DOAD 6003-2, Gestion du risque lié à la sécurité des technologies de l’information
Table des matières
1. Introduction
Date de publication : 2014-01-14
Application : La présente DOAD est une directive qui s'applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s'applique aux officiers et aux militaires du rang des Forces canadiennes (FC), ci-après nommés « militaires ».
Autorité approbatrice : Sous-ministre adjoint (Gestion de l'information) (SMA[GI]) / Dirigeant principal de l’information (DPI)
Demandes de renseignements : Directeur – Sécurité (Gestion de l'information) (Dir Sécur GI)
2. Définitions
autorisation (authorization)
Processus continu qui consiste à obtenir et à maintenir une décision de gestion officielle, prise par un cadre supérieur, qui autorise à exploiter un système d'information et à accepter explicitement le risque inhérent à son utilisation pour mener un ensemble d'activités opérationnelles en s'appuyant sur l'application d'un ensemble convenu de contrôles de sécurité et sur les résultats d'une évaluation de sécurité continue. (La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie [ITSG-33], Centre de la sécurité des télécommunications Canada)
autorité de sécurité (security authority)
Personne qui a l'autorité d'identifier des risques, de fournir des conseils et des normes de sécurité en vue d'une approbation par les autorités opérationnelle et technique, et de veiller à la conformité de ces normes dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43436)
autorité opérationnelle (operational authority)
Personne qui a l'autorité de définir des besoins et des principes directeurs, de fixer des normes et d'accepter des risques dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43435)
autorité technique (technical authority)
Personne qui a l'autorité d'établir des spécifications et des normes techniques, de gérer des configurations, de fournir des conseils techniques et de veiller à la conformité des normes dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43437)
contrôle de sécurité des technologies de l'information (information technology security control))
Exigence de haut-niveau technique, opérationnelle ou de gestion relative à la sécurité et prescrite pour un système d'information afin de protéger la confidentialité, l'intégrité et la disponibilité de ses biens de TI. Les contrôles de sécurité sont mis en œuvre par l'application de différents types de solutions de sécurité qui incluent les produits, les politiques, les pratiques et les procédures de sécurité. (La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie [ITSG-33], Centre de la sécurité des télécommunications Canada)
gestion du risque (risk management)
Est une démarche systématique visant à établir la meilleure façon de procéder dans des circonstances incertaines par la détermination, l'évaluation, la compréhension, le règlement et la communication des questions liées aux risques. (Cadre stratégique de gestion du risque, Conseil du Trésor)
gestion du risque de sécurité (security risk management)
Composante d'un processus global de gestion du risque comprenant l'organisation et la coordination d'activités et de processus permettant de contrôler le risque au chapitre de la sécurité. (Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information [GSTI], Conseil du Trésor)
personnel opérationnel des technologies de l'information (information technology operational personnel)
Personnes travaillant à titre d'administrateurs ou de gestionnaires de réseau ou de système, de gestionnaires de compte ou comme membre du personnel du centre d'assistance, ou fournissant un autre appui aux technologies de l'information. (Banque de terminologie de la défense, fiche numéro 47901)
praticien de la sécurité des technologies de l'information (information technology security practitioner)
Personne qui exerce une fonction d'ingénierie, de mise en œuvre ou de maintenance, ou toute autre fonction relative à la sécurité des technologies de l'information, dans le but de protéger la confidentialité, l'intégrité et la disponibilité des systèmes et des biens de technologie de l'information. (Banque de terminologie de la défense, fiche numéro 47902)
profil de contrôle de sécurité des technologies de l'information (information technology security control profile)
Ensemble des contrôles de sécurité qui constituent les exigences minimales d'une fonction de sécurité des technologies de l'information ou d'un système d'information.
Nota – Un profil doit répondre aux besoins opérationnels et aux contrôles de sécurité de base du Conseil du Trésor, tout en tenant compte du contexte technique et de la menace. (Banque de terminologie de la défense, fiche numéro 47575)
Contexte
3.1 Selon le Cadre stratégique de gestion du risque du Conseil du Trésor, les ministères et organismes doivent assurer l'intégration de la gestion du risque aux activités de leurs organisations respectives.
3.2 Il est prévu dans la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) du Conseil du Trésor que les ministères doivent gérer, de façon continue, les risques liés à la sécurité de l'information et des biens de technologie de l'information (TI) tout au long du cycle de vie de leurs programmes et services.
3.3 Les risques liés à la sécurité des TI découlent de l'exposition des systèmes de TI et des biens de TI à la compromission de leur confidentialité, de leur intégrité, de leur disponibilité, de leur utilité prévue et de la valeur de leurs actifs par des menaces accidentelles ou délibérées et par des dangers naturels. La gestion du risque lié à la sécurité (GRS) des TI est le processus utilisé pour gérer ces risques.
Nota – Le terme « gestion du risque lié à la sécurité » ou « GRS », utilisé dans la présente DOAD, a le même sens que le terme « gestion du risque de sécurité », utilisé par le Conseil du Trésor.
