3-2-Politique de Sauvegarde V1.0 [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

Politique de Sécurité de l’Information du Groupe Sonelgaz

Politique spécifique liée à la sauvegarde

V 1.0 Juin 2018

Page 2 / 9 Version 1.0

Politique spécifique liée à la sauvegarde

20/06/2018

Suivi du document Descriptif du document Titre

Date

Politique spécifique liée à la sauvegarde

Statut du Document

20/06/2018 Elaborée et validée

Historique Version V1.0

Date Juin 2018

Statut Validé

Nature de modification Version initiale

Auteur Direction Sécurité des SI

Liste de diffusion Destinataires

Fonction

ELIT

Administrateurs

RSI

Responsables l’Information

Société ELIT Sécurité

de Sociétés Sonelgaz

du

Groupe

2 Confidentiel Ce document ne peut être copié ou reproduit sans accord écrit formel

Page 3 / 9

Politique spécifique liée à la sauvegarde

Version 1.0 20/06/2018

1. Table des matières Préambule ................................................................................................................................. 4 1.

Définition d'une politique de sauvegarde ..................................................................... 4

2.

Domaine d’application ................................................................................................... 4

3.

Objectif de la politique de sauvegarde.......................................................................... 4

4.

Définition ......................................................................................................................... 4

5.

Exigences d'une politique de sauvegarde ..................................................................... 5 5.1 Sauvegarde et archivage.............................................................................................. 5 5.2. Supports de sauvegarde .............................................................................................. 7

Annexe A ................................................................................................................................... 9

3 Confidentiel Ce document ne peut être copié ou reproduit sans accord écrit formel

Page 4 / 9

Politique spécifique liée à la sauvegarde

Version 1.0 20/06/2018

Préambule De nos jours, les dangers qui menacent l’information sont multiples. Il y a les risques liés au matériel sur lequel sont stockées les informations et les risques liés directement à celles-ci. En effet, qui n’a jamais fait une erreur de manipulation comme supprimer un fichier ? Qui n’a jamais été victime d’un virus informatique ? Quel que soit la qualité des moyens de défense mis en œuvre (physique ou logique), l’information peut être altérée, indisponible, etc. sciemment ou accidentellement. Pour assurer l’intégrité et la disponibilité permanente des informations, la sauvegarde est l’une des solutions à prendre en considération. La sauvegarde est une opération, qui consiste à dupliquer et à stocker en toute sécurité les informations traitées par le système d’information. C'est un réflexe incontournable des bonnes pratiques, pour mieux la gérer, il convient par conséquent de définir une politique de sauvegarde.

1. Définition d'une politique de sauvegarde Une politique de sauvegarde permet de définir les exigences de l’entreprise en matière de sauvegarde des données, fichiers, applications, machines virtuelles, etc. Elle prévoit aussi la conservation et la protection des sauvegardes.

2. Domaine d’application Cette politique concerne tous les systèmes en production et leurs responsables

3. Objectif de la politique de sauvegarde La politique de sauvegarde a pour objectif de définir les exigences à mettre en place afin que les informations de l'entreprise soient non seulement sauvegardées mais aussi disponibles et intègres, dans le cas où un incident surviendrait, et cela en : • Définissant les exigences de l’organisation en matière de sauvegarde de l’information, des logiciels et des systèmes, et la règlementation en vigueur. • Définissant les exigences en matière de conservation et de protection des copies de sauvegarde. • Prévoyant des équipements de sauvegarde adéquats pour s’assurer que toute l’information et tous les logiciels essentiels peuvent être récupérés en cas de sinistre ou de défaillance d’un support

4. Définition Les termes utilisés dans cette politique sont définis à l'annexe A.

4 Confidentiel Ce document ne peut être copié ou reproduit sans accord écrit formel

Page 5 / 9

Politique spécifique liée à la sauvegarde

Version 1.0 20/06/2018

5. Exigences d'une politique de sauvegarde La politique de sauvegarde prend en compte les exigences suivantes :

5.1 Sauvegarde et archivage 5.1.1 Stratégie de sauvegarde Les méthodes de sauvegarde (complète, différentielle, incrémentale) et leur fréquence doivent être identifiées en prenant en compte les exigences métier de l’organisation, les exigences relatives à la sécurité de l’information concernée, et du caractère critique de l’information pour le maintien de l’activité de l’organisation.

