Sélection de la langue

Government of Canada / Gouvernement du Canada

Évaluation, autorisation et surveillance

Précédent

Sur cette page

 

Les contrôles et les activités d’évaluation, d’autorisation et de surveillance de la famille CA abordent l’évaluation de la sécurité et de la protection de la vie privée et la surveillance du système.

CA-01 Politique et procédures d’évaluation, d’autorisation et de surveillance

Activité

  1. Développer, consigner et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique d’évaluation, d’autorisation et de surveillance [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, à la jurisprudence, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures pour faciliter la mise en œuvre de la politique d’évaluation, d’autorisation et de surveillance ainsi que des contrôles de surveillance connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures d’évaluation d’autorisation et de surveillance
  3. Passer en revue et mettre à jour, par rapport à l’évaluation, l’autorisation et la surveillance,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures d’évaluation, d’autorisation et de surveillance abordent les contrôles de la famille CA qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les praticiennes et praticiens de la protection de la vie privée collaborent à l’élaboration de la politique et des procédures d’évaluation, d’autorisation et de surveillance.

En règle générale, les politiques et les cadres liés au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. La politique peut être intégrée au cadre général de la sécurité et de la protection de la vie privée ou elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations. Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures d’évaluation d’autorisation et de surveillance comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets applicables, aux directives, à la réglementation, à la jurisprudence, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Discussion au sein du GC

Les organismes peuvent compter sur la Directive sur les pratiques relatives à la protection de la vie privée du SCT, Annexe C : Évaluation des facteurs relatifs à la vie privée (EFVP) ou élaborer leurs propres obligations propres à l’organisme aux fins d’évaluation. Au minimum, les politiques d’évaluation au niveau organisationnel devraient respecter les exigences du SCT. Conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée, les EFVP doivent être lancées lorsque des renseignements personnels sont utilisés ou doivent être utilisés dans le cadre d’un processus décisionnel qui touche directement une personne; lorsque d’importantes modifications sont apportées à des activités ou à des programmes existants lorsque des renseignements personnels sont utilisés ou doivent être utilisés à des fins administratives; ou lorsqu’une impartition ou le transfert d’un programme ou d’activités vers un autre ordre de gouvernement entraîne d’importantes modifications au programme ou aux activités. Les utilisatrices et utilisateurs dont les activités consistent à surveiller les journaux de vérification devraient être mis au courant de l’activité.

Contrôles et activités connexes

AC-01, AC-08, PM-09, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

Haut de la page 
 

CA-02 Évaluations de contrôle

Activité

  1. Sélectionner l’évaluatrice ou évaluateur ou l’équipe d’évaluation qui convient pour le type d’évaluation à effectuer
  2. Élaborer un plan d’évaluations de contrôle qui décrit la portée de l’évaluation, y compris
    1. les contrôles et les améliorations de contrôle faisant l’objet d’une évaluation
    2. les procédures d’évaluation à utiliser pour déterminer l’efficacité des contrôles
    3. l’environnement d’évaluation, l’équipe d’évaluation et les rôles et responsabilités liés à l’évaluation
  3. S’assurer que le plan d’évaluation des contrôles est examiné et approuvé par l’autorité responsable ou une représentante ou un représentant désigné avant d’effectuer l’évaluation
  4. Évaluer les contrôles du système et l’environnement dans lequel il est exploité [Affectation : fréquence définie par l’organisation] pour déterminer dans quelle mesure les contrôles ont été mis en œuvre correctement, s’ils fonctionnent comme prévu et s’ils produisent les résultats escomptés tout en respectant les exigences relatives à la sécurité et à la protection de la vie privée
  5. Produire un rapport d’évaluation de contrôle qui documente les résultats de l’évaluation
  6. Remettre les résultats de l’évaluation des contrôles à [Affectation : personnel et rôles définis par l’organisation]

Discussion

Les organisations s’assurent que les évaluatrices et évaluateurs des contrôles possèdent les compétences et l’expertise nécessaires pour élaborer des plans d’évaluation efficaces et pour mener des évaluations de contrôles propres au système, hybrides et communes, et diriger des programmes et des activités de développement de système, au besoin. À cet égard, les praticiennes et praticiens de la protection de la vie privée doivent posséder les compétences et l’expertise technique pour évaluer la conformité de l’activité liée à un programme en ce qui a trait aux exigences de protection de la vie privée. Les compétences nécessaires peuvent comprendre une connaissance générale des concepts et des approches en matière de gestion des risques ainsi qu’une connaissance exhaustive et une expérience des composants de systèmes matériels, logiciels et micrologiciels installés. La connaissance des obligations en matière de protection des renseignements personnels, comme il est documenté dans la loi, la réglementation, la jurisprudence et l’ensemble des politiques, est nécessaire pour effectuer les EFVP.

Les organisations effectuent des évaluations des contrôles mis en œuvre comme il est documenté dans les plans de sécurité et de protection de la vie privée. Bien qu’il soit possible d’effectuer les évaluations tout au long du cycle de développement des systèmes dans le cadre des processus d’ingénierie des systèmes et d’ingénierie de la sécurité des systèmes, il est recommandé de réaliser les évaluations tôt pendant la phase de conception pour s’assurer que la protection de la protection de la vie privée et de la sécurité soit prise en compte dans le programme ou la conception du système.