3.4 La GRS des TI figure parmi plusieurs éléments du Programme de sécurité des TI et du Programme de sécurité du Ministère que doivent appliquer le MDN et les FC de façon routinière dans le cadre des activités et des opérations courantes. La GRS des TI est un processus clé dans la prestation de services de TI sûrs et fiables en appui à la mission et au mandat du MDN et des FC.
3.5 La présente DOAD fait partie du Cadre stratégique de la GI et de la TI du MDN et des FC et devrait être lue conjointement avec les autres politiques, instructions, directives, normes et conseils pertinents du SMA(GI).
Objectifs
3.6 Les objectifs de la présente DOAD sont :
- d'établir la GRS des TI pour les programmes, les systèmes et les services;
- de faire de la GRS des TI un important facilitateur d'affaires dans le cadre du processus décisionnel;
- d'établir les responsabilités pour :
- repérer, gérer, documenter et surveiller les risques liés à la sécurité des TI;
- donner des directives et des conseils sur les pratiques de GRS des TI.
Résultats prévus
3.7 Les résultats prévus de la présente DOAD sont :
- d'augmenter l'efficacité et la transparence des processus de GRS des TI;
- d'améliorer la GRS des systèmes de TI et des biens de TI tout au long du cycle de vie des systèmes et des biens;
- d'accroître la sensibilisation et la responsabilisation lors de la prise de décisions portant sur les risques liés à la sécurité des TI;
- d'améliorer la cohérence dans la GRS des TI.
Généralités
4.1 La GRS des TI est un engagement multidimensionnel qui nécessite la participation des employés du MDN et des militaires afin d'établir les objectifs du MDN et des FC, de définir les exigences en matière de sécurité des TI, d'élaborer des contrôles de sécurité des TI et d'exploiter des systèmes de TI sécurisés en appui aux activités du MDN et aux opérations des FC.
4.2 Les processus et les activités de GRS des TI du MDN et des FC ont remplacé le processus de certification et d'accréditation (C & A) par un processus d'évaluation et d'autorisation (E & A) pour les projets basés sur les TI et les systèmes de TI.
4.3 Les processus et les activités de GRS des TI du MDN et des FC :
- sont alignés sur les processus et les activités décrits dans le document La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33), du Centre de la sécurité des télécommunications Canada, et sont intégrés à tous les projets basés sur les TI, les systèmes de TI et les biens de TI tout au long du cycle de vie de développement;
- assurent la réalisation continue des étapes-clé tout au long du cycle de vie des systèmes de TI et des biens de TI, et assurent que la GRS des TI est effectuée du point de vue du MDN et des FC.
4.4 La GRS des TI permet :
- à l'autorité de sécurité des TI de relever les risques à la sécurité des TI associés aux biens de TI;
- à l'autorité opérationnelle de prendre des décisions sur les questions liées aux risques au sein de son domaine de responsabilité délégué.
4.5 Au sein du MDN et des FC, la GRS des TI relève du Dir Sécur GI qui, à titre d'autorité de sécurité des TI du MDN et des FC, et avec l'appui de l'autorité technique du système de TI concernée :
- évalue les exigences de sécurité des systèmes de TI;
- choisit et met en œuvre des profils de contrôle de sécurité des systèmes de TI;
- surveille et évalue les contrôles de sécurité des TI;
- relève toute mise à jour devant être faite aux contrôles de sécurité des TI.
Définition des exigences propres à la GRS des TI
4.6 Les gestionnaires de tous les niveaux doivent définir leurs exigences propres à la GRS des TI afin de faire en sorte que leurs systèmes de TI et leurs biens de TI soient adéquatement protégés de toute compromission.
Choix et déploiement des profils de contrôle de sécurité des TI
4.7 L'autorité de sécurité choisit le profil de contrôle de sécurité des TI approprié qui respecte les exigences du système de TI ou du bien de TI visé. L'autorité opérationnelle, le gestionnaire de projet ou le gestionnaire responsable de la prestation des programmes et des services doit alors consulter le Dir Sécur GI pour rajuster certains contrôles de sécurité des TI particuliers afin de respecter les exigences de sécurité des TI du système de TI ou du bien de TI. L'autorité opérationnelle, le gestionnaire de projet ou le gestionnaire responsable de la prestation des programmes et des services doit ensuite mettre en œuvre le profil de contrôle de sécurité des TI personnalisé dans son système de TI et son bien de TI.
Surveillance et évaluation des contrôles de sécurité des TI
4.8 L'autorité de sécurité, les praticiens de la sécurité des TI et le personnel opérationnel des TI doivent surveiller et évaluer, de façon continue, le rendement des contrôles de sécurité des TI mis en œuvre dans les systèmes de TI et les biens de TI, au moyen de la collecte, de la synthèse et de l'analyse continues des mesures sur le rendement de ces contrôles. La surveillance des contrôles de sécurité des TI permet de faire en sorte que les contrôles de sécurité des TI choisis demeurent pertinents et appropriés au gré de l'évolution constante du contexte de menace.
