Règlement concernant la protection des applications et des systèmes informatiques ... (B 1 15.01)
CH - GE

Règlement concernant la protection des applications et des systèmes informatiques dans l’administration cantonale

arrête : Chapitre I But et champ d’application
Art. 1 But
1 Lors de la planification, de la réalisation et de l’exploitation d’applications et de systèmes informatiques (ci-après : systèmes) dans l’administration cantonale, il faut s’assurer que ces applications et ces systèmes sont protégés contre les risques qui menacent leur disponibilité, leur intégrité et leur confidentialité.
2 Tous les domaines du traitement des données doivent être protégés, notamment : a) les lieux (immeubles, locaux, transport de supports de données); b) les systèmes (matériels, logiciels, logistique); c) l’utilisation des systèmes (exploitation, applications); d) les communications (transport de données par câbles, réseaux télématiques et téléphoniques); e) les données personnelles (protection des données); f) les données; g) la documentation.
Art. 2 Champ d’application
1 Le présent règlement s’applique à tous les offices et services des départements et de la chancellerie d’Etat (ci-après : maîtres d’ouvrage), selon le règlement sur l’organisation de l’administration cantonale, du 7 décembre 2009. Les mesures générales de sécurité énoncées au chapitre II définissent les exigences fondamentales.
2 En cas de nécessité, les offices et services des départements et de la chancellerie d’Etat peuvent édicter des exigences plus élevées en matière de sécurité.
3 Seules les mesures générales de sécurité s’appliquent à l’Université de Genève, aux Hôpitaux universitaires de Genève, à l’Hospice général notamment. Ces entités administratives sont responsables, dans leur domaine respectif, de préparer, d’ordonner, de réaliser et de contrôler les mesures de sécurité. Chapitre II Mesures générales de sécurité
Art. 3 Evaluation des risques
1 Tout système fait l’objet d’une évaluation des risques dans le but de définir et mettre en œuvre des mesures de prévention et de protection adéquates.
2 L’évaluation est effectuée par les maîtres d’ouvrage, en collaboration avec les organes compétents définis à l’article 5.
3 L’évaluation des risques se fonde sur les critères suivants : a) la nécessité de protéger les données (protection des données personnelles, classification, valeur de reconstitution); b) la grandeur du système; c) la valeur du système; d) la durée admissible d’une panne; e) la probabilité du risque.
Art. 4 Mesures de sécurité
1 Les mesures de sécurité doivent garantir que : a) les systèmes sont protégés contre les risques qui menacent leur disponibilité, leur intégrité et leur confidentialité; b) seules les personnes autorisées ont accès aux systèmes, aux réseaux, aux données, aux archives des supports de données et aux programmes; c) les données sont protégées contre les écoutes « illégales », les risques de piratage et les accès non autorisés lors des transmissions et des transports; d) les données et les programmes sont protégés contre les falsifications, les pertes et les enregistrements à distance non autorisés; e) les systèmes sont protégés contre les pannes en fonction de la nécessité qu’il y a de les préserver. Des solutions de substitution et de rechange doivent être prévues en cas de catastrophe.
2 Les maîtres d’ouvrage désignent les personnes qui ont l’autorisation d’accéder aux applications ou aux données. Les systèmes doivent être tout particulièrement protégés contre les accès incorrects ou illicites. Des mesures adéquates sont prises pour contrôler les accès aux locaux dans lesquels se trouvent les systèmes et les supports de données.
3 Les dispositions prévues par la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 (4) , sont réservées. Chapitre III Application
Art. 5 Organes compétents
1 Un comité « sécurité informatique » (ci-après : comité « sécurité »), est chargé notamment de définir la politique générale en matière de sécurité des systèmes et applications informatiques. Dans ce but, il élabore et tient à jour les directives qui définissent d’une part les tâches respectives des maîtres d’ouvrage et des maîtres d’œuvre et d’autre part les mesures de protection et de prévention à mettre en œuvre. Ce comité est placé sous la responsabilité du collège des secrétaires généraux qui en désigne les membres. Ceux-ci sont nommés par le Conseil d’Etat. Le comité « sécurité » est présidé par un représentant de cette instance et il est composé : a) de 3 ou 4 représentants des principaux systèmes d’information de l’administration; b) d’un représentant de l’état-major de la police; c) d’un représentant de la direction du centre des technologies de l’information (ci-après : centre); d) du responsable de la cellule « sécurité » (participe avec voie consultative).
2 La préparation et le contrôle des mesures destinées à protéger les systèmes incombent au comité « sécurité ». Le comité « sécurité » conseille les entités opérationnelles du centre, et assure la coordination entre les organes compétents à savoir notamment la cellule « sécurité », les responsables « sécurité » du centre et ceux des départements.
