Archivée - Sécurité des technologies de l'information - guide de vérification

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Préface

Ce guide a été mis au point par la Division de la politique de l'information, des communications et de la sécurité, en consultation avec le Groupe de l'évaluation, de la vérification et de l'examen du Secrétariat du Conseil du Trésor.

Le Secrétariat du Conseil du Trésor tient à remercier les organismes suivants, sans l'appui, l'expérience et les idées desquels ce guide n'aurait pas vu le jour :

  • Le Centre de la sécurité des télécommunications (CST)
  • L'Association des vérificateurs du traitement électronique des donnés (TED)
  • Les organismes d'informatique du gouvernement du Canada (ministères représentatifs)
  • Les vérificateurs internes du gouvernement du Canada (ministères représentatifs)
  • La Direction de la sécurité industrielle et ministérielle (DSIM) de TPSGC
  • L'Équipe d'inspection et d'évaluation de la sécurité (EIES) de la GRC.

N.B. :

Le masculin générique est utilisé sans discrimination et uniquement dans le but d'alléger le texte.

Introduction

Contexte

En 1990, l'ancien Bureau du Contrôleur général publiait un exposé-sondage sur le Guide de la vérification de la sécurité. Ce projet initial a rendu service aux milieux de l'autoévaluation, de la vérification et de l'examen en leur donnant des orientations sur la façon d'effectuer les vérifications et les examens de mise en oeuvre de la politique sur la sécurité du gouvernement (PSG). En 1994, le Conseil du Trésor a approuvé la PSG révisée qui tient compte des changements survenus sur la scène politique mondiale et dans les économies canadiennes et mondiales ainsi que de l'évolution du milieu des technologies de l'information (TI) et du milieu connexe de la sécurité des technologies de l'information.

Ce Guide de vérification de la sécurité des technologies de l'information a été conçu de manière à être appliqué de façon indépendante. Cependant, à une date ultérieure, il se pourrait que les objectifs et critères qui y sont énoncés soient intégrés dans un Guide de vérification de la sécurité révisé.

Objet

Ce guide donne au milieu des vérificateurs internes des conseils sur la façon de vérifier la mise en oeuvre de la politique sur la sécurité du gouvernement et des normes opérationnelles relatives à la sécurité des technologies de l'information (STI). Ces conseils pourraient aussi rendre service aux directions des ministères qui évaluent elles-mêmes le programme de sécurité des TI de leur ministère, aux agents de sécurité qui effectuent des examens de sécurité et aux groupes chargés de l'examen des programmes.

L'objet de ce guide est d'aider les organisations à évaluer :

  • l'observation de la politique sur la sécurité et des normes opérationnelles relatives à la STI par le ministère;
  • l'efficacité de la mise en oeuvre de la politique sur la sécurité et des normes opérationnelles relatives à la STI; et
  • l'efficience de la mise en oeuvre de la politique sur la sécurité et des normes opérationnelles relatives à la STI

Portée

Ce guide est destiné à toutes les organisations assujetties à la politique sur la sécurité du gouvernement : tous les ministères énumérés aux parties I et II de l'annexe I de la Loi sur les relations de travail dans la fonction publique, les Forces armées canadiennes, la Gendarmerie royale du Canada (GRC) et le Service canadien du renseignements de sécurité. Il s'applique aussi bien aux renseignements et biens désignés et classifiés qu'aux contrats.

Le guide facilitera la vérification et l'examen des activités de la STI des ministères. On trouvera dans le Guide 406, Guide de vérification de la sécurité, Exposé-sondage, publié en 1990 par le Bureau du Contrôleur général, des indications sur la façon de vérifier et d'examiner le cadre de sécurité organisationnel et administratif d'ensemble, les activités liées à la sécurité matérielle et celles liées à la sécurité du personnel.

Le présent guide traite de la politique sur la sécurité et des normes opérationnelles qui représentent les premier et deuxième niveaux du modèle de documents de sécurité du gouvernement. On n'y trouvera pas de conseils détaillés sur l'analyse de conformité des normes de sécurité technique (normes de sécurité du troisième niveau) telles que celles publiées par la GRC dans ses Normes de sécurité technique dans le domaine de la technologie de l'information (NSTTI). Pour avoir des conseils à ce sujet, consulter l'organisme conseil responsable (GRC ou le Centre de la sécurité des télécommunications - CST).

Pour avoir des conseils sur la façon de réaliser une vérification complète et détaillée d'un environnement STI donné, consulter la Bibliographie à l'annexe D. Un grand nombre des ouvrages cités renferment des questionnaires et des listes de contrôle. Par ailleurs, ce guide de vérification s'appuie sur des critères de vérification de la STI génériques. Il pourrait être nécessaire d'obtenir d'autres informations plus détaillées sur l'organisme, les politiques, les normes et les procédures examinés. Les environnements TI et STI sont très techniques et complexes. Leur vérification exigera donc que l'on porte une attention particulière à des lacunes apparentes qui pourraient être influencées par des systèmes de contrôle compensateurs.

Les vérificateurs qui auraient de la difficulté à interpréter la politique sur la sécurité ou qui auraient besoin d'aide supplémentaire en ce domaine doivent communiquer avec Politique de l'information, des communications et de la sécurité pour obtenir une interprétation de la politique et avec le Groupe évaluation, vérification et examen du Secrétariat du Conseil du Trésor pour les questions de vérification.

Organisation du guide

La matière du guide est présentée de la façon suivante :

Le premier chapitre, "questions de gestion", donne une vue d'ensemble des questions actuelles de la STI dans la mesure où elles sont liées aux questions générales des TI.

Le deuxième chapitre, "réaliser la vérification", présente les procédés à utiliser pour vérifier la mise en oeuvre de la politique sur la sécurité du gouvernement et les normes opérationnelles de la STI. Les objectifs, critères, critères détaillés et procédés de vérification à respecter pour réaliser des vérifications de la STI sont présentés dans cette section du guide.

Le guide renferme également une série d'annexes : une liste de textes législatifs et d'ouvrages de référence; une table des matières proposée pour un rapport de vérification de la STI; un glossaire; une liste de comités et de normes relatifs aux TI et à la STI et une bibliographie.

Chapitre 1 - Questions de gestion

L'environnement de sécurité

1.1 Cadre de responsabilisation

Un des principes fondamentaux de la politique sur la sécurité du gouvernement est que les administrateurs généraux sont responsables de la sécurité dans leur ministère. La politique et les normes opérationnelles énoncent les exigences auxquelles les ministères doivent se conformer. Les normes opérationnelles comprennent aussi les mesures de protection qu'il est recommandé d'appliquer à moins qu'une évaluation de la menace et des risques n'indique qu'il faille agir autrement.

Pour que les ministères mettent en oeuvre des programmes qui soient efficients et efficaces, ils doivent être en mesure de les administrer dans le cadre de leur mandat propre et en tenant compte de leurs priorités et budgets ainsi que de leur culture organisationnelle et de leur environnement. La politique tient compte de cela en définissant des exigences générales qui procurent un certain niveau de sécurité dans un ministère ou dans l'ensemble du gouvernement, tout en laissant aux ministères la marge de manoeuvre dont ils ont besoin pour s'adapter aux besoins financiers et à d'autres conditions.

1.2 Le modèle de sécurité du gouvernement

La politique sur la sécurité du gouvernement et les normes opérationnelles présentent un modèle de programme de sécurité ministériel comportant les éléments suivants :

  • structure organisationnelle;
  • méthodes administratives;
  • trois (3) sous-systèmes :
    • sécurité matérielle
    • sécurité des technologies de l'information
    • sécurité du personnel.

Par conséquent, lorsque la responsabilité des divers sous-systèmes est attribuée à différentes unités organisationnelles ou lorsqu'elle est décentralisée, ces sous-systèmes doivent avoir une structure capable d'appuyer une planification, une gestion et une administration coopératives.

Se reporter au chapitre 2-1 du volume "Sécurité" du Manuel du Conseil du Trésor pour avoir plus de renseignements.

1.3 Le modèle de la sécurité des technologies de l'information (STI)

La STI désigne souvent le fait de protéger des renseignements et des biens contre une menace à l'aide d'un ensemble intégré de mesures de protection visant à garantir la confidentialité, l'intégrité et la disponibilité des renseignements mis en mémoire, traités et transmis en mode électronique.

Les normes opérationnelles désignent un modèle de la STI qui comprend les éléments suivants :

  • organisation et administration;
  • sécurité du personnel;
  • sécurité matérielle;
  • sécurité du matériel;
  • sécurité des logiciels;
  • sécurité des communications;
  • sécurité de l'exploitation.

L'efficacité et l'efficience du programme de la STI dépendent du bon fonctionnement de chacun de ces éléments. Par conséquent, lorsque la responsabilité des divers éléments de la STI relève d'unités organisationnelles différentes (par exemple, d'une unité de la sécurité des TI et d'une unité de la sécurité des communications électroniques (COMSEC)) ou lorsqu'elle est décentralisée, les éléments devraient être structurés de manière à soutenir une planification, une gestion et une administration coopératives.

La STI atteint son maximum d'efficacité lorsque les personnes chargées de concevoir et de tenir à jour les systèmes la voient comme une des nombreuses exigences importantes dont elles doivent tenir compte. La STI ne doit pas être un élément "ajouté". Elle doit être vue comme une partie intégrante de toute infrastructure des TI donnée. Gérée de façon adéquate, elle donne des résultats aux propriétaires des systèmes et des données. Se reporter au chapitre 2-3 du volume "Sécurité" du Manuel du Conseil du Trésor pour avoir des renseignements plus détaillés.

1.4 Rôles et responsabilités

Agent supérieur

Les ministères sont tenus de nommer un agent supérieur qui représente l'administrateur général auprès du Secrétariat du Conseil du Trésor relativement à la politique et aux normes de sécurité.

Agent de sécurité du ministère (ASM)

Les ministères doivent également nommer un ASM chargé d'élaborer, de mettre en oeuvre, de tenir à jour, de coordonner et de surveiller un programme ministériel de sécurité qui soit conforme à la politique et aux normes de sécurité.

Coordonnateur de la STI

Les ministères doivent nommer un coordonnateur de la STI. Il devrait exister une relation officielle, hiérarchique ou fonctionnelle, entre ce poste et celui de l'ASM.

Responsable de la COMSEC

La coordination de la sécurité des signaux de valeur et de la cryptographie devrait relever du responsable de la COMSEC. Ce rôle peut être rempli par un employé qui fait partie du programme de sécurité ministérielle ou par le CST agissant au nom du ministère.

Organismes responsables de la STI

Les deux organismes gouvernementaux responsables de la STI sont la Gendarmerie royale du Canada (GRC) et le Centre de la sécurité des télécommunications (CST). L'Équipe d'inspection et d'évaluation de la sécurité (EIES) de la GRC effectue des examens de la STI, selon le calendrier des normes opérationnelles relatives à la STI. Le CST inspecte, teste et évalue les systèmes et procédures COMSEC. En outre, le Bureau national des dossiers (BND) vérifie les comptes COMSEC ministériels.

1.5 Cadre de gestion des risques

Le principe fondamental à suivre pour évaluer la nécessité d'adopter des mesures de sécurité qui protègent adéquatement les biens liés aux technologies de l'information de nature délicate est d'effectuer une évaluation de la menace et des risques. La politique sur la sécurité exige des ministères qu'ils évaluent la menace et les risques auxquels les renseignements et les biens de nature délicate sont exposés, qu'ils choisissent des options permettant d'éviter les risques, mettent en oeuvre des mesures de protection rentables et élaborent la planification des mesures d'urgence et de la reprise des activités, comme cela est exigé. La méthode du cycle d'élaboration des systèmes liés aux technologies de l'information (TI) d'un ministère devrait comporter des mesures appropriées permettant :

  • de coordonner les plans de sécurité et de les mettre en oeuvre;
  • d'appliquer des techniques de gestion des risques pour la sécurité pendant toute la durée du cycle utile; et
  • d'approuver, de choisir et de mettre en oeuvre des mesures de protection appropriées.

Lorsqu'il est convenablement mis en oeuvre, le processus de gestion des risques pour la sécurité donne l'assurance que des types et des niveaux de protection appropriés sont intégrés aux systèmes; il permet du même coup d'éviter d'avoir à apporter des modifications moins efficaces et coûteuses. Le processus confirme la nécessité d'adopter des mesures de protection minimales et indique si des types et niveaux de mesures de protection supplémentaires sont requis. Enfin, c'est un exercice à valeur ajoutée puisqu'il accroît la sensibilisation et l'appui au programme de la STI.