La conception pour les contrôles peut être évaluée alors que les demandes de proposition sont élaborées, les interventions évaluées et les revues de conception effectuées. Si une conception pour mettre en œuvre des contrôles et une mise en œuvre subséquente conformément à la conception sont évaluées durant la phase de développement, l’essai final des contrôles peut s’avérer une simple confirmation faisant appel à une évaluation de contrôle précédemment effectuée et à des résultats combinés.

Les organisations peuvent élaborer un seul plan consolidé d’évaluation de la sécurité et de la protection de la vie privée pour le système ou tenir à jour plusieurs plans distincts. Un plan d’évaluation consolidé délimite clairement les rôles et les responsabilités lors de l’évaluation de contrôle. Si plusieurs organisations participent à l’évaluation d’un système, une approche coordonnée peut permettre de réduire les redondances et les coûts connexes.

Les organisations peuvent mener d’autres types d’activités d’évaluation, comme l’analyse des vulnérabilités et la surveillance du système, pour maintenir la posture de sécurité et de protection de la vie privée des systèmes durant tout leur cycle de vie. Les rapports d’évaluation consignent les résultats à un niveau que les organisations jugent suffisamment détaillé pour leur permettre d’en déterminer l’exactitude et l’exhaustivité et d’établir dans quelle mesure les contrôles sont mis en œuvre correctement, fonctionnent comme prévu et produisent les résultats escomptés tout en respectant les exigences relatives aux contrôles.

Les résultats des évaluations sont présentés aux personnes ou aux rôles appropriés pour les types d’évaluations menées. Par exemple, les évaluations effectuées pour soutenir les décisions d’autorisation sont fournies aux autorités responsables, aux cadres supérieures et supérieurs appropriés en matière de protection de la vie privée, aux cadres supérieures et supérieurs de la gouvernance en matière de sécurité du ministère, et aux représentantes et représentants désignés par l’autorité responsable.

Pour répondre aux exigences liées aux évaluations périodiques, les organisations peuvent avoir recours aux résultats d’évaluation provenant des sources suivantes : autorisations initiales ou continues du système d’information, surveillance continue, processus d’ingénierie des systèmes ou activités du cycle de développement du système. Les organisations s’assurent que les résultats d’évaluation sont actuels et pertinents afin de déterminer l’efficacité des contrôles et qu’ils sont obtenus conformément au niveau requis d’indépendance de l’évaluatrice ou évaluateur. On peut réutiliser les résultats d’évaluation d’un contrôle dans la mesure où ils demeurent valables et qu’ils peuvent être complétés par d’autres évaluations, au besoin.

Après les autorisations initiales, les organisations évaluent les contrôles pendant une surveillance continue. Elles établissent également la fréquence des évaluations de contrôle de sécurité permanentes conformément aux stratégies de surveillance continue des organisations. Les vérifications externes, y compris celles effectuées par des entités externes, comme les organismes réglementaires sont hors de la portée du contrôle CA-02.

Discussion au sein du GC

Si le système doit créer, collecter ou stocker des renseignements personnels, il faudrait envisager l’exécution d’un protocole d’EFVP, suivant les exigences de base de l’EFVP, tel qu’il est établi dans la Directive sur les pratiques relatives à la protection de la vie privée du SCT, Annexe C : Norme sur l’évaluation des facteurs relatifs à la vie privée. Lorsque l’EFVP ou le protocole de protection de la vie privée est approuvé, un résumé doit être affiché sur le Web externe de l’institution.

Les exigences du SCT relatives aux évaluations périodiques de contrôles se trouvent dans la Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information.

Contrôles et activités connexes

AC-20, CA-05, CA-06, CA-07, PM-09, RA-05, RA-10, SA-11, SA-400, SC-38, SI-03, SI-12, SR-02 et SR-03.

