrastructures importantes; e. porter atteinte à l’accomplissement de la mission de parties de l’administration fédérale ou de l’armée; f. porter atteinte aux intérêts de la Suisse en matière de politique de sécurité ou aux relations internationales de la Suisse; g. porter atteinte aux relations entre la confédération et les cantons ou aux relations entre les cantons; h. porter atteinte aux intérêts de la Suisse en matière économique, monétaire et de politique monétaire. les informations: a. dont la prise de connaissance par des personnes non autorisées peut porter atteinte aux intérêts du pays; et b. qui ne doivent être classifiées ni «SECRET» ni «CONFIDENTIE L». 17 Classification (4/8)
    18. 18. 18 le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles 323-1 et suivants du Code Pénal), la protège plus efficacement contre sa divulgation : Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code pénal) : vise les « données informatisées ou fichiers » Protection par le secret : secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900) secret professionnel (articles 226-13 et 226-14 du Code pénal) secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002) Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968 Tunisian Computer Emergency Response Team Classification (5/8)
    19. 19. 19Tunisian Computer Emergency Response Team Classification (6/8) En Tunisie la protection des données est régie par: La loi organique - 63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel
    20. 20. A.8.2.1 Classification des informations Mesure Les informations doivent être classifiées en termes d’exigences légales, de valeur, de caractère critique et de sensibilité au regard d’une divulgation ou modification non autorisée. A.8.2.2 Marquage des informations Mesure Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l’organisation. ISO 27001 version 2013 1. la divulgation ne cause aucun dommage, 2. la divulgation provoque un dommage mineur, 3. la divulgation a un impact significatif à court terme sur les opérations ou les objectifs tactiques, 4. la divulgation a un grave impact sur les objectifs stratégiques à long terme ou met la survie de l'organisation à risque. Exemple 20 Classification (7/8)
    21. 21. FIPS PUB 199 Le format généralisé pour exprimer la catégorie de sécurité est : SC Information = {(confidentialité, impact), (Intégrité, impact), (Disponibilité, impact)}, Avec l’impact potentiel est : Faible, Modéré, Elevé, Non Applicable L’impact potentiel est faible si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif limité pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. L’impact potentiel est modéré si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif sérieux pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. L’impact potentiel est élevé si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif catastrophique pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. Tunisian Computer Emergency Response Team 21 Classification (8/8)
    22. 22. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 22 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
    23. 23. IMPACT POTENTIEL Objectif de sécurité FAIBLE MOYEN ELEVE Confidentialité La divulgation non autorisée d'informations pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 1 La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 2 La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 3 Intégrité La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 1 La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_I = 2 La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 3 Disponibilité L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 1 L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_D = 3 L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 3 23 Modèle Tunisien (Draft)
    24. 24. Criticité des données Classe de données 1 CA 2 3 CB4 6 8 CC9 12 18 CD 27 Modèle Tunisien (Draft) Tunisian Computer Emergency Response Team Soient C,I,D tableaux C[i] : valeur de l’impact de confidentialité I[j] : valeur de l’impact de l’intégrité D[k] : Valeur de l’impact de disponibilité SC : la valeur de la corrélation {C,I,D} Classe_D : La classe de donnée Pour i,j,k de 1 à 3 Calculer SC= C[i]*I[j]*D[k] Si SC = 1||2 alors Classe_D = CA Si SC = 3||4||6 alors Classe_D = CB Si SC=8||9||12 alors Classe_D = CC Si SC= 18 ||27 alors Classe_D = CD 24