Chapitre 2 - Réaliser la vérification

Objectifs, critères et méthodologie

Ce chapitre définit les objectifs de programme, les critères et les procédés de vérification particuliers à utiliser lors de la vérification de la STI. Ces éléments ont été retenus parce qu'ils respectent au mieux les exigences de la politique sur la sécurité et les normes opérationnelles concernant l'établissement et le maintien d'un programme efficace et efficient de la STI et qu'ils constituent les meilleures méthodes des programmes de sécurité ayant fait l'objet d'une vérification.

Les vérificateurs voudront peut-être ajouter des objectifs, critères et des éléments à la méthodologie ou modifier certains d'entre eux, en vue d'adapter le processus de vérification à leur organisation.

Les objectifs de vérification suivants sont regroupés en fonction des principales sections des normes opérationnelles de la STI de juin 1994 :

Organisation et planification de la STI

  • Voir à ce qu'une structure de gestion de la STI soit établie et réponde aux besoins du ministère
  • Voir à ce que des mesures de protection de la STI soient mises en oeuvre, tenues à jour, surveillées et rajustées dans un environnement de gestion des risques.
  • Voir à ce que les ressources en technologies de l'information (TI) soient adéquatement gérées.
  • Voir à ce que le matériel de la STI soit géré, réparé, entretenu et détruit de façon appropriée.
  • Voir à ce que le matériel cryptographique soit géré, réparé, entretenu et détruit de façon appropriée.
  • Voir à ce que la STI du ministère fasse l'objet d'une surveillance et d'un examen réguliers.
Sécurité du personnel
  • Voir à ce que le personnel ayant accès aux systèmes/réseaux/ applications des TI qui traitent, transmettent ou stockent des renseignements de nature délicate aient fait l'objet d'une enquête de sécurité adéquate avant d'y avoir accès et soient conscients de leurs responsabilités dans le domaine de la sécurité.
Sécurité matérielle
  • Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité matérielle et environnementale.
Sécurité du matériel
  • Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité du matériel.
Sécurité des logiciels
  • Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité des logiciels.
Sécurité des communications
  • Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences générales relatives à la sécurité des communications.
  • Voir à ce que les réseaux et applications réseaux soient élaborés et tenus à jour en tenant compte des exigences relatives à leur sécurité.
  • Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité de l'autorisation et de l'authentification électroniques (AAE).
  • Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité des signaux de valeur.
Sécurité de l'exploitation
  • Voir à ce que les activités d'exploitation de la STI soient exercées et répondent aux besoins du ministère.

Organiser et administrer la STI

Objectif no 1

Voir à ce qu'une structure de gestion de la STI soit établie et qu'elle réponde aux besoins du ministère

Critère 1.1 Les responsabilités de gestion de la sécurité sont établies, définies et attribuées.

Méthodologie :

1.1.1 Obtenir une copie du ou des organigrammes les plus récents du ministère dans le domaine de la sécurité. Déterminer s'il est adéquat en établissant le tableau de toutes les relations de sécurité (à la fois hiérarchiques et fonctionnelles).

1.1.2 Déterminer si un agent supérieur a été officiellement nommé pour représenter l'administrateur général auprès du Secrétariat du Conseil du Trésor relativement à toutes les questions concernant la politique et les normes de sécurité.

1.1.3 Déterminer si un agent de sécurité du ministère (ASM) a été officiellement nommé par l'administrateur général et si son poste est de niveau assez élevé.

1.1.4 Déterminer si un coordonnateur de la STI a été officiellement nommé et s'il existe, à tout le moins, une relation fonctionnelle entre son poste et celui de l'ASM.

1.1.5 Déterminer si un poste distinct de responsable de la sécurité des communications électroniques (COMSEC) a été officiellement créé ou si le Centre de la sécurité des télécommunications (CST) a été nommé pour agir au nom du ministère. Évaluer si les relations de travail entre ce poste et le poste du coordonnateur de la STI sont adéquates.

1.1.6 Examiner les descriptions de postes clés de la STI en vue de déterminer si elles énoncent les devoirs et responsabilités requis. Déterminer si les descriptions de poste correspondent aux besoins organisationnels actuels. Déterminer la priorité des tâches de sécurité et le pourcentage du temps qui leur est directement consacré.

1.1.7 Interviewer les membres clés du personnel de la STI sur leur connaissance des exigences de sécurité de leur poste. Déterminer le pourcentage réel du temps passé à s'occuper de questions de STI et comparer avec le temps prévu dans la description du poste.

1.1.8 Interviewer certains gestionnaires intermédiaires et supérieurs de centres de responsabilité chargés d'aspects importants des TI tels que les réseaux locaux critiques (RL), les grands réseaux (GR) ou les centres de données traditionnels, pour déterminer dans quelle mesure ils connaissent leurs responsabilités relatives à la STI. Déterminer si leurs descriptions de poste incluent des tâches et responsabilités relatives à la STI.

1.1.9 Interviewer certains gestionnaires de RL/GR et de centres de données en vue de déterminer dans quelle mesure ils connaissent leurs responsabilités relatives à la STI. Déterminer si leurs descriptions de poste incluent des rôles et des responsabilités en ce domaine.

Critère 1.2 Un processus de planification de la STI a été établi.

Méthodologie :

1.2.1 Obtenir des copies des vérifications de sécurité antérieures, des examens d'autoévaluation de la direction, des examens de programmes de sécurité, des examens de sécurité internes, des examens de l'Équipe d'inspection et d'évaluation de la sécurité (EIES) de la GRC, des rapports du CST et de tout autre rapport de sécurité connexe.

1.2.2 Déterminer s'il existe un plan officiel de la STI pour l'exercice en cours ou s'il constitue un sous-ensemble du plan de sécurité général. Déterminer si le plan a été élaboré parallèlement à d'autres plans et rapports ministériels critiques et en en tenant compte, notamment : des plans de sécurité d'ensemble; des plans et stratégies relatifs aux TI; des plans de gestion de l'information (PGI); du plan d'activités du ministère; des rapports EIES de la GRC; des rapports du CST et des recommandations des comités STI interministériels.

1.2.3 Examiner le niveau de financement de la STI par rapport au niveau de financement des TI. Envisager les implications de tout changement important apporté au niveau de financement et se demander si celui-ci est adéquat.

1.2.4 Examiner le plan du point de vue de l'intégralité et de la vraisemblance de ses calendriers d'exécution, du caractère adéquat du niveau des ressources (incluant les ressources financières, en personnel et en information) et de l'autorisation.

1.2.5 Voir à ce que le plan porte sur la mise en oeuvre de la politique sur la sécurité et des normes de la STI.

1.2.6 Voir à ce que le plan porte sur les recommandations acceptées par la direction découlant de vérifications et d'examens de sécurité antérieurs.

1.2.7 Vérifier si le plan satisfait à l'obligation d'élaborer des plans de mesures d'urgence en vue d'assurer la reprise des activités informatiques après une panne, dans les délais fixés par l'énoncé de la nature délicate.

1.2.8 Vérifier si le plan considère l'ensemble des besoins de STI de l'organisation de manière à créer des économies d'échelle (p. ex. acquisition de logiciels de lutte contre les virus informatiques ou de logiciels de contrôle de l'accès aux ordinateurs portatifs).

1.2.9 En ce qui concerne les activités interministérielles dont les systèmes liés aux TI doivent faire l'objet de soumissions au Conseil du Trésor, déterminer si d'autres ministères qui ont pu être touchés ont eu l'occasion d'aider à énoncer les plans de sécurité.

1.2.10 Dans le cas de systèmes TI partagés entre plusieurs ministères, déterminer si les autres ministères ont eu l'occasion d'évaluer en commun la menace et les risques, et de s'entendre sur les exigences de sécurité, les mesures de protection et les modalités.

1.2.11 Dans le cas de systèmes liés aux TI partagés entre plusieurs ministères, déterminer si les modalités relatives à la sécurité font l'objet d'un accord énoncé dans un protocole d'entente.

Critère 1.3 Les liens fonctionnels nécessaires existent.

Méthodologie:

1.3.1 Déterminer si des liens internes existent entre la ou les fonctions de la STI et d'autres fonctions administratives dans l'organisation, notamment les suivantes :

  • l'EDP et (ou) la ou les organisations de télécommunications (si elles sont distinctes de la STI);
  • un entrepreneur de l'extérieur des TI;
  • la gestion de l'information (si elle est distincte de la STI);
  • la gestion du matériel;
  • la gestion des biens; et
  • la gestion du personnel.

1.3.2 Vérifier si le coordonnateur de la STI a établi un réseau réparti d'agents locaux de la STI officiellement nommés et à temps partiel (p. ex. des administrateurs de RL officiellement nommés agents locaux de la STI et dont les fonctions relatives à la STI sont intégrées dans leur description de poste). Vérifier si le réseau est tenu à jour.

1.3.3 Si un réseau du personnel de la STI existe, interviewer un certain nombre d'agents locaux de la STI. Déterminer dans quelle mesure ils reçoivent une orientation et un soutien adéquats du coordonnateur de la STI. Évaluer s'ils connaissent leur agent local de sécurité matérielle - d'enquête sur la sécurité du personnel (si des réseaux de personnel semblables existent) et s'ils travaillent avec lui.

1.3.4 Déterminer dans quelle mesure le coordonnateur de la STI participe aux comités, groupes de travail et projets des TI interministériels. Déterminer le niveau de visibilité dont jouit la fonction de la STI dans chacun de ces comités, groupes et projets.

1.3.5 Déterminer si des liens externes existent entre la ou les fonctions de la STI et les organismes extérieurs suivants :

  • Gendarmerie royale du Canada (organisme conseil);
  • Centre de la sécurité des télécommunications (organisme conseil);
  • Service canadien du renseignement de sécurité (pour des renseignements précis sur l'évaluation de la menace); et
  • Protection civile Canada (pour des renseignements précis sur la planification des mesures d'urgence).

Communiquer avec les deux organismes ayant un rôle conseil dans le domaine de la STI. Déterminer quelle a été, au cours de plusiers années, leur participation aux activités de la STI de l'organisation vérifiée. Déterminer si les unités ministérielles se mettent directement en rapport avec les organismes ayant un rôle conseil de la sécurité et si le coordonnateur de la STI est bien au courant de tous les aspects de la participation de ces organismes dans le ministère.

1.3.6 Déterminer dans quelle mesure le coordonnateur de la STI participe aux comités de la STI interministériels tels que le Comité des techniques de sécurité relatives à l'information (CTSRI) et le Comité de la sécurité des communications électroniques (SCS).

1.3.7 Déterminer si les représentants à ces comités sont adéquats. Examiner les compétences techniques des représentants, leur expérience dans des rôles de ce genre et leurs niveaux de pouvoir.

Critère 1.4 Les politiques, méthodes, normes, procédures, directives et bulletins de la STI sont à jour et communiqués à tout le personnel.

Méthodologie :

1.4.1 Examiner les documents du ministère qui portent sur les politiques, les méthodes et les procédures de sécurité en vue de déterminer s'ils traitent adéquatement de l'élément de la STI et s'ils sont à jour. Voir à ce que les politiques comprennent, à tout le moins, les exigences du chapitre 2-3 de la politique sur la sécurité.

Plus précisément, déterminer si des politiques, méthodes et procédures existent dans les domaines suivants :

  • organisation et administration de la STI;
    • organisation,
    • responsabilités et responsabilisations,
    • planification incluant la planification des mesures d'urgence,
    • gestion des risques pour la sécurité,
    • certification et accréditation,
    • entretien,
    • gestion du matériel cryptographique, et
    • surveillance et examen.
      • sécurité du personnel;
      • sécurité matérielle;
      • sécurité du matériel;
      • sécurité des logiciels;
      • sécurité des communications; et
      • sécurité de l'exploitation.

1.4.2 Déterminer si les politiques, méthodes et procédures de planification, de mise en oeuvre et de maintien de la gestion de l'information et des TI du ministère reflètent les politiques, méthodes et procédures actuelles de la STI. Déterminer si elles exigent que les agents de sécurité du ministère soient consultés et que les documents de sécurité tels que les énoncés de la nature délicate, les évaluations de la menace et des risques et les listes de vérification des exigences relatives à la sécurité (LVERS) à utiliser dans l'adjudication des contrats soient utilisés en temps opportun. Évaluer si elles préconisent l'utilisation de normes minimales de STI et de gestion des risques.