Améliorations

  • (01) Évaluations de contrôle : Évaluatrices et évaluateurs indépendants
    • Utiliser des évaluatrices et évaluateurs ou des équipes d’évaluatrices et évaluateurs indépendants pour mener des évaluations de contrôle.
    • Discussion : Les évaluatrices et évaluateurs ou les équipes d’évaluatrices et évaluateurs indépendants sont des personnes ou des groupes chargés de mener des évaluations impartiales des systèmes. L’impartialité signifie que les évaluatrices et évaluateurs ne doivent en aucun cas se trouver en conflit d’intérêts, subjectif ou réel, en ce qui a trait au développement, aux opérations, au maintien ou à la gestion des systèmes qui font l’objet d’évaluations ou en ce qui a trait à l’établissement de l’efficacité du contrôle. Pour assurer l’impartialité, les évaluatrices et évaluateurs n’ont pas un intérêt commun ou concurrentiel avec les organisations pour lesquelles ils mènent des évaluations, ils évaluent leur propre travail, agissent en tant que gestionnaires ou employées et employés des organisations pour lesquelles ils mènent les évaluations ou agissent à titre de conseillères et de conseillers pour les organisations qui ont recours à leurs services.
      Les évaluations indépendantes peuvent être menées par des éléments des organisations ou par des sous-traitants provenant d’entités publiques ou privées extérieures aux organisations concernées. Les autorités responsables déterminent le niveau d’indépendance requis en fonction des catégories de sécurité liées aux systèmes ou au risque associé aux opérations, à la sensibilité des renseignements personnels connexes, aux biens et aux personnes de l’organisation. Les autorités responsables déterminent également si ce niveau d’indépendance est suffisant pour que l’organisation puisse avoir confiance que les résultats sont fiables et peuvent servir à prendre des décisions crédibles concernant les risques.
      L’établissement de l’indépendance des évaluatrices et évaluateurs comprend de déterminer si les sous-traitants qui offrent les services d’évaluation sont assez indépendants, par exemple lorsque les propriétaires de systèmes ne participent pas directement aux processus contractuels ou qu’ils ne peuvent pas influencer indûment l’objectivité des évaluatrices et évaluateurs. Durant la conception du système et la phase de développement, le fait d’avoir des évaluatrices et évaluateurs indépendants est similaire au fait d’avoir des spécialistes en la matière impliquées ou impliqués dans les revues de conception.
      Lorsque les organisations qui détiennent les systèmes sont de petite taille ou lorsque les structures organisationnelles exigent que les évaluations soient menées par des personnes qui font partie de la chaîne de développement, d’opérations ou de gestion des propriétaires des systèmes, on peut s’assurer de l’indépendance des processus d’évaluation en examinant minutieusement les résultats des évaluations et en veillant à ce que des équipes de spécialistes indépendants mènent des analyses pour valider le caractère exhaustif, l’exactitude, l’intégrité et la fiabilité des résultats. Les évaluations menées autrement que pour appuyer directement les décisions liées aux autorisations – si elles sont menées par des évaluatrices et évaluateurs suffisamment indépendants – risquent d’être davantage utiles pour prendre ce genre de décisions, ce qui permet de réduire le besoin de répéter les évaluations.
    • Contrôles et activités connexes: Aucun.
  • (02) Évaluations de contrôle : Évaluations spécialisées
    • Elles comprennent dans le cadre des évaluations de contrôle, [Affectation : fréquence définie par l’organisation], [Sélection (un choix) : annoncé; non annoncé], [Sélection (un choix ou plus) : une surveillance approfondie; une instrumentation de sécurité; des cas de tests de sécurité automatisés; une analyse des vulnérabilités; des tests liés aux utilisatrices et utilisateurs malveillants; une évaluation des menaces internes; des tests de charge et de performance; une évaluation des fuites de données ou des pertes de données; [Affectation : autres formes d’évaluation de sécurité définies par l’organisation]].
    • Discussion : Les organisations peuvent mener des évaluations spécialisées, y compris des vérifications et des validations, la surveillance des systèmes, l’évaluation de menaces internes, des tests concernant les utilisatrices et utilisateurs malveillants ou tout autre test. Ces évaluations peuvent permettre de mieux se préparer en mettant en œuvre des capacités organisationnelles et en indiquant les niveaux de performance actuels afin d’orienter les efforts et d’accroître ainsi la sécurité et la protection de la vie privée. Les organisations mènent des évaluations spécialisées conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Les autorités responsables approuvent les méthodes d’évaluation parallèlement à la fonction de gestion des risques organisationnels.
      Les organisations peuvent inclure les vulnérabilités découvertes durant les évaluations aux processus d’atténuation des vulnérabilités. Les évaluations spécialisées peuvent également être menées tôt pendant le cycle de développement de systèmes (par exemple, pendant la conception initiale, le développement et les tests unitaires).
    • Contrôles et activités connexes: PE-03 et SI-02.
  • (03) Évaluations de contrôle : Tirer parti des résultats d’évaluation provenant d’organisations externes
    • Tirer parti des résultats des évaluations de contrôle menées par [Affectation : organisation externe désignée par l’organisation] sur le [Affectation : système désigné par l’organisation] lorsque l’évaluation respecte [Affectation : exigences définies par l’organisation].
    • Discussion : Les organisations peuvent compter sur des évaluations de contrôle des systèmes organisationnels menées par des organisations externes. En recourant à ces évaluations et en réutilisant l’information provenant d’évaluations déjà menées, les organisations diminuent le temps et les ressources nécessaires aux activités d’évaluation en limitant le nombre d’activités d’évaluation indépendante qu’elles doivent mener.
      Les facteurs dont elles peuvent tenir compte pour déterminer si les résultats d’évaluation provenant d’organisations externes sont acceptables peuvent varier. Parmi ces facteurs, on compte les expériences antérieures de l’organisation avec l’organisation qui a mené l’évaluation, la réputation de l’organisation d’évaluation, le niveau de détails appuyant les données d’évaluation fournies et les mandats imposés en vertu des lois, des décrets, des directives, des politiques, de la réglementation, des normes et des lignes directrices applicables.
      Les laboratoires d’essais accrédités qui soutiennent le Programme lié aux Critères communs (ISO 15408-1), le Programme de validation des modules cryptographiques (PVMC) du NIST et du Centre pour la cybersécurité ou le Programme de validation des algorithmes cryptographiques (CAVP) du NIST, peuvent fournir des résultats d’évaluation indépendante que les organisations peuvent utiliser.
    • Discussion au sein du GC : SCT, Directive sur les pratiques relatives à la protection de la vie privée, Annexe C : La Norme sur l’évaluation des facteurs relatifs à la vie privée oblige d’échanger des copies de l’évaluation des facteurs relatifs à la vie privée approuvée et tout autre document pertinent avec les partenaires ou d’autres institutions gouvernementales d’une manière pouvant respecter les exigences relatives à la sécurité ainsi que toute considération juridique ou en matière de protection de la vie privée.
    • Contrôles et activités connexes: SA-04.