4.9 L'autorité de sécurité, les praticiens de la sécurité des TI et le personnel opérationnel des TI doivent veiller à ce que l'autorité opérationnelle, le gestionnaire de projet ou le gestionnaire responsable de la prestation des programmes et des services, selon le cas, soit mis au courant de tout changement d'un niveau de risque accepté précédemment.
Sélection des mises à jour des contrôles de sécurité des TI
4.10 À la suite de l'analyse du rendement des contrôles de sécurité des TI, l'autorité opérationnelle peut devoir mettre à jour les contrôles de sécurité des TI mis en œuvre. L'autorité opérationnelle, en consultation avec l'autorité de sécurité et avec l'autorité technique, peut demander la réévaluation et le rajustement des contrôles de sécurité des TI jusqu'à l'atteinte d'un niveau acceptable de risque résiduel. Par la suite, l'autorité opérationnelle accepte le risque résiduel, et les contrôles de sécurité des TI rajustés sont mis en œuvre. Des changements à un des éléments suivants peuvent entraîner une mise à jour des contrôles de sécurité des TI :
- les objectifs opérationnels ou de mission;
- le degré de sensibilité des renseignements;
- les exigences de sécurité des TI;
- l'évaluation des menaces ou les agents de menace;
- le rendement des systèmes de TI ou des biens de TI.
Risques liés à la sécurité des TI dans un théâtre d'opérations
4.11 La nature des menaces dans un théâtre d'opérations est parfois très différente de la perspective plutôt statique d'une vision limitée à un seul système. Bien que les commandants jouissent de la discrétion voulue pour gérer les risques opérationnels et tactiques, la décision d'accepter d'importants risques en matière de sécurité des TI pour des raisons d'efficacité opérationnelle doit être mise en balance avec l'incidence de cette décision sur la confidentialité, l'intégrité et la disponibilité de l'information contenue dans les systèmes de TI. Lorsque la décision est prise d'accepter un risque qui a une incidence sur la sécurité d'un système de TI, le commandant doit faire rapport au Dir Sécur GI des facteurs l'ayant poussé à accepter ce risque.
4.12 Le document B-GJ-005-502/FP-000, Gestion des risques aux fins des opérations des FC, donne des instructions sur le processus décisionnel afin d'aider les commandants et leur personnel à repérer, analyser, évaluer et contrôler tous les types de risques.
Conséquences d'une non-conformité
5.1 La non-conformité à la présente DOAD peut entraîner des conséquences tant pour le MDN et les FC, en tant qu'institutions, que pour les employés du MDN et les militaires, en tant qu'individus. Tout cas de non-conformité soupçonnée fera l'objet d'une enquête. La nature et la gravité des conséquences découlant d'une non-conformité seront proportionnelles aux circonstances entourant celle-ci.
Nota – En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du Conseil du Trésor pour de plus amples informations.
Tableau des responsabilités
6.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :
Le ou les… | est chargé ou sont chargés de ou d'… |
---|---|
SMA(GI) |
|
Dir Sécur GI (à titre d'autorité de sécurité) |
|
autorités opérationnelles |
|
autorités techniques |
|
commandant, Groupe des opérations d'information des FC |
|
praticiens de la sécurité des TI |
|
personnel opérationnel des TI |
|
gestionnaire responsable de la prestation des programmes et des services |
|
employés du MDN et les militaires |
|
Lois, règlements, politiques des organismes centraux et DOAD – politique
- Code criminel
- Loi sur la défense nationale
- Loi sur la gestion des finances publiques
- Loi sur la protection des renseignements personnels
- Cadre stratégique de gestion du risque, Conseil du Trésor
- Cadre stratégique sur la gestion de la conformité, Conseil du Trésor
- Politique sur la gestion de l'information, Conseil du Trésor
- Politique sur la gestion des technologies de l'information, Conseil du Trésor
- Politique sur la protection de la vie privée, Conseil du Trésor
- Directive sur la gestion de la sécurité ministérielle, Conseil du Trésor
- Directive sur la tenue de documents, Conseil du Trésor
- Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI), Conseil du Trésor
- DOAD 6003-0, Sécurité des technologies de l'information
Autres références
- DOAD 1002-0, Renseignements personnels
- DOAD 1003-1, Programme de planification de la continuité opérationnelle
- DOAD 6001-1, Tenue de documents
- DOAD 6002-1, Gestion des technologies de l'information
- DOAD 6002-8, Authentification et autorisation électroniques
- DOAD 6002-9, Gestion des biens liés aux technologies de l'information
- DOAD 6002-10, Gestion des projets de technologie de l'information
- DOAD 6003-1, Programme de sécurité des technologies de l'information
- Politique de sécurité du ministère de la Défense nationale
- Instructions de sécurité de la Défense nationale
- Cadre stratégique de la GI et de la TI du MDN et des FC
- La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33), Centre de la sécurité des télécommunications Canada
- B-GJ-005-502/FP-000, Gestion des risques aux fins des opérations des FC
Détails de la page
- Date de modification :