Directive sur la gestion de la sécurité

Voici les procédures et les sous sections.

• B.2.2.1Pour tous les systèmes d’information qui appuient les programmes, les activités et les services ministériels ou qui détiennent de l’information ministérielle ou de l’information sous la garde et le contrôle du ministère :
  • B.2.2.1.1déterminer les exigences pertinentes en matière de sécurité matérielle, de continuité des activités et de sécurité de l’information;
  • B.2.2.1.2cerner et évaluer les menaces auxquelles sont exposés les systèmes d’information;
  • B.2.2.1.3définir et consigner les exigences afin d’assurer la protection des systèmes d’information ministériels pendant tout leur cycle de vie, en fonction des exigences et menaces cernées en matière de sécurité, et conformément aux lois, politiques, contrats, accords et protocoles d’entente applicables;
• B.2.2.2définir et consigner les pratiques en matière de sécurité du ministère afin de mettre en oeuvre et tenir à jour les mesures de sécurité de la TI, y compris des pratiques pour l’évaluation et l’autorisation de la sécurité de la TI, conformément aux exigences en matière de sécurité du ministère.

• B.2.3.1Gestion de l’identification et de l’authentification : Mettre en oeuvre des mesures afin de veiller à ce que les personnes et les appareils soient identifiés et authentifiés de façon unique, à un niveau approprié d’assurance avant d’accorder l’accès à l’information dans les systèmes d’information, conformément à l’annexe A : Norme sur l’assurance de l’identité et des justificatifs de la Directive sur la gestion de l’identité.
• B.2.3.2Gestion de l’accès : Mettre en oeuvre des mesures afin de veiller à ce que l’accès à l’information (données électroniques) et aux systèmes d’information soit limité aux utilisateurs autorisés qui ont fait l’objet d’un filtrage de sécurité de niveau opportun et qui doivent y avoir accès :
  • B.2.3.2.1établir les exigences et procédures d’approbation, de notification, de surveillance et opérationnelles pour la création, l’activation, la modification, l’examen périodique, et la désactivation ou la suppression des comptes de système d’information;
  • B.2.3.2.2définir les privilèges d’accès en fonction des exigences de sécurité ministérielles et des principes de privilège minimal, de séparation des tà¢ches, et de l’utilisation acceptable des systèmes d’information du gouvernement;
  • B.2.3.2.3informer les utilisateurs autorisés des attentes liées à l’utilisation acceptable des systèmes d’information du gouvernement, des pratiques de surveillance appliquées et des conséquences de l’utilisation inacceptable de ces systèmes;
  • B.2.3.2.4établir des mesures pour contrôler l’utilisation des comptes ayant des privilèges administratifs, y compris restreindre le nombre d’utilisateurs qui ont des privilèges administratifs, et limiter les systèmes d’information, les réseaux et les applications qui peuvent être accédés, ainsi que les opérations qui peuvent être effectuées en utilisant un compte à accès privilégié;
  • B.2.3.2.5vérifier que les personnes qui sont autorisées à mener des opérations privilégiées, comme établir ou modifier des privilèges d’accès et mettre en oeuvre ou tenir à jour d’autres mesures de sécurité de la TI, ne sont pas autorisées à modifier les enregistrements de ces opérations et ont fait l’objet d’un filtrage de sécurité proportionnel à leur niveau d’accès;
  • B.2.3.2.6examiner les privilèges d’accès de façon périodique, et supprimer l’accès lorsqu’il n’est plus nécessaire (p. ex., lorsqu’un employé quitte le ministère ou change de responsabilités).
• B.2.3.3Sécurité dans la gestion de la configuration de la TI : Gérer la configuration des systèmes d’information pour conserver la conception, les réglages, les paramètres et les attributs connus et approuvés pour les systèmes et des composants :
  • B.2.3.3.1veiller à ce que les pratiques de gestion des changements tiennent compte des incidences sur la sécurité qui peuvent provenir des changements proposés;
  • B.2.3.3.2concevoir et configurer les systèmes d’information pour fournir uniquement les capacités nécessaires et interdire, désactiver ou restreindre particulièrement l’utilisation des fonctions, des ports, des protocoles et des services inutiles;
  • B.2.3.3.3établir des mesures pour garantir que seules les applications et les composants d’application autorisées sont installées et exécutées sur les systèmes d’information et leurs composants;
  • B.2.3.3.4établir des mesures afin de garantir que seuls le matériel et les appareils autorisés sont connectés aux systèmes d’information et à leurs composants ou y ont accès.
• B.2.3.4Gestion sécurisée du stockage de données : Mettre en oeuvre des mesures pour protéger l’information sur les supports électroniques et les appareils de stockage électroniques immobiles (p. ex., en utilisation ou en stockage), en transit (p. ex., en transport ou en transmission), et au moyen du nettoyage ou de la destruction appropriés avant la réutilisation ou l’élimination de l’équipement, conformément à la sensibilité de l’information et aux pratiques ministérielles, y compris :
  • B.2.3.4.1déterminer les appareils, les méthodes et les services de stockage électronique, de transport, de transmission, de nettoyage et de destruction dont l’utilisation est autorisée au ministère, y compris, sans toutefois s’y limiter, les appareils de stockage amovibles;
  • B.2.3.4.2mettre en oeuvre les mesures de protection appropriées lorsque d’autres appareils, méthodes ou services sont utilisés à des fins opérationnelles, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire.
• B.2.3.5Protection physique et environnementale : Mettre en oeuvre des mesures pour protéger les systèmes d’information, leurs composants, et l’information ayant été traitée, contre les menaces physiques et environnementales, conformément à la sensibilité de l’information, en faisant ce qui suit :
