Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI)

Définit les exigences de base en matière de sécurité que doivent respecter les ministères et les organismes du gouvernement fédéral pour assurer la sécurité de l’information et des biens de technologie de l’information qu’ils détiennent.
Modification : 2004-05-31

Renseignements supplémentaires

Directive :

Terminologie :

Sujet :

Hiérarchie

Version imprimable XML

Glossaire

Administrateur général (Deputy Head)
Administrateur général tel que défini à l'article 11 de la Loi sur la gestion des finances publiques et, dans le cas des Forces canadiennes, le chef d'état-major de la Défense.
cadre supérieur (executive)
Employé nommé au niveau du groupe de la direction (niveaux EX-01 à EX-05), c.-à-d. un directeur, un directeur général, un sous-ministre adjoint ou l'équivalent.
compromission (compromise)
Accès, divulgation, destruction, suppression, modification, utilisation ou interruption non autorisés de biens ou de renseignements.
confidentialité (confidentiality)
Qualité conférée à des renseignements pour signifier qu'ils ne peuvent être divulgués qu'à des personnes autorisées, afin de prévenir tout préjudice à l'intérêt national ou à d'autres intérêts.
connaissance de la situation (situational awareness)
Avoir une compréhension de son environnement et de ce qui se passe pour comprendre comment les événements et les mesures influeront sur les objectifs opérationnels, maintenant et dans un proche avenir. Il est essentiel de bien connaître la situation, de manière précise, actualisée et complète dans tout domaine où la complexité technologique, le processus décisionnel et le bien-être du public interagissent. Comme la gestion des incidents fait intervenir des prédictions et des prévisions, il est essentiel, pour connaître la situation d'un domaine de la TI, de saisir les relations qui existent entre les services et les renseignements essentiels, les mécanismes de protection de l'infrastructure et des processus de TI, de même que l'évolution des menaces.
contrôle de sécurité (security control)
Mesure administrative, opérationnelle, technique, physique ou juridique visant à gérer les risques pour la sécurité. Cette expression est synonyme de protection.
cote de fiabilité (reliability status)
Indique que l'évaluation de fiabilité a été complétée avec succès et donne à la personne visée un accès régulier aux biens gouvernementaux et un accès à des renseignements PROTÉGÉS en fonction du besoin de connaître.
cote de sécurité (security clearance)
Indique que l'évaluation de sécurité a été complétée avec succès; avec un besoin de connaître, permet d'avoir accès à des renseignements classifiés. Il y a trois niveaux : confidentiel, secret et très secret.
disponibilité (availability)
Condition d'être accessible et utilisable de manière fiable et en temps opportun.
enquête de sécurité (security screening)
Toute mesure permettant d'obtenir un degré élevé d'assurance qu'une personne peut se voir accorder des privilèges d'accès spécifiques au sein du gouvernement fédéral.
gestion de l'identité (identity management)
Ensemble de principes, de pratiques, de processus et de procédures permettant de remplir le mandat d'une organisation et d'atteindre ses objectifs liés à l'identité.
gestion des urgences (emergency management)
La prévention et l'atténuation des situations d'urgence, la préparation et de la réaction à ces situations ainsi que le rétablissement des activités.
gestionnaires de tous niveaux (managers at all levels)
Cela comprend les superviseurs, les gestionnaires et les cadres supérieurs.
identité (identity)
Référence ou désignation utilisée pour distinguer une personne, une organisation ou un appareil unique et particulier.
incident complexe de sécurité des TI (sophisticated IT security incident)
Événement habituellement déclenché par les auteurs d'une menace complexe qui est compliqué à détecter, dont il est difficile de se remettre, qui cause un préjudice aux réseaux et systèmes du gouvernement du Canada et qui porte atteinte à la confidentialité, à l'intégrité et à la disponibilité de l'information.
incident de sécurité (security incident)
Tout acte de violence en milieu de travail manifestée à l'endroit d'un employé ou tout acte, événement ou omission pouvant entraîner la compromission d'informations, de biens ou de services.
intégrité (integrity)
État de ce qui est précis, complet, authentique et intact.
intérêt national (national interest)
La sécurité du Canada ainsi que sa stabilité sociale, politique et économique.
interopérabilité (interoperability)
Capacité des ministères du gouvernement fédéral de fonctionner en synergie au moyen de pratiques uniformes en matière de gestion de la sécurité et de l'identité.
menace (threat)
Événement ou acte délibéré ou accidentel qui pourrait porter préjudice aux personnes, à l'information, aux biens ou aux services.
menace complexe à la sécurité des TI (sophisticated IT security threat)
Entité qui recourt à des technologies de pointe et à des procédés perfectionnés pour pénétrer ou contourner des systèmes de protection et des technologies de sécurité sans être décelée.
ministère (department)
Les ministères mentionnés à l'annexe I, les divisions ou directions de l'administration publique fédérale mentionnées à la colonne I de l'annexe I, et les secteurs de l'administration publique fédérale mentionnés aux annexes IV et V de la Loi sur la gestion des finances publiques (LGFP), sauf s'ils en sont exclus en vertu d'une loi, d'un règlement ou d'un décret particulier.
planification de la continuité des activités (business continuity planning)
Élaboration et exécution en temps opportun de plans, de mesures, de procédures et de dispositions afin d'éviter ou de minimiser toute interruption de la disponibilité des services et des biens essentiels.
pour un motif valable (for cause)
Situation où il est déterminé qu'il existe une raison suffisante de révaluer, de révoquer, de suspendre ou de réduire une cote de fiabilité, une autorisation de sécurité ou un accès à des sites.
renseignement électromagnétique (SIGINT) (Signals intelligence (SIGINT))