1.4.3 Déterminer si les politiques, méthodes et procédures de la STI renferment l'information voulue pour que les membres du personnel puissent s'acquitter de leurs fonctions dans le domaine de la STI.

1.4.4 Voir à ce que les politiques et méthodes insistent sur l'importance d'établir un équilibre entre la nécessité de garantir la sécurité et les coûts qui y sont liés.

1.4.5 Déterminer si les politiques, méthodes et procédures de la STI renvoient le lecteur aux documents de troisième niveau (décrits dans le modèle de document de sécurité) tels que les Normes de sécurité technique dans le domaine de la technologie de l'information (NSTTI).

1.4.6 Déterminer si les politiques, méthodes et procédures de la STI ont été officiellement promulguées par la haute direction.

1.4.7 Déterminer si les politiques, méthodes et procédures ont été communiquées à tous les membres du personnel. Interviewer certains gestionnaires et membres du personnel de centres de responsabilité afin de déterminer dans quelle mesure ils les connaissent et les comprennent.

1.4.8 Déterminer si les Avis de mise en oeuvre de la politique sur la sécurité (SPINS) du SCT, les bulletins de la STI de la GRC et les bulletins d'information et les avis du CST sont distribués régulièrement aux gestionnaires dans les ministères et autres personnes qui ont besoin d'être renseignées.

1.4.9 Déterminer dans quelle mesure les ministères rédigent des bulletins sur la sécurité et les distribuent régulièrement à tous leurs effectifs.

Objectif no 2

Voir à ce que des mesures de protection relatives à la STI soient mises en oeuvre, maintenues, surveillées et rajustées dans un environnement de

gestion des risques.

Critère 2.1 Une méthode, des procédures et une capacité adéquates de gestion des risques pour la STI existent.

Méthodologie :

2.1.1 Déterminer si le ministère se sert d'un cycle d'élaboration des systèmes pour concevoir, construire et tenir à jour les TI. Évaluer dans quelle mesure il est officiel. Vérifier si le cycle d'élaboration des systèmes comprend des directives concernant l'élaboration et le maintien de mesures de sécurité (ch. 2-3, article 2.2) et s'il prévoit que les extrants suivants liés à la sécurité seront élaborés :

  • plan de sécurité des systèmes;
  • énoncés de la nature délicate;
  • mode de fonctionnement;
  • évaluation de la menace et des risques;
  • exigences de sécurité s'appliquant aux systèmes;
  • mesures de protection s'appliquant aux systèmes;
  • homologation des mesures de protection; et
  • accréditation des systèmes.

Évaluer si le système fournit une méthode qui donne l'assurance que les préoccupations de protection des renseignements privés électroniques sont prises en compte et si le système en voie de développement traite des renseignements personnels.

Déterminer dans quelle mesure le coordonnateur de la STI du ministère a participé à l'élaboration de ces exigences. Vérifier si elles s'inspirent de la méthode de gestion des risques.

2.1.2 Déterminer si le personnel de la STI a les connaissances, l'expérience et les capacités voulues dans le domaine de la gestion des risques pour la sécurité. Établir si le personnel a assisté à des cours de formation concernant la gestion des risques liés à la sécurité offerts par les organismes ayant un rôle conseil de la sécurité, par des établissements de formation privés et d'autres organisations.

2.1.3 Déterminer si la fonction de la STI a, elle-même, ou par l'entremise de l'unité des TI, élaboré une méthode et des procédures de gestion des risques liés à la STI et les a distribués à ceux qui en ont besoin.

2.1.4 Déterminer si le coordonnateur de la STI donne régulièrement aux personnes chargées de concevoir et de tenir à jour les TI une formation sur la gestion des risques liés à la sécurité et s'il les y sensibilise.

2.1.5 Vérifier si chaque extrant lié à la sécurité est examiné et approuvé par le gestionnaire du centre de responsabilité et l'agent de sécurité concernés.

Critère 2.2 Les décisions relatives aux risques sont fondées sur une information adéquate.

Méthodologie :

2.2.1 Déterminer si le processus d'évaluation de la menace commence par définir et délimiter l'étendue des renseignements et des biens, l'accent étant mis sur ceux qui sont de nature délicate ou qui ont de la valeur.

2.2.2 Voir à ce que les énoncés de la nature délicate (renfermant des exigences relatives à la confidentialité, à l'intégrité et à la disponibilité) soient élaborés en prévision de l'évaluation de la menace et des risques, pour tous les systèmes, applications et réseaux.

2.2.3 Déterminer si les sources suivantes sont consultées pour obtenir des renseignements à jour sur la menace :

  • GRC (renseignements sur la menace concernant des questions criminelles, les ordinateurs et la sécurité matérielle);
  • SCRS (renseignements sur la menace concernant le terrorisme, l'espionnage et le sabotage);
  • CST (renseignements sur la menace et la vulnérabilité concernant les télécommunications et le traitement de l'information électronique);
  • Protection civile Canada (renseignements sur la menace concernant les catastrophes civiles);
  • Ressources naturelles Canada (renseignements sur la menace concernant les tremblements de terre, le vent, les tornades, les inondations et autres catastrophes naturelles);
  • les forces policières locales (renseignements sur la menace concernant les questions locales de nature criminelle);
  • les services d'incendie locaux (renseignements sur la menace concernant les statistiques d'incendie locales); et
  • les unités des affaires internes ou des enquêtes ministérielles (renseignements sur la menace concernant des questions de criminalité locales).

2.2.4 Déterminer si le coordonnateur de la STI du ministère tient à jour un service d'archivage des renseignements actuels sur la menace pour la STI à l'intention des agents de sécurité, des gestionnaires des TI et d'autres personnes.

Critère 2.3   Toutes les nouvelles TI sont élaborées en fonction du cadre de gestion des risques de la STI approuvé par le ministère.

Méthodologie :

2.3.1 Obtenir une liste de tous les projets d'élaboration des TI en cours. Constituer un échantillon à examiner de projets de différentes taille et complexité. Choisir également pour en faire l'analyse un système gouvernemental partagé dont le ministère se sert ou se servira.

2.3.2 Déterminer si la planification des projets comprend l'établissement d'un calendrier et une budgétisation qui tiennent compte de la sécurité.

2.3.3 Dans le cas d'un système ministériel, interviewer les gestionnaires de projet. Examiner les principaux extrants liés à l'élaboration. Déterminer dans quelle mesure les projets suivent la ou les méthodes approuvées de définition et de mise en oeuvre des exigences relatives à la sécurité. Déterminer si les extrants tels que les suivants ont été produits :

  • plan de sécurité du système;
  • énoncés de la nature délicate;
  • mode de fonctionnement;
  • évaluation de la menace et des risques;
  • exigences de sécurité s'appliquant au système;
  • mesures de protection de la sécurité s'appliquant au système;
  • certification des mesures de protection; et
  • accréditation du système.

2.3.4 Déterminer si l'agent de sécurité du ministère ou le personnel de la Sécurité des technologies de l'information (STI) est consulté au début des projets d'élaboration des TI. Déterminer dans quelle mesure ils participent à la réalisation du projet. Si le personnel de la STI n'est pas en mesure de répondre à toutes les demandes d'aide permanente pour des projets, déterminer s'il est capable d'aider à embaucher et à surveiller les entrepreneurs dans le domaine de la STI.

2.3.5 Interviewer le bureau de première responsabilité du ministère concernant la sécurité des systèmes gouvernementaux partagés. Évaluer si les mesures de protection de la sécurité que le ministère a dû mettre en oeuvre ont été fournies ou présentées par le ministère parrain. Déterminer si ces mesures de protection ont reçu l'assentiment du ministère et du ministère parrain dans un document officiel tel qu'un protocole d'entente sur la sécurité. Déterminer dans quelle mesure le ministère a mis en oeuvre ces mesures de protection.

2.3.6 Dans le cas de systèmes requérant des services de sécurité d'autorisation et authentification électroniques (AAÉ), déterminer si le CST a été consulté par l'ASM et a approuvé toute la cryptographie AAÉ et les systèmes de gestion clés. (Politique relative à l'AAÉ, volume "Gestion financière", Manuel du Conseil du Trésor; ch. 2-3, art. 5.3.3)

Critère  2.4 Toutes les TI opérationnelles sont tenues à jour dans le cadre de la gestion des risques de la STI approuvé par le ministère.

Méthodologie :

2.4.1 Obtenir une liste de tous les systèmes, réseaux et applications opérationnels liés aux TI. En choisir plusieurs de taille et de complexité différentes pour les examiner.

2.4.2 Interviewer les gestionnaires de centres de responsabilité. Déterminer dans quelle mesure les projets suivent la ou les méthodes approuvées pour maintenir des exigences relatives à la sécurité.

Déterminer si les évaluations de la menace et des risques sont mises à jour dans les situations suivantes :

  • chaque fois qu'il y a une modification importante de la politique sur la sécurité;
  • de façon permanente (normalement annuellement);
  • chaque fois qu'il y a une infraction à la sécurité; et
  • chaque fois que des modifications importantes sont apportées à l'environnement des TI ou des opérations.

Déterminer dans quelle mesure l'agent de sécurité chargé des TI participe à la configuration du processus de gestion. Voir à ce que cette personne autorise tout changement important après en avoir analysé les impacts possibles et qu'elle donne des recommandations concernant les changements apportés aux mesures de protection de la sécurité.

2.4.3 Interviewer le gestionnaire du bureau de première responsabilité (BPR) du projet concernant le système gouvernemental partagé. Déterminer dans quelle mesure le ministère a continué de mettre en oeuvre, de surveiller et de modifier, au besoin, les mesures de protection convenues.

Objectif no 3

Voir à ce que les ressources en technologies de l'information (TI) soient adéquatement gérées.

Critère 3.1 Des procédures ministérielles sont établies pour contrôler l'autorisation et l'accès aux systèmes liés aux TI.

Méthodologie :

3.1.1 À l'aide d'un échantillon de domaines ou de systèmes liés aux TI, déterminer si des politiques et des procédures existent pour contrôler les éléments suivants :

  • octroi des privilèges d'accès aux TI;
  • retrait des privilèges d'accès lorsque les employés cessent leur emploi; et
  • retrait de ces privilèges lorsque les fonctions des employés ne les exigent plus.

3.1.2 Déterminer si les registres de contrôle d'accès concernant le matériel, les clés, les codes, les combinaisons, les insignes et les mots de passe pour les systèmes de nature délicate sont gérés comme il convient.

Objectif no 4

Voir à ce que le matériel de la STI soit géré, réparé, entretenu et détruit de façon appropriée.

Critère 4.1 Des politiques, méthodes et procédures assurent la gestion, la réparation, la mise à jour et la destruction du matériel STI.

Méthodologie :

4.1.1 Examiner les documents du ministère sur les politiques, les pratiques et les procédures de sécurité pour déterminer s'ils traitent adéquatement de la gestion, de la réparation, de la mise à jour et de la destruction du matériel de la STI.

4.1.2 Déterminer si ces politiques, méthodes et procédures renferment les renseignements voulus pour que le personnel clé s'acquitte de ses fonctions dans le domaine de la STI.

Critère 4.2 Le personnel chargé de la réparation et de la mise à jour du matériel de la STI a eu la formation appropriée, est conscient des questions actuelles et respecte les politiques, les méthodes et les procédures du ministère.

Méthodologie :

4.2.1 Déterminer si les politiques, méthodes et procédures relatives à la STI ont été communiquées à tous les membres du personnel concerné. Interviewer certains gestionnaires de centres de responsabilité et membres du personnel responsables de la réparation et de la tenue à jour en vue de déterminer la connaissance qu'ils en ont.

4.2.2 Déterminer dans quelle mesure le personnel chargé de la réparation et de la tenue à jour du matériel STI reçoit régulièrement une formation à jour. Vérifier si le niveau de formation correspond au niveau de complexité et de sophistication de l'environnement de travail.

4.2.3 Obtenir les exigences relatives aux enquêtes de sécurité requises des membres du personnel occupant des postes dans lesquels ces personnes ont à exercer des activités de réparation et d'entretien et les comparer au niveau de la cote de fiabilité ou de sécurité pour les titulaires de ces postes.