Références

Haut de la page 
 

CA-03 Échange d’information

Contrôles

  1. Approuver et gérer l’échange d’information entre le système et d’autres systèmes au moyen de [Sélection (un choix ou plus) : ententes sur la sécurité des interconnexions; ententes sur la sécurité de l’échange d’information; ententes ou protocoles d’entente; accords d’échange de renseignements; ententes d’échange de renseignements; accords sur les niveaux de service; ententes avec les utilisatrices et utilisateurs; accords de non-divulgation; [Affectation : type d’entente défini par l’organisation]]
  2. Consigner, dans le cadre des ententes d’échange, les caractéristiques d’interface, les exigences de sécurité et de protection de la vie privée ainsi que les responsabilités liées à chacun des systèmes, et le niveau d’incidence de l’information communiquée
  3. Examiner et tenir à jour les ententes [Affectation : fréquence définie par l’organisation]

Discussion

Les exigences en matière d’échange d’information du système s’appliquent aux échanges d’information entre au moins deux systèmes. Les échanges d’information du système comprennent les connexions par des liaisons louées ou des RPV, des connexions aux fournisseurs d’accès Internet, le partage ou l’échange de renseignements sur les transactions de bases de données, des connexions et des échanges avec des services infonuagiques, des échanges par des services sur le Web, ou des échanges de fichiers par des protocoles de transfert de fichiers, des protocoles réseau (par exemple, IPv4, IPv6), courriel ou d’autres communications entre organisations.

L’information échangée devrait se limiter à la quantité minimale de renseignements personnels nécessaires. Les organisations doivent considérer les risques associés aux menaces nouvelles ou grandissantes qui peuvent être introduites lorsque les systèmes échangent de l’information avec d’autres systèmes qui peuvent avoir des contrôles et des exigences de sécurité et de protection de la vie privée différents. Cela comprend les systèmes au sein de la même organisation et les systèmes qui sont à l’extérieur de l’organisation. Une autorisation conjointe des systèmes qui échangent de l’information, comme il est décrit dans le contrôle CA-06(01) ou CA-06(02), peut faciliter la communication et réduire le risque.

Les autorités responsables déterminent le risque associé à l’échange d’information du système et les contrôles requis pour appliquer des mesures d’atténuation des risques adéquates. Les types d’ententes doivent être sélectionnés en fonction de facteurs comme le niveau d’incidence de l’information échangée, la relation entre les organisations qui échangent de l’information (par exemple, d’un organisme gouvernemental à un autre, d’un organisme gouvernemental à une entreprise, d’une entreprise à une autre, d’un organisme gouvernemental ou d’une entreprise à un fournisseur de services, d’un organisme gouvernemental ou d’une entreprise à personne) ou le niveau d’accès au système organisationnel par les utilisatrices et utilisateurs de l’autre système.

Si les systèmes qui échangent de l’information sont associés à la même autorité responsable, les organisations peuvent ne pas avoir besoin d’élaborer des ententes. En effet, les caractéristiques d’interface entre les systèmes (par exemple, la façon dont l’information est échangée, comment l’information est protégée et l’utilisation autorisée de l’information) sont décrites dans les plans de sécurité et de protection de la vie privée.

Si les systèmes qui échangent de l’information sont associés aux mêmes autorités responsables au sein de la même organisation, les organisations peuvent élaborer des ententes ou fournir la même information qui serait fourni dans le type d’entente approprié à partir du contrôle CA-03A dans les plans respectifs de sécurité et de protection de la vie privée pour les systèmes.

Les organisations peuvent intégrer l’information des ententes dans des contrats officiels, en particulier pour les échanges d’information entre des ministères et organismes fédéraux et des organisations non fédérales (comme des prestataires de services, des entrepreneures et entrepreneurs, des développeuses et développeurs de systèmes et des intégratrices et intégrateurs de systèmes). Les risques concernent les systèmes qui partagent les mêmes réseaux.

Contrôles et activités connexes

AC-04, AC-20, AC-21(400), AC-21(401), AU-16, CA-06, IA-03, IR-04, PL-02, PT-07, RA-03, SA-09, SC-07 et SI-12.

Améliorations

  • (01) Échange d’information : Connexions à des systèmes de sécurité nationaux non classifiés
    • Annulé : Transféré sous le contrôle SC-07(25).
  • (02) Échange d’information : Connexions à des systèmes de sécurité nationaux classifiés
    • Annulé : Transféré sous le contrôle SC-07(26).
  • (03) Échange d’information : Connexions à des systèmes de sécurité non nationaux non classifiés
    • Annulé : Transféré sous le contrôle SC-07(27).
  • (04) Échange d’information : Connexions aux réseaux publics
    • Annulé : Transféré sous le contrôle SC-07(28).
  • (05) Échange d’information : Connexions restreintes à des systèmes externes
    • Annulé : Transféré sous le contrôle SC-07(05).
  • (06) Échange d’information : Autorisations de transfert
    • Vérifier que les personnes ou les systèmes qui transfèrent des données entre des systèmes interconnectés ont les autorisations nécessaires (c’est-à-dire des autorisations écrites ou privilégiées) avant d’accepter de telles données.
    • Discussion : Pour éviter que des personnes ou des systèmes non autorisés puissent effectuer des transferts d’information vers des systèmes protégés, le système protégé, par des moyens indépendants, si la personne ou le système qui tente le transfert d’information est autorisé à le faire. La vérification de l’autorisation à transférer l’information vise également le trafic du plan de contrôle (par exemple, le routage et le DNS) et les services (par exemple, les relais SMTP authentifiés).
    • Contrôles et activités connexes: AC-02, AC-03 et AC-04.
  • (07) Échange d’information : Échanges d’information éphémère
      1. Identifier les échanges d’information éphémères (en aval) avec d’autres systèmes par le biais des systèmes identifiés au contrôle CA-03A
      2. Prendre les mesures nécessaires pour assurer que les échanges d’information éphémères (en aval) cessent lorsqu’il devient impossible de vérifier ou de valider les contrôles sur des systèmes (en aval) éphémères
    • Discussion : Les échanges d’information éphémère ou en aval sont des échanges d’information entre le système ou les systèmes avec lesquels le système de l’organisation échange de l’information et d’autres systèmes. Pour les applications, les systèmes et les services essentiels à la mission, notamment les biens de grande importance, il est nécessaire d’identifier de tels échanges d’information. La transparence des contrôles ou les mesures de protection en place dans de tels systèmes en aval connectés directement ou indirectement aux systèmes organisationnels sont essentielles pour bien comprendre les risques liés à la sécurité et à la protection de la vie privée résultant de ces échanges d’information. Les systèmes organisationnels peuvent hériter de risques provenant de systèmes en aval par le biais de connexion éphémères ou d’échanges d’information qui peuvent rendre les systèmes organisationnels plus susceptibles aux menaces, aux risques et aux incidences négatives.
    • Contrôles et activités connexes: SC-07.