3 Les offices et services des départements et de la chancellerie d’Etat, soumis au présent règlement, appliquent les instructions et les directives qui correspondent aux exigences fondamentales, la sécurité étant une part de la responsabilité de la gestion administrative. Le comité « sécurité » dirige ces travaux en accord avec le collège des secrétaires généraux.
4 Les organes suivants soutiennent le comité « sécurité » dans l’exécution de leurs tâches et conseillent le centre : a) la cellule « sécurité », rattachée au comité « sécurité », en collaboration avec les maîtres d’ouvrage, conçoit, établit, fait mettre en œuvre et contrôle le schéma directeur de la sécurité en matière informatique; b) les départements et la chancellerie d’Etat surveillent l’application des mesures de sécurité en matière d’informatique dans leur domaine de compétence; c) le département de la sécurité, de la police et de l’environnement (3) se prononce sur les projets qui touchent des données personnelles et doit participer au contrôle des systèmes; d) le département des constructions et des technologies de l'information (2) planifie et surveille l’application des mesures de sécurité prises dans les domaines techniques et de la construction; e) la centrale commune d’achats soutient les organes compétents, dans le cadre de ses tâches, lors de l’acquisition de nouveaux produits; (1) f) d’autres offices ou services qui sont compétents pour certains secteurs administratifs ou domaines spécialisés précis, ou pour l’exploitation de systèmes.
5 Le centre assume la responsabilité de l’exploitation de ses systèmes et des applications qui y sont traitées.
Art. 6 Application des mesures de sécurité
1 Les entités opérationnelles du centre qui exploitent des systèmes et développent des applications sont responsables de l’observation et de l’exécution des mesures prescrites en matière de sécurité. Il en va de même lors de la maintenance d’applications ou l’acquisition de progiciels.
2 Les dépenses consacrées à la sécurité doivent être comprises dans la planification et dans le calcul de la rentabilité en tant que coûts inhérents à tout projet. Si les moyens financiers ne permettent pas de réaliser après coup des mesures de sécurité supplémentaires dans des systèmes et des applications existantes, l’estimation de ces coûts doit néanmoins être indiquée lors de l’évaluation des risques.
3
4 Les chargés de la sécurité des systèmes d’information départementaux et la cellule « sécurité » contrôlent périodiquement si les mesures de sécurité sont respectées.
5 La protection des systèmes doit être assurée à toutes les phases de leur utilisation, jusqu’à leur mise hors service y compris.
Art. 7 Obligation d’annonce
1 Le centre, les départements et la chancellerie d’Etat annoncent au comité « sécurité » la planification des systèmes et des applications ayant un impact en matière de sécurité.
2 Le centre, les départements et la chancellerie d’Etat annoncent au comité « sécurité » tous les faits et les indices qui touchent la sécurité des systèmes et des applications.
3 Le centre, les départements et la chancellerie d’Etat élaborent un rapport sur l’état, l’efficacité et l’utilité des mesures de sécurité, sitôt la mise en service d’un système ou d’une application qualifié de stratégique. Par la suite, un rapport est produit annuellement ou chaque fois que le comité « sécurité » le demande.
4 Le comité « sécurité » informe le département de la sécurité, de la police et de l’environnement (3) si des données se rapportant à des personnes sont touchées ou si des actions transgressent les mesures prévues dans la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, et son règlement d’application, du 21 décembre 2011 (4) .
5 Le comité « sécurité » informe régulièrement le collège des secrétaires généraux sur les questions touchant à la sécurité informatique. Il informe immédiatement le collège des secrétaires généraux en cas de sinistre informatique important. Chapitre IV Dispositions finales et transitoires
Art. 8 Exécution Le comité « sécurité » édicte les instructions et les directives nécessaires après entente avec les autres organes compétents au sens de l’article 5, alinéa 3, et surveille leur exécution.
Art. 9 Dispositions transitoires Les systèmes existants doivent être examinés sans délai s’il s’agit de systèmes stratégiques, ou dans un délai de 3 ans pour les autres systèmes. Tous doivent être adaptés s’ils ne sont pas conformes au présent règlement.
B 1 15.01 R concernant la protection des applications et des systèmes informatiques dans l’administration cantonale 05.04.2000 13.04.2000 Modifications : 1. n.t. : 5/4e 21.01.2004 29.01.2004 2. n.t. : rectification selon 7C/1, B 2 05 (5, 6, 7) 30.05.2006 30.05.2006 3. n.t. : rectification selon 7C/1, B 2 05 (5/4c, 6/3, 7/4) 18.05.2010 18.05.2010 4. n.t. : rectification selon 7C/1, B 2 05 (4/3, 7/4) 21.02.2012 21.02.2012
Markierungen
Leseansicht