4.2.4 Déterminer si le coordonnateur de la STI ou le responsable de la COMSEC est consulté avant que l'équipement et le matériel TEMPEST et COMSEC, incluant les pièces d'équipement de cryptographie contrôlées (CCI), ne soient réparés. (Note : pour les définitions de COMSEC et de TEMPEST, voir l'annexe C.)

4.2.5 Déterminer si les médias électroniques des systèmes liés aux TI sont supprimés ou démarqués conformément aux politiques, méthodes et procédures avant d'être renvoyés à l'extérieur pour réparation.

4.2.6 Analyser l'inventaire du compte du responsable de la COMSEC le plus récent pour déterminer s'il existe un problème en suspens concernant la capacité de traitement de la COMSEC.

4.2.7 Déterminer si la réparation et l'entretien du matériel STI sont effectués par des membres du personnel compétents sélectionnés ou supervisés.

Objectif no 5

Voir à ce que le matériel cryptographique soit géré, réparé, entretenu et détruit de façon appropriée.

Critère  5.1 Des politiques, méthodes et procédures sont établies et assurent la gestion, la réparation, l'entretien et la destruction adéquats du matériel cryptographique.

Méthodologie :

5.1.1 Examiner les documents du ministère sur les politiques, méthodes et procédures de sécurité pour déterminer s'ils traitent adéquatement de la gestion de l'équipement et du matériel cryptographique conformément aux instructions publiées par le Bureau national des dossiers (BND) du CST.

5.1.2 Déterminer si ces politiques, méthodes et procédures renferment les renseignements voulus pour que le personnel clé s'acquitte de ses fonctions d'élimination et de destruction des articles de la COMSEC.

Critère 5.2  Le personnel chargé de l'élimination et de la destruction du matériel et des publications cryptographiques a obtenu la formation adéquate, est conscient des questions courantes et respecte les politiques, méthodes et pratiques du ministère.

Méthodologie :

5.2.1 Déterminer si les politiques, méthodes et procédures ont été communiquées à tous les membres du personnel concernés. Interviewer certains gestionnaires de centres de responsabilité et le coordonnateur de la STI ou le responsable de la COMSEC afin de déterminer la connaissance et la compréhension qu'ils en ont.

5.2.2 Déterminer dans quelle mesure le personnel chargé du matériel cryptographique relatif à l'élimination et à la destruction reçoivent une formation régulière et à jour.

5.2.3 Déterminer si l'élimination du matériel et des publications cryptographiques est effectuée conformément aux instructions établies par le CST.

5.2.4 Analyser plusieurs dossiers récents d'élimination et de destruction afin de déterminer si les bonnes méthodes et procédures ont été suivies.

Objectif no 6

Voir à ce que la STI du ministère fasse l'objet d'une surveillance et d'un examen réguliers.

Critère 6.1 Le ministère réalise une vérification interne de la sécurité, incluant la STI, aumoins une fois tous les cinq ans.

Méthodologie :

6.1.1 Vérifier si la direction donne son appui à une surveillance régulière des opérations ou activités de sécurité.

6.1.2 Déterminer à quel moment la dernière vérification interne de la sécurité (incluant la STI) a été effectuée, et s'il y en a eu une au cours des cinq ans précédant la fin de 1993. Déterminer si l'on a donné suite aux recommandations acceptées par la direction.

6.1.3 Déterminer si la vérification des normes opérationnelles de la STI est planifiée à une date tombant au cours de la période allant de 1994 à 1998 et tous les cinq ans après cela.

Critère 6.2 Un examen de la sécurité des TI du ministère est effectué selon un programme préétabli par l'EIES de la GRC.

Méthodologie :

6.2.1 Interviewer le coordonnateur de la STI pour déterminer si le plan d'action et le calendrier ont été élaborés de manière à suivre et à coordonner les examens de la GRC comme cela est requis.

6.2.2 Déterminer si tous les systèmes, réseaux et applications liés aux TI sont inspectés aux intervalles suivants :

  • au moins tous les trois ans dans le cas de ceux qui traitent, transmettent ou stockent des renseignements classifiés;
  • au moins tous les cinq ans dans le cas de ceux qui traitent des renseignements désignés; et
  • immédiatement en fonction d'une ÉMR se rapportant à des événements tels que la reconfiguration, le changement d'exploitation ou une infraction probable à la sécurité.

6.2.3 Déterminer si un plan d'action et un calendrier ont été élaborés pour mettre en oeuvre les recommandations faites après chaque examen de la GRC et ont été acheminés à celle-ci dans les six mois suivant l'examen.

6.2.4 Déterminer si les recommandations de la GRC ont été mises en oeuvre et si des rapports d'étape annuels lui ont été présentés.

6.2.5 Déterminer si le directeur général reçoit un sommaire annuel de l'activité d'examen des recommandations de la GRC.

Critère 6.3 Le ministère demande périodiquement au CST d'examiner les procédures de sécurité des communications et des systèmes de télécommunications du ministère.

Méthodologie :

6.3.1 Interviewer le coordonnateur de la STI ou le responsable de la COMSEC pour déterminer si un plan d'action et un calendrier ont été élaborés pour suivre et coordonner les examens du CST, comme cela est requis.

6.3.2 Déterminer à quelles conditions le CST est tenu d'effectuer ses examens.

6.3.3 Déterminer si un plan d'action et un calendrier ont été élaborés pour mettre en oeuvre les recommandations faites après chaque examen par le CST.

6.3.4 Déterminer si les recommandations du CST ont été mises en oeuvre et si des rapports périodiques sont remis au CST. Déterminer quelles mesures la direction entend prendre avant que les recommandations ne soient entièrement mises en oeuvre.

Critère 6.4 Pour les contrats comportant des exigences relatives à la STI, le ministère fait faire des examens de la STI par la GRC (lorsque le ministère est l'autorité contractante) ou par TPSGC (lorsque ce dernier est l'autorité contractante).

Méthodologie :

6.4.1 Examiner plusieurs contrats récents renfermant des exigences relatives à la sécurité (se reporter au chapitre 2-5 de la politique sur la sécurité). Voir à ce que la liste de vérification des exigences relatives à la sécurité (LVERS) a été dressée concernant ces exigences. Dans le cas des contrats pour lesquels on constate qu'une LVERS a été jointe et qui comportent des exigences relatives à la STI, déterminer si l'on a demandé à la GRC d'effectuer un examen de la STI.

Dans les contrats renfermant des exigences relatives à la STI pour lesquels Travaux publics et Services gouvernementaux Canada (TPSGC) détient les pouvoirs contractuels, déterminer si ce ministère a demandé à la GRC d'effectuer un examen de la STI.

6.4.2 Déterminer si toutes les recommandations de la GRC ont été mises en oeuvre par l'entrepreneur.

6.4.3 Déterminer dans quelle mesure de nouvelles inspections sont requises lorsque les modifications substantielles apportées au contrat entraînent des modifications substantielles dans l'utilisation des TI.

Critère 6.5 D'autres groupes effectuent des autoévaluations de programmes.

Méthodologie :

6.5.1 Déterminer dans quelle mesure d'autres groupes tels que la gestion ou un ou des organismes de sécurité effectuent eux-mêmes des évaluations proactives ou des examens de la sécurité.

Sécurité du personnel

Objectif no 7

Voir à ce que le personnel cadre ayant accès aux systèmes/réseaux/ applications des TI qui traitent, transmettent ou stockent des renseignements de nature délicate aient fait l'objet d'une enquête de sécurité adéquate avant d'y avoir accès et soient conscients de leurs responsabilités dans le domaine de la sécurité.

Critère 7.1 Des documents sur les énoncés de la nature délicate et sur les modes de fonctionnement (qui définissent les paramètres de sécurité en fonction desquels le système est exploité) existent pour les systèmes, les réseaux et les applications.

Méthodologie :

7.1.1 Choisir et examiner les documents relatifs à plusieurs systèmes de taille et de complexité différentes. Déterminer s'il existe des documents à jour sur les énoncés de la nature délicate et les modes de fonctionnement.

7.1.2 Déterminer si les énoncés de la nature délicate renferment assez de renseignements sur la confidentialité pour permettre aux gestionnaires du système de déterminer les exigences générales des enquêtes de sécurité du personnel concernant l'accès et les privilèges d'accès de celui-ci.

7.1.3 Déterminer si les documents sur le mode de fonctionnement renferment des renseignements adéquats et précis relatifs à la confidentialité et aux exigences sur les enquêtes de sécurité du personnel.

Critère 7.2 Avant d'avoir accès à des systèmes, des réseaux ou des applications qui traitent de l'information et de nature délicate, le personnel fait l'objet d'une enquête de sécurité.

Méthodologie :

7.2.1 Déterminer s'il existe des politiques et des procédures exigeant du personnel qu'il fasse vérifier sa cote de fiabilité ou de sécurité par l'agent de sécurité du ministère (ASM) avant d'obtenir l'accès à des systèmes, réseaux ou applications de nature délicate.

7.2.2 Interviewer les utilisateurs ultimes et les gestionnaires en vue de déterminer les enquêtes de sécurité et les cotes de sécurité utilisées pour leur personnel. Vérifier ces derniers avec l'aide de l'ASM. Comparer la cote de fiabilité ou de sécurité vérifiée aux enquêtes de sécurité requises par le poste et par le mode de fonctionnement du système, du réseau ou de l'application.

Critère 7.3 Le droit d'accès aux systèmes est révoqué pour les membres du personnel lorsqu'ils quittent l'organisme ou lorsqu'ils perdent leur cote de fiabilité ou de sécurité.

Méthodologie :

7.3.1 Déterminer si les politiques et procédures établies stipulent que les privilèges d'accès aux systèmes accordés aux membres du personnel sont révoqués dans le cas d'incidents particuliers, notamment lorsqu'ils quittent l'organisation ou qu'ils perdent leur cote de fiabilité de base ou leur cote de sécurité.

7.3.2 À l'aide d'un échantillon de cas dans lesquels les droits d'accès aux systèmes ont été révoqués, déterminer si l'on a suivi des procédures de retrait de l'accès aux systèmes.

Critère 7.4 Des programmes de formation sur la STI sont élaborés et offerts au personnel du ministère s'occupant de l'application et de l'entretien de la STI.

Méthodologie :

7.4.1 Déterminer si le personnel de la STI a été inclus dans les programmes de formation plus généraux du ministère concernant la politique sur la sécurité et son application.

7.4.2 Déterminer si le personnel de la STI reçoit une formation régulière sur les changements apportés aux technologies de l'information et tendances dans ce domaine, ainsi que sur la STI dans la mesure où elle s'y applique.

7.4.3 Déterminer si ces programmes de formation ont satisfait aux exigences des emplois et des besoins de l'organisation.

Critère 7.5 Des programmes de formation et de sensibilisation à la STI sont élaborés et offerts au personnel qui utilise et gère les TI.

Méthodologie :

7.5.1 Déterminer si le coordonnateur de la STI a élaboré un plan et un calendrier officiels de formation à la STI pour le ministère.

7.5.2 Interviewer les utilisateurs ultimes et les gestionnaires des technologies de l'information pour déterminer leur connaissance et leur compréhension de la STI.

Déterminer dans quelle mesure les membres de ce personnel ont reçu une formation et du matériel de sensibilisation à la STI. Déterminer dans quelle mesure ils comprennent leurs responsabilités individuelles.

7.5.3 Déterminer si ces programmes de formation ont satisfait aux exigences des emplois et aux besoins de l'organisation.

Sécurité matérielle

Objectif no 8

Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité matérielle et environnementale.

Critère 8.1 Les installations et aménagements sont conçus de manière à tenir compte des exigences matérielles et environnementales de la STI.

Méthodologie :

8.1.1 Obtenir, pour examen, de l'unité chargée de la gestion des aménagements plusieurs fichiers récents de conception, de rénovation ou de déménagement d'installations.

8.1.2 Déterminer si des énoncés de sécurité du site ou de la conception de la sécurité ont été élaborés. Déterminer dans quelle mesure il a été tenu compte de la STI dans ces énoncés.

8.1.3 Déterminer si le coordonnateur de la STI a été consulté au sujet des exigences s'appliquant à la conception matérielle des locaux destinés à renfermer des technologies de l'information.