Références

 

CA-04 Certification de sécurité

Annulé : Intégré au contrôle CA-02.

Haut de la page 
 

CA-05 Plan d’action et des jalons

Activité

  1. Développer un plan d’action et des jalons pour le système afin de consigner les mesures correctives de l’organisation pour corriger les faiblesses ou les lacunes relevées durant l’évaluation des contrôles et pour réduire et éliminer les vulnérabilités connues du système
  2. Mettre à jour le plan d’action et les jalons existants [Affectation : fréquence définie par l’organisation] en tenant compte des constatations des évaluations de contrôles, des vérifications ou des examens indépendants et des activités de surveillance continue

Discussion

Les plans d’action et des jalons sont utiles pour tout type d’organisation pour faire le suivi des mesures correctives planifiées. Par respect de la protection de la vie privée, le plan d’action et des jalons est souvent consigné dans l’EFVP. La réponse de la direction au risque associé et à l’engagement de la gardienne ou du gardien à l’égard de l’atténuation des risques d’atteinte à la vie privée devrait être documentée dans l’artéfact du plan d’action et des jalons. Le plan de sécurité et de protection de la vie privée et le plan d’action et des jalons documentent différents aspects de conformité nécessaire. Bien qu’il puisse y avoir un certain chevauchement, il est à noter qu’en général, les documents n’indiquent pas les mêmes risques.

Discussion au sein du GC

Les plans d’action et des jalons sont nécessaires dans les trousses d’autorisation et ils sont assujettis à l’obligation de rendre des comptes établie par le SCT.

Contrôles et activités connexes

CA-02, CA-07, PM-04, PM-09, RA-07, SI-02 et SI-12.

Améliorations

  • (01) Plans d’action et des jalons : Automatisation du soutien aux fins d’exactitude et d’actualité
    • Assurer l’exactitude, l’actualité et la disponibilité du plan d’action et des jalons pour le système se servant de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Utiliser des outils automatisés contribue à assurer l’exactitude, l’actualité et la disponibilité du plan d’action et des jalons, et facilite la coordination et l’échange d’évaluations de la conformité en matière de sécurité et de protection de la vie privée dans l’ensemble de l’organisation. Cette coordination et cet échange d’information permettent de mieux identifier les faiblesses ou lacunes systémiques des systèmes organisationnels et ils veillent à ce que les ressources appropriées soient appliquées aux vulnérabilités des systèmes les plus critiques, et ce, en temps opportun.
    • Contrôles et activités connexes: Aucun.

Références

Haut de la page 
 

CA-06 Autorisation

Contrôles

  1. Attribuer à une cadre supérieure ou un cadre supérieur le rôle d’autorité responsable ou de gardienne ou gardien du système
  2. Attribuer à une cadre supérieure ou un cadre supérieur le rôle d’autorité responsable ou de gardienne ou gardien des contrôles courants pouvant être hérités par les systèmes organisationnels
  3. S’assurer que l’autorité responsable ou la gardienne ou le gardien du système, avant de débuter les opérations
    1. accepte l’utilisation de contrôles communs hérités par le système
    2. autorise l’exploitation du système
  4. S’assurer que l’autorité responsable ou la gardienne ou le gardien des contrôles communs autorise l’utilisation de ces contrôles pour que les systèmes organisationnels en héritent
  5. Mettre à jour les autorisations [Affectation : fréquence définie par l’organisation]

Discussion

Les autorisations de sécurité sont des décisions de gestion officielles qu’une ou un cadre supérieur communique pour autoriser l’exploitation de systèmes, autoriser l’utilisation de contrôles communs pouvant être hérités par les systèmes organisationnels et accepter explicitement les risques concernant les activités, les biens et les personnes liés à l’organisation ainsi que les autres organisations et le Canada, tant qu’un ensemble convenu de contrôles est mis en œuvre.