5.1.2 Fréquence des sauvegardes Les données doivent être sauvegardées selon une fréquence conforme aux exigences exprimées par les métiers et à défaut quotidiennement.

5.1.3 Durée de conservation de la donnée Chaque donnée sauvegardée de l’entreprise a une durée de conservation définie dans la législation légale. À cet effet la société doit établir la durée de conservation des enregistrements conformément aux lois et en fonction de la finalité de chaque donnée.

5.1.4 Plan de sauvegarde Un plan de sauvegarde doit être défini pour toutes les données du SI et doit : - Préciser la fréquence et l’étendue de sauvegarde nécessaire ; - Assurer la sécurité des informations sauvegardées ; - Répondre aux exigences de continuité de PCA / PRA (DMIA et PDMA) ; - Préciser les contraintes légales, réglementaires ou contractuelles.

5.1.5 Equipements de sauvegarde La société doit avoir les équipements de sauvegarde adéquats pour s’assurer que toutes les informations et tous les logiciels essentiels peuvent être récupérés en cas de sinistre ou défaillance d’un support.

5.1.6 Procédure de sauvegarde et de restauration L'administrateur de la sauvegarde doit élaborer, mettre en place et mettre à jour la procédure de sauvegarde et de restauration conformément à la politique de sauvegarde.

5.1.7 Stockage des sauvegardes Les supports de sauvegardes contenant de l’information confidentielle doivent être stockés d’une façon sûre et sécurisée en respectant la durée légale de conservation.

5 Confidentiel Ce document ne peut être copié ou reproduit sans accord écrit formel

Page 6 / 9

Politique spécifique liée à la sauvegarde

Version 1.0 20/06/2018

Le lieu de stockage de ces supports doit se environnemental approprié.

doter d’un niveau de protection physique et

5.1.8 Protection des sauvegardes Les sauvegardes doivent être protégées contre la perte, la destruction et la falsification des accès non autorisés et des diffusions non autorisées.

5.1.9 Tests de restauration des sauvegardes et des archives Les sauvegardes et les archives doivent être testées périodiquement pour s'assurer qu'en cas d'incident, la donnée est récupérable. Ces tests doivent être effectués au minimum deux fois par an pour les données sensibles. Des registres de test doivent être tenus régulièrement à jour par les personnes chargées de test des copies de sauvegarde et doivent comporter au minimum les informations suivantes : -

La date et l’heure de test de l'opération de restauration de sauvegarde. Les observations éventuelles sur le déroulement du test. Le nom et la signature de la personne qui a assuré le test de restauration. Le nom de la bande/support utilisé pour la restauration. Intitulé du serveur Adresse IP Nom de l’hôte Objet Code procédure

5.1.10 Restauration des sauvegardes et des archives Toute demande de restauration de données sauvegardées ou archivées doit faire l’objet d’une demande écrite et validée par le responsable de sauvegarde et doit être enregistrée et tracée. Des registres de restauration des sauvegardes et des archives doivent être tenus régulièrement à jour par les personnes chargées des opérations de restauration et doivent comporter au minimum les informations suivantes : -

La date et l’heure de l'opération de restauration de sauvegarde. Les observations éventuelles sur le déroulement de la restauration. Le nom et la signature de la personne qui a assuré la restauration. Le nom de la bande/support utilisé pour la restauration. Intitulé du serveur Adresse IP Nom de l’hôte Objet Code procédure

6 Confidentiel Ce document ne peut être copié ou reproduit sans accord écrit formel

Page 7 / 9

Politique spécifique liée à la sauvegarde

Version 1.0 20/06/2018

5.1.11 Chiffrement des données sensibles Dans les situations où la donnée a été évaluée confidentielle, les données sauvegardées ou archivées doivent être chiffrées.