8.1.4 Déterminer si un budget a été alloué pour les exigences dans le domaine de la sécurité et plus particulièrement pour les exigences liées à la STI. Déterminer dans quelle mesure ce budget reposait sur des exigences minimales et sur les résultats d'une évaluation de la menace et des risques. Déterminer si les décisions prises par le gestionnaire du centre de responsabilité concernant le coût de la sécurité sont fondées sur l'évaluation du risque.

8.1.5 Déterminer si des stratégies efficaces par rapport au coût ont été envisagées, notamment lors du remplacement d'exigences coûteuses liées à la sécurité matérielle par des mesures de protection de la sécurité moins coûteuses liées à des logiciels (et vice versa).

8.1.6 Déterminer si l'on a tenu compte des exigences de sécurité matérielle et environnementale, surtout en ce qui concerne les exigences des zones sécuritaires et des mesures de protection environnementales énoncée au chapitre 2-2 et dans les NSTTI. Déterminer si l'on a tenu compte des Normes sur la protection contre l'incendie du matériel de traitement électronique de l'informatique.

Critère 8.2  La conception des TI tient adéquatement compte des exigences que celles-ci comportent sur les plans de la sécurité physique et environnementale.

Méthodologie :

8.2.1 Déterminer dans quelle mesure les exigences et l'architecture (ou le profil) liées aux TI telles que définies au Critère 2.1 renferment des renseignements adéquats concernant les mesures de protection de la sécurité physique et environnementale.

8.2.2 Déterminer si les spécialistes du ministère dans le domaine de la sécurité matérielle sont consultés par le coordonnateur de la STI pour déterminer la conception architecturale de la sécurité physique et environnementale.

Sécurité du matériel

Objectif no 9

Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité du matériel.

Critère 9.1 Des politiques, méthodes et procédures relatives à la sécurité du matériel des TI sont établies.

Méthodologie :

9.1.1 Examiner les documents de l'organisme portant sur les politiques, méthodes et procédures de sécurité en vue de déterminer s'ils traitent adéquatement de la sécurité du matériel. À tout le moins, les politiques, méthodes et procédures de l'organisme doivent traiter des points suivants :

  • choix judicieux de l'emplacement et installation adéquate du matériel des technologies de l'information afin de réduire le brouillage attribuable à des interférences électromagnétiques;
  • tenue à jour d'un inventaire et d'un graphique de configuration du matériel;
  • définition et utilisation des caractéristiques de sécurité intégrées au matériel;
  • autorisation, documentation et contrôle des changements apportés au matériel;
  • définition des installations de soutien, notamment les installations d'alimentation en électricité et de climatisation;
  • approvisionnement ininterrompu en électricité; et
  • entretien du matériel et des services liés aux TI.

9.1.2 Déterminer si ces politiques, méthodes et procédures renferment les renseignements voulus pour que les membres clés du personnel s'acquittent de leurs tâches liées à la STI.

9.1.3 Déterminer si les politiques favorisent une utilisation efficace du matériel de la STI.

Critère 9.2 Les caractéristiques de sécurité du matériel sont réglées de façon adéquate.

Méthodologie :

9.2.1 Examiner plusieurs systèmes, réseaux et applications opérationnels de taille et de complexité différentes liés aux technologies de l'information parmi ceux qui sont énumérés au Critère 2.1.

9.2.2 En consultant la documentation sur les technologies de l'information, déterminer les réglages de sécurité du matériel. Déterminer si les gestionnaires des systèmes ont examiné tous les réglages défectueux au moment de l'initialisation des systèmes.

9.2.3 Déterminer pour quel motif les réglages de sécurité du matériel sont examinés.

Critère 9.3 Le contrôle de l'accès au télédiagnostic du matériel est géré de façon adéquate.

Méthodologie :

9.3.1 Déterminer, pour les systèmes des TI à l'étude, les conditions auxquelles un télédiagnostic du matériel est permis. Déterminer dans quelle mesure les méthodes et procédures de sécurité sont adéquates.

9.3.2 Déterminer si des techniciens de télédiagnostic autorisés ont la cote de fiabilité ou de sécurité adéquate.

Critère 9.4   La gestion de la configuration du matériel est contrôlée adéquatement et gérée comme il convient.

Méthodologie :

9.4.1 Vérifier si des changements apportés à la configuration du matériel sont dûment autorisés avant d'être effectués.

9.4.2 Déterminer si le graphique de configuration du matériel actuel visant tout le matériel et l'équipement de communications est entretenu.

Sécurité des logiciels

Objectif no 10

Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité des logiciels.

Critère 10.1 Des politiques, méthodes et procédures relatives à la sécurité des logiciels ont été établies.

Méthodologie :

10.1.1 Examiner les politiques, méthodes et procédures de sécurité du ministère pour déterminer si elles traitent adéquatement de la sécurité des logiciels. Les politiques, méthodes et procédures doivent avoir pour objet, au minimum, les éléments suivants :

  • contrôles administratifs, notamment la répartition des fonctions entre les employés affectés aux TI, la tenue d'un répertoire et l'examen des mesures de sécurité;
  • élaboration de normes destinées à régir le cycle de développement des logiciels, notamment les normes de conception, d'élaboration et d'essai, le contrôle des changements et la résolution des problèmes;
  • assurance de la qualité;
  • gestion de la configuration;
  • identification et authentification;
  • isolation, chiffrement et contrôle de l'accès;
  • contrôles et surveillance de la vérification; et
  • détection des virus.

10.1.2 Déterminer si ces politiques, méthodes et pratiques renferment les renseignements voulus pour que les membres clés du personnel s'acquittent de leurs tâches liées à la STI.

Critère 10.2 Les logiciels privilégiés et puissants sont contrôlés de façon adéquate.

Méthodologie :

10.2.1 Pour les systèmes liés aux techniques de l'information à l'étude, déterminer à quelles conditions on est autorisé de se servir de logiciels privilégiés ou puissants. Déterminer dans quelle mesure on recourt à des mesures de protection concernant l'utilisation excessive de ces logiciels, notamment par un contrôle de l'inventaire, un contrôle de l'accès au matériel, un contrôle de l'accès logique, l'établissement de limites des ressources et l'utilisation de mécanismes de surveillance.

Sécurité des communications

Objectif no 11

Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité des communications.

Critère 11.1 Des politiques, méthodes et procédures relatives à la sécurité générale des communications ont été établies.

Méthodologie :

11.1.1 Examiner les politiques, méthodes et procédures de sécurité du ministère en vue de déterminer si elles traitent de la sécurité des communications. Les politiques, méthodes et procédures doivent comporter, au minimum, les éléments suivants :

  • l'utilisation obligatoire de méthodes de chiffrement ou d'autres mesures entérinées ou approuvées par le CST pour protéger les communications électroniques qui véhiculent des renseignements désignés, classifiés ou de nature extrêmement délicate; et
  • l'utilisation de la cryptographie pour protéger les renseignements désignés de nature peu délicate et particulièrement délicate qui sont transmis en mode électronique, à condition d'être appuyés par une évaluation de la menace et des risques.

Critère 11.2 Les projets d'élaboration des technologies de l'information tiennent compte des exigences relatives à la sécurité des communications et y recourent au besoin.

Critères détaillés - Procédés de vérification :

11.2.1 Obtenir la liste des services liés aux technologies de l'information actuels tels que les réseaux de téléphone, le service intégré de messageries vocales et de courrier, les vidéoconférences, les services de communication cellulaire et de recherche de personnes et les services de télécopie. En choisir plusieurs de taille et de complexité différentes.

11.2.2 Interviewer le ou les gestionnaires du centre de responsabilité. Déterminer si ce ou ces gestionnaires ont envisagé le besoin d'adopter des mesures de sécurité; plus précisément la nécessité d'assurer la sécurité des communications.

11.2.3 Déterminer si le coordonnateur de la STI ou le responsable de la COMSEC a été consulté au sujet des exigences de sécurité des communications.

11.2.4 Examiner les énoncés de la nature délicate relativement aux exigences de confidentialité, d'intégralité et de disponibilité des technologies de l'information.

11.2.5 Dans le cas des transmissions électroniques renfermant des renseignements désignés classifiés ou de nature extrêmement délicate, déterminer si l'on utilise des méthodes de chiffrement entérinées ou approuvées ou d'autres méthodes approuvées par le CST.

11.2.6 Dans le cas des renseignements désignés de nature peu délicate ou particulièrement délicate transmis sans méthode de chiffrement approuvée, déterminer si la méthode repose sur une évaluation de la menace et des risques adéquate. Vérifier si l'évaluation de la menace et des risques est signée par un gestionnaire compétent et soit par le coordonnateur de la STI, soit par le responsable de la COMSEC.

Objectif no 12

Voir à ce que les réseaux et applications réseaux soient élaborés et tenus à jour en tenant compte des exigences relatives à leur sécurité.

Critère 12.1 Des politiques, méthodes et procédures relatives à la sécurité des réseaux ont été établies.

Méthodologie :

12.1.1 Examiner les politiques, méthodes et procédures de sécurité de l'organisation pour déterminer si elles traitent de la sécurité des réseaux. Ces politiques, méthodes et procédures doivent comporter, à tout le moins, les éléments suivants :

  • voir à ce que les exigences des politiques et des normes destinées à protéger les renseignements de nature délicate acheminés sur les réseaux ainsi que les éléments d'actifs de nature délicate des réseaux soient mises en application;
  • tenir à jour les graphiques de configuration et les répertoires des réseaux;
  • voir à ce que les réseaux soient homologués et agréés;
  • obtenir l'autorisation préalable du coordonnateur de la STI concernant tous les changements apportés à la configuration des réseaux et consigner ces changements par écrit;
  • examiner les évaluations de la menace et des risques et réviser l'accréditation et la certification des réseaux une fois que des changements ont été apportés à leur configuration;
  • surveiller l'exploitation des réseaux pour détecter toute anomalie se rapportant à la sécurité; et
  • trouver une méthode officielle pour résoudre les problèmes de sécurité.

Critère 12.2 Les réseaux et applications réseaux des TI tiennent compte des exigences relatives à la sécurité des réseaux et recourent à des mesures de protection connexes au besoin.

Méthodologie :

12.2.1 Acquérir une liste des services des technologies de l'information tels que ceux liés au traitement des messages, à l'échange de données informatiques, au virement électronique de fonds et au transfert de fonds par grand réseau.

12.2.2 Interviewer le ou les gestionnaires du centre de responsabilité des services. Déterminer si ce ou ces gestionnaires ont envisagé la nécessité d'assurer la sécurité.

12.2.3 Déterminer si le coordonnateur de la STI ou le responsable de la COMSEC a été consulté au sujet des exigences relatives à la sécurité des réseaux.

12.2.4 Examiner les énoncés de la nature délicate relativement aux exigences de confidentialité, d'intégrité et de disponibilité des réseaux.

12.2.5 Obtenir la liste des normes sur lesquelles le service du réseau est établi. Déterminer si les profils de sécurité de chaque norme applicable ont été envisagés et appliqués.

12.2.6 Déterminer si les renseignements classifiés et les renseignements désignés de nature extrêmement délicate sont protégés par une cryptographie approuvée.

12.2.7 Lorsqu'on n'utilise une cryptographie approuvée pour protéger les renseignements désignés de nature peu délicate, déterminer si cela résulte de l'évaluation de la menace et des risques.

12.2.8 Dans le cas des ministères qui se servent de réseaux à valeur ajoutée dans leurs services de commerce électronique, déterminer si les exigences de sécurité relatives à la confidentialité, à l'intégrité et à la disponibilité ont été intégrées au marché de service du réseau à valeur ajoutée.

12.2.9 Dans les cas où c'est le secteur privé qui fournit les services de réseau, déterminer si les exigences de sécurité ont été envisagées dans la passation de ces marchés de service et ont été jointes au marché sous forme de liste de contrôle des exigences relatives à la sécurité.

12.2.10 Lorsque les services de réseau engagent plus d'un ministère (par exemple pour le traitement des messages), déterminer si les ministères ont collaboré à l'établissement des exigences relatives à la sécurité pour assurer la meilleure efficacité, efficience et économie.

Objectif no 13

Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences de sécurité relatives à l'autorisation et à l'authentification électroniques (AAE).

Critère 13.1 En cherchant à assurer l'autorisation et l'authentification des opérations et des documents, ou des signatures numériques, les systèmes liés aux technologies de l'information tiennent compte de l'exigence de sécurité des AAE et utilisent des mesures de protection connexes au besoin.