  • B.2.3.5.1mettre en oeuvre des mesures de protection physiques et environnementales dans les installations où les systèmes d’information sont élaborés, utilisés, conservés ou stockés;
  • B.2.3.5.2placer les composants physiques de systèmes d’information dans des zones de sécurité physique appropriées;
  • B.2.3.5.3utiliser la sécurité des émanations ou autres mesures, au besoin, pour protéger les systèmes information de la fuite d’information liée à l’émanation de signaux électromagnétiques.
• B.2.3.6Protection des systèmes et des communications : Mettre en oeuvre des mesures pour protéger les systèmes d’information et leurs composants, ainsi que l’information qu’ils traitent, et transmettent, contre les menaces de réseaux internes et externes, comme les menaces liées à l’utilisation des réseaux publics, des communications sans fil et de l’accès à distance, y compris :
  • B.2.3.6.1définir et établir des zones de sécurité pour maintenir la séparation appropriée dans les environnements de la TI physiques et virtuels et veiller à ce que les systèmes d’information (y compris les instances virtuelles) qui se trouvent dans ces environnements bénéficient de niveaux uniformes de protection en fonction du type et du niveau des menaces, de la sensibilité de l’information et des autres considérations de sécurité pertinentes, comme la criticité des services et des activités pris en charge par le système d’information;
  • B.2.3.6.2limiter le nombre de connexions externes et discrètes aux réseaux ministériels au minimum nécessaire pour satisfaire les exigences ministérielles et gouvernementales;
  • B.2.3.6.3utiliser le chiffrement et des mesures de protection des réseaux pour protéger la confidentialité des données de nature délicate transmises sur les réseaux publics, les réseaux sans fil ou tout autre réseau lorsque les données peuvent être exposées à un accès non autorisé.
• B.2.3.7Gestion de l’intégrité des systèmes et de l’information : Mettre en oeuvre des mesures pour protéger les systèmes d’information, leurs composants et l’information qu’ils traitent et transmettent contre les attaques qui exploitent les vulnérabilités dans les systèmes d’information pour toucher leur intégrité et qui pourraient avoir une incidence sur leur disponibilité ou leur confidentialité (p. ex., un code malveillant), y compris :
  • B.2.3.7.1surveiller les systèmes d’information pour détecter les attaques et les indicateurs d’attaques possibles, les connexions locales, réseau et à distance non autorisées, et l’utilisation non autorisée des ressources de la TI;
  • B.2.3.7.2cerner et consigner les vulnérabilités dans les systèmes d’information et leurs composants et les signaler au spécialiste fonctionnel responsable de la sécurité et autres, comme indiqué dans la gouvernance de la sécurité du ministère et les processus de gestion des événements de sécurité;
  • B.2.3.7.3analyser les incidences des vulnérabilités cernées, et mettre en oeuvre des mesures correctives (p. ex., appliquer des correctifs et des mises à jour, conformément aux échéances définies et, au besoin, en cas d’urgence);
  • B.2.3.7.4coordonner les processus de gestion les vulnérabilités dans les systèmes d’information à l’aide des processus ministériels et pangouvernementaux de gestion des événements liés à la sécurité;
  • B.2.3.7.5utiliser, examiner et mettre à jour régulièrement pour empêcher, détecter et éliminer les codes malveillants (p. ex., les virus) dans les systèmes d’information et leurs composants;
  • B.2.3.7.6établir l’authentification à la source et les autres mécanismes, au besoin, afin de veiller à ce que l’on puisse attribuer l’information (p. ex., les messages et les transactions financières) à une personne autorisée.
• B.2.3.8Gestion de l’audit des systèmes d’information : Créer, protéger et conserver les journaux et les dossiers d’audit des systèmes d’information pour permettre la surveillance, l’analyse, l’examen et la mise en oeuvre des mesures correctives et l’établissement de rapports sur celles-ci, au besoin, pour chaque système et conformément aux pratiques ministérielles, y compris :
  • B.2.3.8.1mettre en oeuvre des mesures pour permettre le suivi d’être modifié de façon autoritaire afin de veiller à ce que les utilisateurs soient responsables de leurs activités;
  • B.2.3.8.2surveiller l’utilisation acceptable des systèmes d’information du gouvernement, qu’importe l’emplacement de l’accès ou du système utilisé, et signaler au moyen des voies appropriées les cas possibles d’utilisation inacceptable dans le ministère.
• B.2.3.9Sécurité en matière d’entretien de la TI : Veiller à ce que l’entretien des systèmes d’information et de leurs composants soit autorisé et consigné, et que l’entretien respecte les pratiques de sécurité du ministère, y compris :
  • B.2.3.9.1veiller à ce que les personnes qui sont responsables d’effectuer l’entretien aient l’autorisation, l’accès et l’orientation nécessaires dans l’exécution de leurs fonctions.
• B.2.3.10Gestion de la continuité de la TI : Établir des mécanismes pour permettre aux systèmes d’information de maintenir les niveaux de service définis ou d’y retourner, selon le cas, y compris :
  • B.2.3.10.1définir des stratégies de reprise et des priorités de rétablissement pour les données et les systèmes d’information, conformément aux exigences ministérielles de continuité des activités;
  • B.2.3.10.2mettre en oeuvre des mesures pour respecter les stratégies de reprise et les priorités de rétablissement;
  • B.2.3.10.3tester les mécanismes de gestion de la continuité de la TI pour garantir un état de préparation acceptable comme une partie intégrante des pratiques pour la gestion ministérielle de la continuité des activités.