5.2. Supports de sauvegarde 5.2.1 Types du support de sauvegarde Les types de support de sauvegarde utilisés doivent offrir une grande capacité et une longévité importante.

5.2.2 Étiquetage des supports de sauvegarde Les supports de sauvegarde doivent porter des étiquettes appropriées et doivent obligatoirement contenir la date, l'heure et le contenu de la sauvegarde d'une façon lisible et compréhensible.

5.2.3 Réutilisation des supports Les supports doivent être formatés avant leur réutilisation.

5.2.4 Mise au rebut des supports Les supports de sauvegarde qui ne servent plus doivent procéder à une mise au rebut sécurisée par incinération ou destruction physique pour réduire au minimum le risque de fuite d’informations confidentielles.

5.2.5 Stockage de supports de sauvegarde Les supports de sauvegarde et d’archivage doivent être stockés dans des conditions de sécurité de nature à garantir l’intégrité, la confidentialité des données et la traçabilité des supports physiques. Il y a deux types de stockage : a- Stockage interne Les sauvegardes et les archives doivent être mises en sécurité dans un lieu interne à l'entreprise et ne doivent pas être mises dans des endroits personnels (bureau, cartable, tiroir,...). Le lieu de stockage doit être sécurisé et doit résister aux incendies et aux dégâts des eaux tout en veillant que seules les personnes habilitées peuvent y accéder. b- Stockage externe : Externalisation des données sauvegardées ou archivées Les sauvegardes et les archives doivent être mises en sécurité dans un lieu externe à l’entreprise (banque ou site éloigné). Le site distant doit être géographiquement loin de l'entreprise, bien sécurisé et hors zone des risques naturels (séisme, glissement de terrain, feux de forêt, tempête, inondations...etc.) et ne doit être à proximité de aucun site dangereux tels que les usines de fabrication de produits chimique.

7 Confidentiel Ce document ne peut être copié ou reproduit sans accord écrit formel

Page 8 / 9

Politique spécifique liée à la sauvegarde

Version 1.0 20/06/2018

5.2.6 Transfert physique des supports de sauvegarde ou d’archivage Les supports de sauvegardes ou d’archivages contenant de l’information doivent être protégés contre les accès non autorisés, l’utilisation frauduleuse ou l’altération lors du transport. A ce fait, il faut prendre en compte les directives suivantes: • • • •

Le transporteur ou le coursier employé doit être fiable ; La liste des coursiers autorisés doit être établie en accord avec la Direction Générale; Le contrôle de l’identification des coursiers doivent être mise au point ; L’emballage choisi doit être suffisant pour protéger son contenu de tout dommage physique susceptible de survenir lors du transit et qu’il soit conforme aux spécifications du fabricant ; • Les journaux identifiant le contenu du support, la protection appliquée, ainsi que les dates et heures de remise aux responsables du transport et de réception par le destinataire doivent être conservés.

8 Confidentiel Ce document ne peut être copié ou reproduit sans accord écrit formel

Page 9 / 9

Politique spécifique liée à la sauvegarde

Version 1.0 20/06/2018

Annexe A Lexique : Sauvegarde complète : Cette méthode permet de copier toutes les données indépendamment des modifications depuis la précédente sauvegarde. Sauvegarde différentielle : La sauvegarde différentielle effectue une copie des fichiers créés ou modifiés depuis la dernière sauvegarde complète, quelles que soient les sauvegardes intermédiaires Sauvegarde incrémentale : Cette méthode permet de conserver toutes les modifications depuis la dernière sauvegarde quel que soit son type (complète ou incrémentale). Ce qui signifie que la préservation des données est effectuée depuis les sauvegardes incrémentales précédentes.

9 Confidentiel Ce document ne peut être copié ou reproduit sans accord écrit formel