Méthodologie :

13.1.1 Selon le degré de nature délicate des renseignements traités par le logiciel et le degré d'exactitude des codes d'identification d'utilisateur et de l'authentification requis, déterminer si des procédures d'autorisation et d'authentification électroniques devraient être mises en oeuvre.

13.1.2 Dans le cas des systèmes qui utilisent des signatures numériques et aussi des systèmes cryptographiques à clé publique et de gestion des clés, déterminer si la cryptographie et les structures de gestion des clés sont entérinées ou approuvées par le CST.

13.1.3 Dans le cas des applications utilisant des signatures numériques et aussi la cryptographie pour protéger la confidentialité des données, déterminer si les deux exigences ont été retenues ensemble au moment de leur conception.

Objectif no 14

Voir à ce que les TI soient élaborées et tenues à jour en tenant compte des exigences relatives à la sécurité des signaux de valeur.

Critère 14.1 Les systèmes liés aux technologies de l'information, surtout ceux qui traitent, transmettent ou stockent des renseignements désignés de nature très secrète ou extrêmement délicate, sont ou ont été élaborés et tenus à jour et l'on a tenu compte de l'exigence relative à la sécurité des signaux de valeur.

Méthodologie :

14.1.1 Obtenir la liste des systèmes actuels liés aux technologies de l'information. En examiner plusieurs de ceux qui traitent et transmettent ou stockent des renseignements désignés de nature très secrète ou extrêmement délicate.

Interviewer le ou les gestionnaires du centre de responsabilité. Déterminer si ce ou ces gestionnaires ont envisagé la nécessité d'assurer la sécurité des signaux de valeur. Lorsque des mesures de protection TEMPEST ont été adoptées, déterminer si elles s'appuient sur les résultats d'une évaluation de la menace et des risques.

14.1.2 Déterminer si le coordonnateur de la STI, le responsable de la COMSEC ou le CST ont été consultés au sujet des exigences concernant la sécurité des signaux de valeur.

14.1.3 Dans le cas d'autres systèmes qui traitent, transmettent ou stockent des renseignements désignés de nature peu ou particulièrement délicate, confidentiels ou secrets, déterminer si la méthode de chaque logiciel s'appuie sur une évaluation adéquate de la menace et des risques. Vérifier si cette évaluation a été signée par le gestionnaire du centre de responsabilité et par le coordonnateur de la STI ou le responsable de la COMSEC.

Sécurité de l'exploitation

Objectif no 15

Voir à ce que les activités d'exploitation de la STI soient exercées et répondent aux besoins du ministère.

Critère 15.1 Des politiques et des procédures relatives à la STI ont été établies.

Méthodologie :

15.1.1 Examiner les documents du ministère portant sur les politiques et les pratiques de sécurité pour déterminer s'ils traitent adéquatement de l'obligation pour les centres de responsabilité des technologies de l'information d'élaborer des procédures de sécurité relatives à la STI. Des procédures devraient à tout le moins être élaborées concernant les activités suivantes :

  • les activités journalières d'exploitation;
  • la prise en charge de programmes de production réguliers;
  • l'utilisation de matériel et de logiciels privilégiés;
  • l'autorisation des systèmes (mots de passe, jetons) et l'accès aux systèmes;
  • la responsabilisation et le contrôle dans le contexte de l'exploitation;
  • l'autorisation et le contrôle de l'accès à destination et en provenance des centres de télécommande;
  • les plans de mesures d'urgence, de rétablissement du service et de reprise des activités en cas de catastrophe;
  • le démarquage et l'élimination des supports électroniques; et
  • la définition des méthodes de règlement des problèmes.

15.1.2 Dans le cas des environnements des systèmes liés aux technologies de l'information à l'étude, déterminer si ces procédures ont été élaborées.

15.1.3 Déterminer si le personnel a reçu la formation adéquate concernant l'utilisation des procédures.

15.1.4 Déterminer dans quelle mesure ces procédures sont respectées.

Liste de pouvoirs et de documents de référence

Lois pertinentes

Loi sur l'accès à l'information
Code canadien du travail
Loi sur le Service canadien du renseignement de sécurité
Code criminel
Loi sur le casier judiciaire
Loi sur la gestion des finances publiques
Loi d'interprétation
Loi sur les secrets officiels
Loi sur la protection des renseignements personnels
Loi sur l'emploi dans la fonction publique
Loi sur les relations de travail dans la fonction publique
Loi sur la réforme de la fonction publique
Ordonnances et règlements royaux
Loi sur les jeunes contrevenants

 

Politiques et normes

Sécurité du gouvernement - Politique de premier niveau et normes opérationnelles de deuxième niveau

Volume "Sécurité", 1994, Manuel du Conseil du Trésor.

Sécurité du gouvernement - Normes techniques de troisième niveau

Critères canadiens d'évaluation des produits informatiques, version 3.0 (NITSM 8/93 et CID 09/19), CST, 1993

Manuel des articles cryptographiques contrôlés (CID/01/08) CST, mars 1992

Guide de la gestion des risques en matière de sécurité dans les systèmes de technologies d'information (ébauche), CST, 1994

Certification et Accréditation (ébauche),CST, septembre 1991

Manuel de contrôle du matériel INFOSEC (CID/01/10), (ébauche), CST, septembre 1991

Ligne directrice sur les systèmes de confiance (CID/09/17), CST, décembre 1992

Guide de l'évaluation de la menace at des risques pour les technologies de l'information

(SIP 5) (ébauche), GRC, juin 1994

Guide de la sécurité dans l'environnement de bureau électronique (SIP 4), GRC, octobre 1992

Normes de sécurité technique dans le domaine de la technique de l'information (ébauche), GRC, 1994

 

Conseil du Trésor - Documents connexes aux technologies de l'information

Ordinateurs et renseignements personnels : Lignes directrices à l'intention des personnes chargées de la planification des systèmes, Secrétariat du Conseil du Trésor, 1993

Politique sur l'autorisation et l'authentification électroniques, ch. 3-2, volume "Gestion financière", Manuel du Conseil du Trésor

Échange électronique des données (EDI), (NCTTI-10), volume "Gestion de l'information", Manuel du Conseil du Trésor

Ligne directrice du gouvernement du Canada sur la mise en oeuvre de l'échange électronique de données (NSTTI 10-1), volume "Gestion de l'information", Manuel du Conseil du Trésor

Guide de la sécurité des systèmes ouverts, Secrétariat du Conseil du Trésor, novembre 1993

Comment gérer les répertoires et les fichiers dans votre ordinateur, Archives nationales du Canada et Conseil du Trésor du Canada, 1993

Profil des systèmes de messageries (NCTTI 6.4), volume "Gestion de l'information", Manuel du Conseil du Trésor

Profil de la sécurité (COSAC), Normes du Conseil du Trésor relatives aux technologies de l'information (NCTTI 6.6), volume "Gestion de l'information", Manuel du Conseil du Trésor

Sommaire des normes approuvées du Conseil du Trésor sur les technologies de l'information, Secrétariat du Conseil du Trésor, septembre 1992

Politique sur les pertes de fonds et infractions et autres actes illégaux contre la Couronne, volume "Gestion financière", Manuel du Conseil du Trésor, 1992

Norme sur la protection contre l'incendie du matériel de traitement électronique de l'informatique, ch. 12, vol. 7, Manuel Gestion du personnel.

 

Guides de vérification

Guide de vérification - Gestion des risques, Groupe d'évaluation, de vérification, et d'examen (GEVE), Secrétariat de Conseil du Trésor, novembre 1994.

Guide de vérification des systèmes en cours d'élaboration (série 500, guide 507), document de travail,Bureau du Contrôleur général, mars 1991.

Guide de vérification de la programmation par l'utilisateur ultime (série 500, guide 508), document de travail, Bureau du Contrôleur général, mars 1991.

Guide de vérification des plans d'urgence et de reprise en cas de sinistre (série 500, guide 509), document de travail, Bureau du Contrôleur général, mars 1991.

Guide de vérification de la sécurité (série 400, guide 406), exposé-sondage, Bureau du Contrôleur général, juin 1990.

Guide de vérification du processus de gestion (série 100, guide 102), Bureau du Contrôleur général, février 1987.

Guides de vérification - Vérification de l'informatique : Planification de la vérification de l'informatique, Bureau du vérificateur général, 1983.

 

STI du gouvernement - Publications se rapportant à l'information

CST

Bulletin national de sécurité des technologies de l'information (NITSM)

CTIB Bulletin technique - Sécurité des télécommunications

Bulletin INFOSEC

GRC

Bulletins - Sécurité de l'informatique

SCT - Politique de l'information, des communications et de la sécurité

Avis de mise en oeuvre de la politique sur la sécurité (SPINS) - (traitent régulièrement de questions se rapportant à la STI)

 

Comités gouvernementaux s'occupant de la sécurité des technologies de l'information

Comité de la sécurité des communications électroniques (CSC)

Réunions :Une par mois
Président :CST
Membres :Ministères ayant des comptes COMSEC importants : CST, GRC, MDN, TPSGC, SCRC, CAC, DRH, AECI, BCP, TC.
Rôle :Fournit une orientation stratégique aux ministères participants sur la gestion du matériel et des systèmes de la COMSEC.

Comité des techniques de sécurité relatives à l'information (CTSRI)

Réunions :Une par mois
Coprésidents :Alternativement la GRC et le CST
Membres: GRC, CST, SCT, TC, SC, SCRS, IC, SC, MDN, DRH, EC, AECI, TPSGC, RC.
Rôle :Conseille la GRC et le CST sur les questions de la STI. Recommande et examine de façon régulière la PSG et la norme opérationnelle de la STI. Sert de forum pour des échanges d'information sur la STI. Favorise la collaboration entre les ministères dans le domaine de la STI. Communique et coordonne avec d'autres comités des questions d'intérêt mutuel.

Table des matières proposée pour un rapport de vérification de la STI

(Classification de sécurité du document)

Avis au lecteur

(Verso de la page couverture)

Avant-propos

1.0 Sommaire

1.1 Objet

1.2 Objectifs

1.3 Étendue

1.4 Principales observations

1.5 Évaluation générale

  • Énoncé de conformité de la PSG
  • Énoncé sur l'efficience et la mise en oeuvre de la PSG
  • Énoncé sur l'efficacité de la mise en oeuvre de la PSG

1.6 Principales recommandations

2.0 Introduction

2.1 Contexte-Objet

2.2 Objectifs

2.3 Étendue

  • Organisations vérifiées
  • Activités vérifiées
  • Locaux
  • Domaines de la politique sur la sécurité abordés

2.4 Approche et méthode

2.5 Équipe de vérification

2.6 Période de la vérification

2.7 Remerciements

3.0 Constatations et recommandations

3.1 Organiser et administrer la STI

3.2 La STI et la sécurité du personnel

3.3 La STI et la sécurité matérielle

3.4 STI

3.4.1 Sécurité du matériel

3.4.2 Sécurité des logiciels

3.4.3 Sécurité des communications

3.4.4 Sécurité de l'exploitation
(Réponse(s) de la direction à chacune des constatations)

Annexe A : Organigramme

Annexe B : Budget alloué à la sécurité

Annexe C : Fonction de sécurité de la STI comparativement à la matrice des responsabilités liées à la sécurité

Annexe D : Résumé des examens, vérifications et inspections de l'EISI

Avis au lecteur

Pour obtenir plus de renseignements concernant les constatations, les recommandations et les actions prises depuis la vérification, veuillez communiquer avec le chef de la vérification.

Notice to the reader

You may find it helpful to contact the head of the department/agency audit unit responsible for this report to obtain further information concerning the audit findings, scope, recommendations, or actions taken since the audit.

Glossaire

Accréditation (accreditation)- approbation d'un gérant responsable afin d'opérer un système de technologies de l'information en utilisant un ensemble particulier de moyens de protection.

Agent de sécurité du ministère (departmental security officer) - la personne chargée d'élaborer, de mettre en oeuvre, de coordonner et de surveiller le programme ministériel de sécurité selon les termes de la politique et les normes de sécurité.

Aire insonorisée (AI) (sensitive discussion area) - désigne un endroit spécialement conçu et géré pour prévenir l'écoute, électronique ou autre, de discussions au sujet de renseignements classifiés ou désignés.

Atteinte à l'intégrité (compromise) - situation résultant de toute divulgation, destruction, suppression, modification ou interruption non autorisées.