Les autorités responsables supervisent le budget lié aux systèmes organisationnels et contrôles communs ou s’occupent des fonctions liées à la mission et aux activités qui sont prises en charge par ces systèmes ou contrôles communs. Les autorités responsables ou les gardiennes et gardiens sont responsables et imputables quant aux risques en matière de sécurité et de protection de la vie privée associés à l’exploitation et à l’utilisation des systèmes organisationnels. Les organismes non fédéraux peuvent faire appel à des processus similaires pour accorder des droits d’accès aux systèmes et aux cadres supérieures et supérieurs qui assument le rôle d’autorisation et des responsabilités connexes.

Les autorités responsables ou les gardiennes et gardiens émettent des autorisations permanentes pour des systèmes en se basant sur des éléments de preuve tirés de programmes de surveillance continue mis en œuvre. Les programmes de surveillance continue robustes réduisent la nécessité de recourir à des processus de réautorisation distincts. En recourant à des processus de surveillance continue et exhaustive, l’information contenue dans les trousses d’autorisation (c’est-à-dire les plans de sécurité et de protection de la vie privée, les rapports d’évaluation, ainsi que les plans d’action et les jalons) peut continuellement être mise à jour. Cela fournit aux autorités responsables et aux gardiennes et gardiens de systèmes un aperçu de l’état de la posture de sécurité et de protection de la vie privée de leurs systèmes et de leurs environnements d’exploitation.

Pour réduire les coûts associés aux réautorisations, les autorités responsables ou les gardiennes et gardiens utilisent autant que possible les résultats du processus de surveillance continue pour prendre les décisions concernant ces réautorisations.

Discussion au sein du GC

Le processus d’autorisation est une responsabilité du gouvernement fédéral, et les autorités responsables doivent donc être des employées et employés cadres du gouvernement du Canada.

Contrôles et activités connexes

CA-02, CA-03, CA-07, PM-09, PM-10, RA-03, SA-10 et SI-12.

Améliorations

  • (01) Autorisation : Autorisation conjointe (au sein de l’organisation)
    • Faire appel à un processus d’autorisation conjointe pour le système qui comprend plusieurs autorités responsables de la même organisation menant le processus d’autorisation.
    • Discussion : Affecter plusieurs autorités responsables ou gardiennes et gardiens d’une même organisation aux rôles d’autorités coresponsables pour le système augmente le niveau d’indépendance dans le cadre du processus de prise de décisions fondée sur le risque. Cela implique également la mise en œuvre de concepts de séparation des tâches et de double autorisation tel qu’il est appliqué au processus d’autorisation du système. Le processus d’autorisation conjointe au sein de l’organisation est plus pertinent pour les systèmes connectés, les systèmes partagés et les systèmes ayant plusieurs propriétaires de l’information.
    • Contrôles et activités connexes: AC-06.
  • (02) Autorisation : Autorisation conjointe (interorganisation)
    • Faire appel à un processus d’autorisation conjointe pour le système qui comprend plusieurs autorités responsables avec au moins une ou un responsable de l’autorisation provenant d’une organisation à l’extérieur de l’organisation menant le processus d’autorisation.
    • Discussion : Affecter plusieurs autorités responsables, alors qu’au moins une provient d’une organisation externe, pour occuper les rôles d’autorités coresponsables pour le système augmente le niveau d’indépendance dans le cadre du processus de prise de décisions fondée sur le risque. Cela implique la mise en œuvre de concepts de séparation des tâches et de double autorisation tel qu’il est appliqué au processus d’autorisation du système. Se servir d’autorités responsables d’organisations externes pour compléter l’équipe d’autorités responsables de l’organisation à qui appartient le système ou qui héberge celui-ci peut s’avérer nécessaire lorsque les organisations externes ont un intérêt manifeste dans les résultats de la décision d’autorisation. Le processus d’autorisation conjointe interorganisation est pertinent et convient aux systèmes connectés, aux services ou systèmes partagés et aux systèmes ayant plusieurs propriétaires de l’information. Les autorités responsables des organisations externes sont des principales et principaux intervenants du système faisant l’objet de l’autorisation.
    • Contrôles et activités connexes: AC-06.

Références

Haut de la page 
 

CA-07 Surveillance continue

Contrôles :Élaborer et mettre en œuvre une stratégie de surveillance continue des systèmes conformément à la stratégie de surveillance continue de l’organisation qui comprend

  1. établir les mesures au niveau du système à surveiller pour : [Affectation : mesures au niveau du système définies par l’organisation]
  2. la mise en place d’activités de surveillance [Affectation : fréquences définies par l’organisation] et [Affectation : fréquences définies par l’organisation] pour l’évaluation de l’efficacité des contrôles
  3. les évaluations de contrôle de sécurité permanentes conformément aux stratégies de surveillance continue
  4. la surveillance en permanence des mesures, conformément à la stratégie de surveillance continue définie par l’organisation
  5. la corrélation et l’analyse de l’information générée par les évaluations de contrôle et la surveillance
  6. les mesures d’intervention concernant les résultats qui découlent de l’analyse de l’information
  7. le signalement de l’état de la sécurité et de la protection de la vie privée du système à la ou au [Affectation : personnel ou rôles définis par l’organisation] [Affectation : fréquence définie par l’organisation]

Discussion

La surveillance continue du système facilite une sensibilisation permanente de la sécurité du système et de la posture liée à la protection de la vie privée afin d’appuyer les décisions relatives à la gestion des risques organisationnels. Les termes « continu » et « permanent » signifient que les organisations évaluent et surveillent leurs contrôles et leurs risques à une fréquence suffisante pour appuyer les décisions en fonction des risques. Différents types de contrôles peuvent nécessiter différentes fréquences de surveillance.