Information technique ou renseignement comportant (seul ou en combinaison) du renseignement sur les communications (COMINT), du renseignement électronique (ELINT) et du renseignement tiré de signaux d'instrumentation étrangers (FISINT).

renseignement électronique (ELINT)
Information technique ou renseignement tiré de la collecte, du traitement et de l'analyse d'émissions électromagnétiques autres que de communications.
renseignement tiré de signaux d'instrumentation étrangers (FISINT)
Information technique ou renseignement tiré de la collecte, du traitement et de l'analyse de signaux d'instrumentation étrangers par une personne autre que le destinataire prévu.
renseignement sur les communications (COMINT)
Information technique ou renseignement tiré de l'exploitation, par une personne autre que le destinataire prévu, de systèmes de télécommunications, de systèmes et de réseaux de technologie de l'information, ainsi que de toute donnée ou information technique véhiculée par ceux-ci, contenue dans ceux-ci ou s'y rapportant.
renseignement ou bien protégé (protected asset or information)
Un bien ou un renseignement pouvant être visé par une exemption ou une disposition d'exclusion de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels parce que l'on peut raisonnablement s'attendre à ce que sa divulgation compromette l'intérêt non national.
risque (risk)
Incertitude que peut engendrer l'exposition à des événements ou résultats non désirés. Il s'agit de l'expression de la probabilité et de l'incidence d'un événement susceptible de nuire à la réalisation des objectifs d'une organisation.
risque résiduel (residual risk)
Le risque qui continue d'exister après l'application des contrôles.
sécurité des communications (COMSEC) (Communications Security (COMSEC))
Application de mesures de sécurité cryptographique, de sécurité des transmissions et des émissions et de sécurité matérielle ainsi que de pratiques et de mécanismes de contrôle opérationnels pour empêcher tout accès non autorisé à l'information issue de télécommunications et pour garantir l'authenticité de ces télécommunications.
service essentiel (critical service)
Service dont la compromission, du point de vue de la disponibilité ou de l'intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.
urgence (emergency)
Événement présent ou imminent, y compris les incidents liés aux technologies de l'information, nécessitant des actions rapides et coordonnées pour protéger la santé, la sécurité ou le bien-être de personnes ou encore pour limiter les dommages à des biens ou à l'environnement.
violence en milieu de travail (workplace violence)
Agissement, conduite, menace ou geste qui pourrait vraisemblablement causer un dommage, des blessures ou une maladie à un employé en milieu de travail.
vulnérabilité (vulnerability)
Insuffisance liée à la sécurité qui pourrait accroître la susceptibilité à la compromission ou au préjudice.
Date de modification :