Autorisation et authentification électroniques(electronic authorization and authentication) - moyen électronique de définir et de vérifier quels sont les droits ou les pouvoirs de l'utilisateur légitime d'une application réseau (autorisation), et de déterminer et de vérifier quels sont les utilisateurs d'applications et les appareils légitimes (authentification).

Avec motif (for cause) - un terme indiquant la nécessité d'une enquête plus approfondie suivant les renseignements disponibles. Cette décision relève d'un ministère ou d'un organisme menant l'enquête dans les cas particuliers, ou conjointement pour certains groupes ou catégories.

Bien de nature délicate (sensitive asset) - bien classifié ou désigné.

Biens classifiés (classified assets) - tout bien matériel, autre qu'un renseignement, ayant une importance pour l'intérêt national et dont la protection est justifiée.

Biens désignés (designated assets) - tout bien matériel, autre que des renseignements, que le ministère a reconnu important pour ses opérations en raison de son usage ou de sa valeur et qui mérite donc d'être protégé; par exemple, l'argent et tout effet négociable, et les technologies de l'information dont la protection est nécessaire pour garantir l'intégrité et la disponibilité des renseignements qu'ils contiennent.

Bureau à aires ouvertes (open-office area) - bureau comportant de nombreux postes de travail qui ne sont séparés ni par des portes ni par des murs.

Carte d'identité (identification card) - document émis par le ministère afin d'identifier le porteur en tant qu'employé de ce ministère.

Certification (certification) - examen par le personnel compétent des mesures de protection de la sécurité mises en place au sein du système des technologies de l'information suivant les exigences relatives à la sécurité du système.

Circuits approuvés (approved circuits) - liaisons de télécommunication approuvées par le CST auxquelles sont ajoutées des mesures de protection matérielle et électromagnétique permettant la transmission protégée de renseignements de nature délicate non chiffrés.

Coffre (container) - tout espace, y compris un classeur ou une pièce, utilisé pour ranger des renseignements ou des biens.

COMSEC (COMSEC)- protection résultant de l'application de mesures de sécurité cryptographique, de sécurité de la transmission et de sécurité d'émission aux télécommunications et au matériel d'acheminement des données qinsi que de l'application d'autres mesures pertinentes aux renseignements et au matériel visés par la COMSEC. Cela comprend également les instructions relatives à la réalisation de cette protection. Ces mesures sont destinées à empêcher que ne soit compromise l'intégrité des renseignements stockés, transmis ou traités par un système de technologies de l'information. La COMSEC est également conçue pour garantir l'authenticité des télécommunications.

Confidentialité (confidentiality) - sensibilité des renseignements ou biens classifiés ou désignés à la divulgation non autorisée, dont l'appellation indique le degré de préjudice possible en cas de divulgation non autorisée.

Confidentiel (confidential) - niveau de classification des renseignements et biens lorsqu'une atteinte à l'intégrité est vraisemblablement susceptible de porter préjudice à l'intérêt national; en majuscules, un signe indiquant le niveau de sensibilité.

Conséquence (consequence) - résultat, effet; synonyme d'impact.

Cote de fiabilité de base (basic reliability status) - type d'enquête de sécurité minimale; donne uniquement accès à des renseignements et à des biens de nature non délicate.

Cote de sécurité donnant accès aux sites (site-access security clearance) - type d'enquête de sécurité sur le personnel nécessaire dans certaines circonstances limitées et spécifiques lorsque certaines tâches exigent que l'employé ait accès, normalement pour de courtes périodes, à des endroits ou installations gouvernementaux et non à des renseignements de nature délicate.

Cote de sécurité (security clearance) - type d'enquête de sécurité qui, en raison du besoin de savoir, est obligatoire pour l'accès aux renseignements et aux biens classifiés.

Cote de fiabilité approfondie (enhanced reliability status) - type d'enquête de sécurité qui, en raison du besoin de savoir, est obligatoire pour l'accès aux renseignements et aux biens désignés.

Cryptage (encryption) - transformation de données intelligibles en une suite de caractères incohérents au moyen un procédé de codage réversible.

Cryptographie (cryptography) - la discipline qui traite des principes, des moyens et des méthodes permettant de rendre des renseignements inintelligibles et de reconvertir des renseignements inintelligibles en renseignements cohérents.

Cryptographique (cryptographic) - qui se rapporte à la cryptographie ou qui utilise la cryptographie

Cryptographie approuvée (approved cryptography) - cryptographie homologuée par des nations alliées, comme les États-Unis, qui est proposée pour des applications ministérielles spécifiques et bien documentées.

Cryptographique homologuée (endorsed cryptography) - cryptographie évaluée par le CST qui respecte des critères acceptés. Comprend le matériel informatique, les logiciels et la mise en oeuvre de microprogrammes d'algorithmes cryptographiques.

Déclassement (downgrading) - décision écrite de l'auteur des renseignements de nature délicate ou de tout autre agent autorisé par l'administrateur général ou responsable d'un organisme, d'abaisser le niveau de classification des renseignements ou de ne plus les considérer comme désignés.

Déclassification (declassification) - la décision écrite de l'auteur des renseignements classifiés ou d'un autre agent autorisé par l'administrateur général ou responsable d'un organisme, de ne plus considérer les renseignements comme classifiés.

Défense du Canada ou de tout État allié ou associé (defence of Canada or any state allied or associated with Canada) - les efforts déployés par le Canada ou des États étrangers pour découvrir, empêcher ou réprimer les activités d'un État étranger en vue d'attaquer réellement ou éventuellement le Canada ou l'un de ses États alliés ou associés, ou encore de commettre d'autres actes d'agression envers eux.

Démarquage (sanitization) - (i) modification ou effacement de renseignements de nature délicate consignés pour éviter qu'ils ne soient divulgués sans autorisation; (ii) modification du SIGINT afin d'en permettre une diffusion plus large.

Disponibilité (availability) - condition d'être disponible sur demande afin de soutenir les fonctions d'affaires.

Données (data) - représentation de faits, de concepts ou d'instructions sous une forme appropriée aux télécommunications, à l'interprétation ou au traitement par des personnes ou par des moyens automatisés.

Endroit contrôlé (controlled area) - tout endroit comportant tout agencement des trois zones à accès restreint.

Endroits de service (service spaces) - aires telles les vestiaires, toilettes, cafétérias, passages, bureaux d'enregistrement, ainsi que les aires de service de l'immeuble telles le téléphone, les placards pour l'électricité et le matériel des concierges.

Énoncés de la nature délicate (statement of sensitivity) - description des exigences quant au caractère confidentiel, à l'intégrité ou à la disponibilité des renseignements ou des biens stockés ou traités dans un système des technologies de l'information ou transmis grâce à ce système.

Environnement de travail (operations environment) - aire au sein des installations informatique contrôlée par le personnel des systèmes informatiques.

Équipement de sécurité (security equipment) - équipement évalué ou vérifié par rapport aux normes établies par l'organisme conseil. Le Guide de l'équipement de sécurité énumère la liste d'équipement de sécurité pouvant être utilisé par le gouvernement fédéral.

Évaluation de la menace (threat assessment) - analyse de la nature, de la probabilité et des conséquences des actes ou événements susceptibles de représenter une menace effective pour les renseignements et biens de nature délicate.

Évaluation des risques (risk assessment) - analyse de la probabilité que quelqu'un puisse profiter des points faibles, compte tenu de l'efficacité des mesures de sécurité actuelles ou proposées.

Évaluation sécuritaire (security assessment) - évaluation de la loyauté au Canada et de la fiabilité d'une personne dans ce contexte; condition préalable à l'obtention d'une cote de sécurité.

Garde de sécurité (security guard) - personne dont la tâche principale implique la protection des renseignements et des biens.

Guide de désignation (designation guide) - voir guide de classification et désignation.

Guide de classification et désignation (classification and designation guide) - document interne, approuvé par l'administrateur général d'un ministère ou le responsable d'un organisme, indiquant les types de renseignements devant être classifiés ou désignés.

Heures d'accès limité (limited-access hours) - périodes en dehors des heures d'ouverture pendant lesquelles seules les personnes autorisées, normalement les employés et exceptionnellement les visiteurs autorisés ont accès aux zones de réception et aux aires contrôlées.

Heures d'ouverture (business hours) - heures affichées pendant lesquelles les zones de réception sont accessibles au public et lorsque toute personne autorisée ou visiteur peut avoir accès aux zones contrôlées.

Infraction à la sécurité (breach of security) - toute atteinte à l'intégrité de renseignements et de biens de nature délicate. L'infraction s'entend notamment, mais non exclusivement, d'une atteinte à l'intégrité dans des circonstances qui ont l'apparence d'une infraction.

Insigne d'accès (access badge) - document fourni par un ministère permettant d'indiquer la zone ou l'installation à laquelle le détenteur est autorisé à avoir accès.

Installation (facility) - désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d'un immeuble; soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n'est pas un immeuble. Le terme désigne non seulement l'objet même mais aussi son usage.

Intégrité (integrity) - l'exactitude et l'état complet des renseignements et biens.

Intérêt national (national interest) - concerne la protection et le maintien de la stabilité socio-politique et économique du Canada.

Interruption (interruption) - la non-disponibilité de renseignements, biens, systèmes ou services. L'interruption peut être accidentelle ou délibérée.

Logiciel privilégié et puissant (privileged or powerful software) - logiciel capable d'omettre, d'outrepasser ou d'altérer les contrôles.

Manquement à la sécurité (violation of security) - tout acte ou omission qui contrevient à une disposition de la Politique sur la sécurité, notamment négliger de classifier ou désigner des renseignements conformément à la politique; classifier ou désigner des renseignements à l'encontre de la politique ou maintenir une telle classification ou désignation; modifier, garder, détruire ou supprimer sans autorisation des renseignements de nature délicate; et interrompre sans autorisation l'acheminement de renseignements de nature délicate.

Menace (threat) - tout événement ou acte qui pourrait amener une ou plusieurs des situations suivantes à se produire : divulgation, destruction, suppression, modification ou interruption non autorisées de renseignements de biens ou de services, de nature délicate, ou encore un préjudice à des personnes. Une menace peut être volontaire ou accidentelle.

Ministère (department) - tout ministère ou institution de l'État auquel s'applique la politique de sécurité.

Ministère tuteur (sponsoring department) - ministère chargé de présenter pour leur approbation, au Conseil du trésor, les soumissions quant aux objectifs des projets et l'autorité pour les dépenses, et devant gérer le projet.

Ministères gardiens (custodian departments) - ministères responsables de l'administration d'une installation allouée à d'autres ministères pour la direction de programmes gouvernementaux.

Modification (modification) - l'altération de renseignements, de données, de logiciels ou de matériel informatique ou autre. La modification peut être accidentelle ou volontaire.

Normes de sécurité (security standard) - Niveau considéré comme mesure adéquate; exigences et lignes directrices en matière de sécurité approuvés pour l'ensemble du gouvernement fédéral. (Les normes opérationnelles forment une partie du Manuel du Conseil du trésor; les normes techniques proviennent des organismes conseil en matière de sécurité).

Organisme conseil (lead agency) - organisme responsable à l'échelle du gouvernement de la Politique sur la sécurité, telle que définie dans celle-ci.

Périmètre de sécurité (secure perimeter) - désigne des obstacles matériels ininterrompus qui peuvent vraisemblablement contrer des menaces anticipées.

Pièce d'équipement de cryptographie contrôlée (controlled cryptographic item (CCI)) - matériel de télécommunications ou de traitement de l'information sûr, ou une composante cryptographique connexe ou auxiliaire, non classifié lorsqu'il n'est pas codé (ou lorsqu'il est codé au moyen d'un code non classifié), mais qui est contrôlé par un système de compte rendu.

Planification de reprise des opérations (business resumption planning) - processus d'élaboration d'un plan pour la reprise des affaires en cas d'interruption.

Planification des cas d'urgence (contingency planning) - processus d'élaboration d'un plan pour la reprise des opérations des technologies de l'information en cas d'interruption.

Principe d'accès sélectif (need-to-access principle) - limitant l'accès à certains endroits à ceux qui doivent y travailler.

Principe de connaissance sélective (need-to-know principle) - limitant la diffusion de renseignements à ceux qui ont besoin de ces renseignements pour leur travail.

Processus de passation des marchés (contracting process)- comprend l'invitation à soumissionner, les négociations, la passation, l'exécution et la résiliation des marchés.