Les résultats associés à une surveillance continue sont à l’origine des mesures d’intervention liées aux risques que mettent en œuvre les organisations. Lorsque vient le temps de surveiller l’efficacité de multiples contrôles qui ont été groupés selon des capacités, une analyse des causes fondamentales peut s’avérer nécessaire pour déterminer le contrôle qui a échoué.

Grâce aux programmes de surveillance continue, les organisations peuvent maintenir en permanence les autorisations des systèmes de même que les contrôles communs dans un environnement d’exploitation très dynamique où les menaces, les vulnérabilités, les technologies et les besoins liés à la mission et aux activités sont en constante évolution. En pouvant accéder en tout temps à de l’information sur la sécurité et la protection de la vie privée dans les rapports ou les tableaux de bord, les responsables des organisations peuvent prendre des décisions sur la gestion des risques de façon efficace et opportune, comme des décisions sur les autorisations permanentes. Parfois, la surveillance peut impliquer la collecte ou la création de renseignements personnels et un niveau de protection convenable doit être appliqué.

L’automatisation permet d’appuyer des mises à jour plus fréquentes des inventaires de matériel, de logiciels et de micrologiciels, ainsi que d’autres systèmes. Il est possible d’accroître l’efficacité lorsque les résultats de la surveillance continue sont modifiés de sorte à fournir de l’information précise, mesurable, concrète, pertinente et opportune. Les activités de surveillance continue sont adaptées aux catégories de sécurité des systèmes. Les exigences en matière de surveillance du système, y compris une surveillance spécifique, peuvent se trouver dans d’autres exigences, comme AC-2G, AC-02(07), AC-02(12)a, AC-02(07)b, AC-02(07)c, AC-17(01), AT-04A, AU-13, AU-13(01), AU-13(02), CM-03F, CM-06D, CM-11C, IR-05, MA-02B, MA-03A, MA-04A, PE-03D, PE-06, PE-14B, PE-16, PE-20, PM-06, PM-23, PM-31, PS-07E, SA-09C, SR-04, SC-05(03)b, SC-07A, SC-07(24)b, SC-18B, SC-43B et SI-04.

Contrôles et activités connexes

AC-02, AC-06, AC-08, AC-17, AT-04, AU-06, AU-13, CA-02, CA-05, CA-06, CM-03, CM-04, CM-06, CM-11, IA-05, IR-05, MA-02, MA-03, MA-04, PE-03, PE-06, PE-14, PE-16, PE-20, PL-02, PM-04, PM-06, PM-09, PM-10, PM-12, PM-14, PM-23, PM-28, PM-31, PS-07, PT-07, RA-03, RA-05, RA-07, RA-10, SA-08, SA-09, SA-11, SC-05, SC-07, SC-18, SC-38, SC-43, SI-02, SI-03, SI-04, SI-12 et SR-06.