• B.2.5.1intégrer l’ingénierie de sécurité des systèmes et les processus de conception de sécurité aux étapes appropriées du processus lié au cycle de vie d’élaboration des systèmes;
• B.2.5.2mettre en oeuvre des mesures de sécurité liées à la chaà®ne d’approvisionnement pour établir et maintenir une confiance raisonnable envers la sécurité des sources de système d’information et des composants informatiques, conformément aux exigences applicables en matière de sécurité;
• B.2.5.3cerner et aborder tous risques liés à la transmission, au traitement ou au stockage des données, tant à l’intérieur qu’à l’extérieur du Canada, dans la planification d’un système d’information, y compris le cycle de vie complet du système;
• B.2.5.4pour des systèmes d’information gérés pour ou par une autre organisation, de même que pour les systèmes d’information partagés ou interconnectés par deux ou plusieurs organisations, établir des ententes consignées qui définissent les exigences applicables et les responsabilités respectives en matière de sécurité.

• B.2.6.1évaluer si les mesures de sécurité sont efficaces et si les exigences applicables en matière de sécurité sont respectées;
• B.2.6.2mettre en oeuvre et consigner les mesures d’atténuation des risques lorsqu’il est impossible de respecter entièrement les exigences en matière de sécurité avant de mettre en service un système d’information, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire;
• B.2.6.3autoriser un système d’information avant de le mettre en service au moyen des processus établis d’évaluation et d’autorisation de la sécurité de la TI;
• B.2.6.4consigner les évaluations de sécurité et les décisions d’autorisation, y compris l’acceptation officielle du risque résiduel par une personne ayant le pouvoir nécessaire;
• B.2.6.5évaluer et tenir à jour l’autorisation tout au long du cycle de vie opérationnel du système d’information.

• B.2.7.1surveiller les menaces et les vulnérabilités;
• B.2.7.2analyser les journaux et les dossiers d’audit des systèmes d’information;
• B.2.7.3examiner les résultats des évaluations de la surveillance des systèmes, des tests et des analyses après événement;
• B.2.7.4prendre des mesures préventives, réactives et correctives pour remédier aux lacunes et veiller à ce que les pratiques et les mesures de sécurité de la TI continuent de répondre aux besoins du ministère.