Produit éprouvé (trusted product)- élément d'un système des technologies de l'information évalué par rapport à des critères donnés.

PROTÉGÉ (PROTECTED) - mention indiquant que les renseignements sont désignés et nécessitent davantage qu'une protection de base.

Renseignement classifié (classified information) - tout renseignement lié à l'intérêt national qui pourrait faire l'objet d'une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels et dont on peut croire que toute atteinte à son intégrité pourrait porter préjudice à l'intérêt national.

Renseignement désigné de nature peu délicate (low-sensitive designated information) - une sous-catégorie de renseignements désignés qui pourraient vraisemblablement causer des préjudices s'il y a atteinte à son intégrité; peut porter la mention PROTÉGÉ A.

Renseignements désignés de nature particulièrement délicate (particularly sensitive, designated information) - une sous-catégorie de renseignements désignés qui pourraient vraisemblablement causer des blessures s'il y a atteinte à leur intégrité; peuvent porter la mention PROTÉGÉ B. Voir article 5,4 chapitre 2-1 pour la liste des renseignements personnels pouvant faire l'objet d'une mention désignés de nature particulièrement délicate.

Renseignements désignés (designated information) - tout renseignement non lié à l'intérêt national qui pourrait faire l'objet d'une exception ou d'une exemption en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels.

Renseignements désignés de nature extrêmement délicate (extremely sensitive designated information) - une sous-catégorie de renseignements désignés pouvant vraisemblablement causer de très sérieux préjudices, entraînant la mort, s'il y a atteinte à son intégrité; peut porter la mention PROTÉGÉ C.

Renseignements détenus (information holdings) - tout renseignement qu'a en sa possession un ministère, peu importe l'objet matériel dans lequel le renseignement est stocké. Cette définition ne tient pas compte du matériel conservé par les bibliothèques du gouvernement fédéral, qui n'a pas été préparé ou fabriqué par ou pour des gouvernements.

Renseignement électromagnétique (signals intelligence (SIGINT)) - nom donné aux renseignements recueillis au sujet de pays étrangers en interceptant et étudiant leurs communications par radio, câble, radar et autres transmissions électroniques.

Renseignements personnels (personal information) - toute forme de renseignement consigné au sujet d'une personne identifiable. Voir l'art. 3 de la Loi sur la protection des renseignements personnels pour une liste d'exemples. La Loi indique également quelques exceptions à la définition. Les renseignements personnels, une sous-catégorie des autres renseignements de nature délicate, méritent une protection accrue et peuvent porter la mention : «PROTÉGÉ ¯ Renseignements personnels».

Risque (risk) - (i) possibilité que quelqu'un tire parti de points faibles; (ii) incertitude.

Secret (secret) - niveau de classification accordé aux renseignements ou biens pour lesquels toute atteinte à l'intégrité risquerait vraisemblablement de porter un préjudice sérieux à l'intérêt national.

Sécurité des réseaux (network security) - protection des réseaux électroniques et leurs services, et l'assurance que les réseaux fonctionnent correctement et au moment voulu.

Sécurité des technologies de l'information (information technology security) - désigne la protection résultant d'une série de mesures de protection intégrées visant à protéger la confidentialité de renseignements stockés, traités ou transmis par voie électronique, l'intégrité des renseignements et des processus afférents et la disponibilité des systèmes et des services.

Sécurité des signaux de valeur (Emanation security) - section qui consiste à réduire tant l'interférence électromagnétique entre les technologies de l'information et le matériel de télécommunications, que les signaux électromagnétiques émis accidentellement lesquels, une fois interceptés, révèlent des renseignements de nature délicate.

Sécurité matérielle (physical security) - mécanismes de protection, détection et de réponse utilisés dans le milieu afin de contrôler l'accès aux renseignements de nature délicate et aux biens.

Signature numérique (digital signature)- transformation cryptographique des données qui, lorsqu'elle est réalisée sur une unité de données, permet d'authentifier leur origine et de garantir leur intégrité, en plus de confirmer le non-rejet du signataire.

Signaux de valeur (compromising emanations) - signaux émis accidentellement et porteurs de renseignements qui, si interceptés et analysés, pourraient révéler des renseignements de nature délicate provenant de tout système ou équipement de traitement de l'information.

Suppression (removal) - toute perte de renseignements ou de biens qui peut être accidentelle, par exemple, lorsqu'ils sont jetés avec les rebuts, ou délibérée, dans le cas d'un vol.

Surveiller (monitor) - afin de s'assurer que les renseignements et les biens, ou les mesures de protection les protégeant sont vérifiés par le personnel ayant le contrôle des renseignements ou des biens, le personnel de sécurité ou les moyens électroniques à intervalles assez réguliers afin de se conformer à l'évaluation de menace et risques.

Système éprouvé (trusted system)- système des technologies de l'information qui recherche le niveau de confiance et l'assurance d'un utilisateur quant à la sécurité offerte par les moyens techniques.

Technologies de l'information (information technology) - désigne les disciplines scientifiques, technologiques et techniques de même que les pratiques de gestion qui servent à la manipulation, à la communication et au traitement de l'information; les domaines de l'informatique, des télécommunications, des réseaux et leur convergence dans les systèmes; les applications, le logiciel et le matériel connexe ainsi que leur interaction avec les personnes et les machines.

Télécommunications (telecommunications) - tel que défini dans La Loi d'interprétation, ch. 1.21, L.R.C., toute transmission, émission ou réception de signes, de signaux, d'inscriptions, d'images, de sons ou de renseignements de quelque nature que ce soit, par câble, par radio, par système visuel ou par tout autre système électro magnétique. Cela comprend le téléphone, le télégraphe, le téléimprimeur, la télécopie, la transmission de données, la télévision en circuit fermé et la dictée à distance.

TEMPEST (TEMPEST) - domaine traitant de la suppression de signaux électromagnétiques émis ou transmis involontairement, qui révèlent des renseignements.

Très secret (top secret) - niveau de classification accordée aux renseignements ou aux biens pour lesquels toute atteinte à l'intégrité risquerait vraisemblablement de causer un préjudice exceptionnellement grave à l'intérêt national.

Valeur (value) - coût approximatif.

Vérification approfondie de la fiabilité (enhanced reliability check) - évaluation de l'intégrité d'une personne; condition pour obtenir la cote de fiabilité approfondie.

Vérification de base de la fiabilité (basic reliability check) - évaluation de l'intégrité d'une personne; condition préalable de l'obtention de la cote de fiabilité de base.

Vulnérabilité (vulnerability) - (i) une menace pouvant avoir des répercussions néfastes en raison de services de sécurité inadéquats; (ii) une faiblesse propre aux technologies de l'information les rendant particulièrement sensibles à une atteinte à leur intégrité.

Comités et normes

Normes

La politique du gouvernement favorise l'élaboration, la distribution et l'utilisation de normes sur l'acquisition, la gestion et l'utilisation efficaces des technologies de l'information et sur la protection des investissements. Entre autres avantages, ce processus encourage la compatibilité et l'interopérabilité, diminue le dédoublement des données et garantit l'adoption de mesures adéquates de protection de la sécurité. Chaque fois que possible, le gouvernement adopte des normes nationales ou internationales. Il ne mettra lui-même au point de nouvelles normes que pour répondre à un besoin précis du gouvernement fédéral.

Les comités interministériels des technologies de l'information et de la STI s'efforcent de résoudre les problèmes communs de façon cohérente dans l'ensemble du gouvernement. Ces comités examinent aussi les projets de normes relatives aux TI et à la STI pour en assurer le caractère pratique, l'intégralité, l'exactitude et la viabilité.

L'unité organisationnelle du ministère chargée de la STI doit être au courant des Normes du Conseil du Trésor sur les technologies de l'information (NCTTI) et du programme des comités, et devrait peut-être participer à leur élaboration, le cas échéant. À tout le moins, le coordonnateur de la STI doit être au fait des groupes de travail et des normes se rapportant à la STI. Des économies d'échelle pourront ainsi être réalisées et les systèmes conserveront leur efficacité et interopérabilité requises.

Les groupes de travail sur les NCTTI qui ont trait à la sécurité comprennent notamment les suivants :

(traduction officieuse)

  • Comité interne du gouvernement d'implantation de l'ISO;
  • Groupe de travail sur le commerce électronique;
  • Groupe de travail sur les cartes à circuits intégrés - cartes à mémoire;
  • Sous-groupe technique de travail sur la sécurité pour les cartes à mémoire
  • Groupe d'intérêt particulier sur l'accès à distance au groupe des systèmes d'information;
  • Groupe de travail de base sur l'ISO;
  • Groupe de discussion particulier sur la sécurité des réseaux; et
  • Groupe de discussion particulier sur les systèmes-répertoires de traitement des messages.

Pour avoir des renseignements détaillés sur ces comités et groupes et sur d'autres comités et groupes de gestion de l'information ou des technologies de l'information, consulter le bureau du DPI au SCT.

Comités s'occupant de la STI

Il y a deux comités interministériels principaux qui s'occupent particulièrement de questions de la STI, à savoir :

  • le Comité de la sécurité des communications électroniques; et
  • le Comité des techniques de sécurité relatives à l'information.

Comité de la sécurité des communications (CSC)

Le CSC donne des orientations stratégiques aux ministères participants sur la gestion du matériel et des systèmes COMSEC. En raison de la nature sensible des questions abordées, c'est un comité qui a des règles d'adhésion strictes : seuls les ministères qui ont un important compte COMSEC en vertu du CST peuvent en être membres. La plupart des discussions en réunion et des procès-verbaux qui en résultent sont classifiés.

Comité des techniques de sécurité relatives à l'information (CTSRI)

Sous la direction et les conseils du SCT, de la Direction "T" de la GRC et du directeur général de la Sécurité du CST, le CTSRI :

  • donne des conseils au CST, à la GRC et au SCT sur la STI;
  • recommande l'adoption de politiques, de plans, de procédures et de normes élaborés pour la STI par la GRC et le CST et en effectue régulièrement l'examen;
  • examine la politique et les normes relatives à la STI et donne des conseils sur leur mise en oeuvre;
  • examine les normes de sécurité en interrelation avec la STI;
  • établit et maintient une collaboration réelle sur les questions de la STI entre ministères et organismes de manière à ce que les mesures de sécurité protégeant l'information soient appliquées de façon uniforme;
  • examine les questions qui ont un impact sur la STI et qui sont portées à son attention par les membres ou par d'autres ministères ou organismes du gouvernement du Canada; et
  • reste en communication avec d'autres comités sur des questions d'intérêt mutuel et en assure la coordination.

Les ministères qui utilisent un grand nombre de technologies de l'information peuvent devenir membres du CSTI. Les procès-verbaux des réunions peuvent être obtenus par téléchargement du BBS des Services de sécurité technique de la GRC.

Le vérificateur de la STI doit examiner les anciens procès-verbaux de ces comités afin de déterminer les questions de STI actuelles et communes et d'établir si les connaissances et la participation des ministères et la résolution des questions sont adéquates.

Bibliographie

  1. Audit, Control and Security of (Various Information Technology Environments), Ernst & Young, L'EDP Auditors Association, diverses dates de publication.
  2. Computer Auditing, Security, and Internal Control Manual, Javier F. Kuong, Prentice-Hall, Inc., 1987.
  3. Computerized Information System (CIS) Audit Manual, John Lainhart & Michael Donahue, EDP Auditors Foundation, Inc., 1993.
  4. Computers At Risk: Safe Computing in the Information Age, National Research Council, États-Unis, National Academy Press, 1991.
  5. Handbook of EDP Auditing, Warren Gorham Lamont, 1994 Cumulative Supplement.
  6. Information Systems Management, Control and Audit, L'Institut des vérificateurs internes, 1990.
  7. Management Computer Risk, Gerald M. Ward & Jonathan D. Harris, John Wiley & Sons, 1986.
  8. Manifesto On Information Systems Control And Management: A New World Order, Marshall Govindan & John Picard, McGraw-Hill Ryerson, 1990.
  9. New Directions for Treasury Board: Guiding Principles (Memorandum), Secrétariat du Conseil du Trésor, 1990.
  10. Rapport du vérificateur général de 1990, Bureau du vérificateur général, 1990.
  11. Systems Auditability and Control, The Institute of Internal Auditors Research Foundation. .
  12. Une force montante, Direction des communications et de la coordination, Conseil du Trésor du Canada, 1993.