    25. 25. Criticité des données Classe de données Confidentialté Intégrité Disponibilité Impact Exemple Impact Outil d'échange Temps d’arrêt par an 1 CA La divulgation pourrait être parfois défavorable aux intérêts de l’organisation ou du groupe autorisé. Guide utilisateur, certains numéros directs de téléphone, procédure de fonctionnement. La modification ou la destruction non autorisée de renseignements pourraient parfois avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Pas de contraintes sur l’utilisation ou la transmission. 1 mois 2 3 semaines 3 CB La divulgation pourrait être défavorable aux intérêts de l’organisation ou du groupe autorisé. Documentation ou schéma de réseau interne, programme source. La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. contraintes minimalessur l’utilisation ou la transmission. 18 jours 4 2 Semaines 6 1 semaine 8 CC La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus. Secret bancaire, données à caractères personnelles sensibles (santé), incidents de sécurité. La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Limitation des droits d’accès. ½ semaine 9 1 jour 12 ½ jour 18 CD La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus. Information classifiée par la loi, mot de passe La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Utilisation de la signature, coffre fort. 1 heure 27 30 min 25 Modèle Tunisien (Draft)
    26. 26. Criticité des données Classe de données Impact sur la population Impact Economique Impact de l'interdependance Périmiètre affecté 1 CA Impact mineur (i.e <10) Impact mineur (i.e <10 M) Impact mineur Local 2 3 CB Impact modéré (i.e 10-100) Impact modéré (i.e 10 M - 100 M) Impact modéré (Perturbation) périmètre étendu ou d'autres sécteurs (partiellement affecté) 4 6 8 CC Impact significatif (i.e 100-500) Impact significatif (i.e 100 M - 500 M) impact signaficatif périmètre national ou un secteur (totalement affecté) 9 12 18 CD Impact grave (i.e >500) Impact grave (i.e > 500 M) impact grave et affaiblissant périmètre international ou plusieurs secteurs (totalement affecté) 27 26 Modèle Tunisien (Draft)
    27. 27. 27Tunisian Computer Emergency Response Team Modèle Tunisien (Draft) [Traitement de données]  L’accès aux données,  Le cycle de vie de données,  L’échange de données,  Le droit d’accès.  La sécurité des locaux,  La sécurité des serveurs (l’emplacement des données le cas échéant),  La sécurité des workspaces,  L’identification et l’authentification des utilisateurs,  La sécurité d’accès aux données des utilisateurs,  La gestion des accès à distance. L’accès aux données Processus
    28. 28. Données Backup Logs Utilisation Collaborateur Introduction Modification Destruction Le cycle de vie des données 28Tunisian Computer Emergency Response Team  La gestion de l’introduction des données dans le système,  La surveillance des traitements sur les données (journalisation),  Le chiffrement des données,  La sécurité des différents supports de données,  La sauvegarde les données,  La destruction de manière définitive les données,  La gestion de sous-traitance de projets,  La gestion de la sécurité de l’information et la protection des données. Modèle Tunisien (Draft) [Traitement de données]
    29. 29. Logs Tiers Communication Transmission Station de travail Supports L’échange de données 29Tunisian Computer Emergency Response Team  Chiffrer un message à envoyer à un tiers distant,  Signer un message à envoyer à un tiers distant,  La transmission des supports mobiles de manière sécurisée,  La trace des différentes communications. Modèle Tunisien (Draft) [Traitement de données]
    30. 30. Tunisian Computer Emergency Response Team Criticité de données Classe de données Echange 1 CA Protéger l’accès au document 2 3 CB Protéger + Chiffrer le document4 6 8 CC Protéger, chiffrer + Journaliser le traitement9 12 18 CD Protéger Chiffrer Journaliser Numéroter27 30 Modèle Tunisien (Draft) [Traitement de données]
    31. 31. Données Demande d’accès  Assurer que les personnes concernées puissent faire valoir leur droit.  Assurer la reproductibilité des procédures d’exécution du droit d’accès. Tunisian Computer Emergency Response Team 31 Le droit d’accès Modèle Tunisien (Draft) [Traitement de données]
    32. 32. La classification de données La protection de données La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information. La confiance n’exclut pas le contrôle. Tunisian Computer Emergency Response Team 32 Politique de classification et de gestion de l’information facteur clé de succès La mise en place d’un système de gestion de sécurité de l’information Conclusion
    33. 33. Merci pour votre attention 33 Share your knowledge. It is a way to achieve immortality

    ×