Améliorations

  • (01) Surveillance continue : Évaluation indépendante
    • Faire appel à des évaluatrices et évaluateurs indépendants ou à des équipes d’évaluation pour surveiller en permanence les contrôles du système.
    • Discussion : Les organisations peuvent optimiser la valeur de leurs évaluations de contrôles en demandant que les évaluations soient effectuées par des évaluatrices et évaluateurs détenant un niveau d’indépendance suffisant. Le niveau d’indépendance requis est basé sur les stratégies de surveillance continue des organisations. L’indépendance des évaluatrices et évaluateurs offre un degré d’impartialité au processus de surveillance. Pour assurer cette impartialité, les évaluatrices et évaluateurs n’ont pas un intérêt commun ou concurrentiel avec les organisations pour lesquelles ils mènent des évaluations, ils évaluent leur propre travail, agissent en tant que gestionnaires ou employées et employés des organisations pour lesquelles ils mènent les évaluations ou agissent à titre de conseillères et conseillers pour les organisations qui ont recours à leurs services.
    • Contrôles et activités connexes: Aucun.
  • (02) Surveillance continue : Types d’évaluations
    • Annulé : Intégré au contrôle CA-02.
  • (03) Surveillance continue : Analyses des tendances
    • Utiliser des analyses de tendances pour déterminer s’il faut modifier les mises en œuvre de contrôles, la fréquence des activités de surveillance continue ou tout autre type d’activités utilisées dans le cadre du processus de surveillance continue, en se basant sur des données empiriques.
    • Discussion : On compte parmi les analyses de tendances l’examen de l’information récente sur les menaces associées aux types d’événements menaçants qui ont eu lieu au sein de l’organisation, des taux de réussite de certains types d’attaques, des vulnérabilités émergentes dans les technologies, des techniques d’ingénierie sociale qui ne cessent d’évoluer, de l’efficacité des paramètres de configuration, des résultats provenant de différentes évaluations de contrôle et les constatations des vérificatrices et vérificateurs.
    • Discussion au sein du GC : On compte parmi les analyses de tendances l’examen de l’information récente sur les menaces associées aux types d’événements menaçants qui ont eu lieu au sein des ministères et organismes fédéraux ou au gouvernement fédéral, des taux de réussite de certains types d’attaques, des vulnérabilités émergentes dans les technologies, des techniques d’ingénierie sociale qui ne cessent d’évoluer, de l’efficacité des paramètres de configuration, des résultats provenant de différentes évaluations de contrôle et les constatations de l’inspecteur général ou des vérificatrices et vérificateurs. Si l’analyse des tendances implique l’utilisation ou la création de renseignements personnels, les employées et employés devraient avoir été informés par le biais d’un avis d’utilisation système de l’utilisation de leurs renseignements personnels en prévision du travail d’analyse. De plus, il convient d’examiner l’inscription de cette utilisation de renseignements personnels en tant qu’usage compatible dans le FRP connexe.
    • Contrôles et activités connexes: Aucun.
  • (04) Surveillance continue : Surveillance des risques
    • S’assurer que la surveillance des risques fait partie intégrante de la stratégie de surveillance continue qui comprend ce qui suit
      1. la surveillance de l’efficacité
      2. la surveillance de la conformité
      3. la surveillance des changements
    • Discussion : La surveillance des risques s’appuie sur la tolérance au risque établie de l’organisation. La surveillance de l’efficacité détermine l’efficacité continue des mesures d’intervention mises en œuvre et qui sont liées aux risques. La surveillance de la conformité permet de s’assurer que les mesures d’intervention liées aux risques sont mises en œuvre. Elle vérifie également que les exigences de sécurité et de protection de la vie privée sont respectées. La surveillance des changements détermine les changements apportés aux systèmes de l’organisation et aux environnements d’exploitation pouvant toucher le risque lié à la sécurité et à la protection de la vie privée.
    • Contrôles et activités connexes: Aucun.
  • (05) Surveillance continue : Analyse de la cohérence
    • Utiliser les mesures suivantes pour valider que les stratégies sont établies et que les contrôles mis en œuvre sont fonctionnels de façon uniforme : [Affectation : actions définies par l’organisation].
    • Discussion : Les contrôles de sécurité et de protection de la vie privée sont souvent ajoutés graduellement à un système. Par conséquent, il peut arriver que les stratégies pour la sélection et la mise en œuvre de contrôles puissent ne pas convenir, et les contrôles pourraient ne pas fonctionner ensemble de manière cohérente ou coordonnée. Au minimum, le manque de cohérence et de coordination pourrait indiquer des lacunes inacceptables sur le plan de la conformité en matière de sécurité et de protection de la vie privée dans le système. Au pire, cela pourrait indiquer que certains des contrôles mis en œuvre dans un emplacement ou par un composant, compromettent la fonctionnalité d’autres contrôles (par exemple, chiffrer le trafic des réseaux internes peut nuire à la surveillance).
      Dans d’autres situations, ne pas surveiller de manière cohérente tous les protocoles réseau mis en œuvre (par exemple, une double pile du protocole IPv4 et du protocole IPv6) peut créer des vulnérabilités non désirées dans le système, lesquelles pourraient être exploitées par des adversaires. Il est important de vérifier – par des tests, une surveillance et une analyse – que les contrôles mis en œuvre fonctionnent de manière cohérente, coordonnée et sans interférence.
    • Contrôles et activités connexes: Aucun.
  • (06) Surveillance continue : Soutien automatisé pour la surveillance
    • Assurer l’exactitude, l’actualité et la disponibilité des résultats de surveillance pour le système en se servant de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Utiliser des outils automatisés contribue à assurer l’exactitude, l’actualité et la disponibilité de l’information de surveillance, ce qui aide ensuite à accroître le niveau de sensibilisation permanente de la posture de sécurité et de protection de la vie privée du système afin d’appuyer les décisions relatives à la gestion des risques organisationnels. Si un tiers fournit un soutien automatisé, des mesures de protection liées à la collecte et à l’utilisation par le fournisseur de tout renseignement personnel connexe doivent être en place dans le mécanisme de passation de marchés.
    • Contrôles et activités connexes: Aucun.

Références

Haut de la page 
 

CA-08 Tests d’intrusion

Contrôle

Effectuer des tests d’intrusion [Affectation : fréquence définie par l’organisation] sur [Affectation : systèmes ou composants de systèmes définis par l’organisation].

Discussion

Les tests d’intrusion sont des évaluations spécialisées menées sur des systèmes ou sur des composants des systèmes individuels qui visent à détecter des vulnérabilités que pourraient exploiter des adversaires. Les tests d’intrusion vont au-delà de l’analyse des vulnérabilités automatiques et ils sont exécutés par des agentes et agents ainsi que des équipes ayant des compétences et une expérience manifestes comprenant une expertise technique des réseaux, des systèmes d’exploitation ou de la sécurité au niveau des applications.

Il est possible d’avoir recours à ces tests pour valider les vulnérabilités ou déterminer le niveau de résistance à l’intrusion des systèmes face à des adversaires en tenant compte de certaines contraintes. Parmi ces contraintes, notons le temps, les ressources et les compétences. Les tests d’intrusion tentent de reproduire les actions des adversaires et ils fournissent une analyse plus en profondeur des faiblesses ou des lacunes en lien à la sécurité et à la protection de la vie privée. Ces tests sont particulièrement importants lorsque les organisations passent des anciennes technologies aux nouvelles technologies (par exemple, le passage des protocoles réseau IPv4 à IPv6).

Les organisations peuvent se servir des résultats des analyses des vulnérabilités pour soutenir les activités liées aux tests d’intrusion. Ces tests peuvent être effectués à l’interne ou à l’externe sur des composants matériels, logiciels et micrologiciels d’un système et peuvent exercer des contrôles à la fois physiques et techniques.

Une méthode utilisée dans le cadre de ces tests consiste à mener une analyse prétest basée sur une connaissance détaillée du système, à effectuer une détection prétest des vulnérabilités potentielles basée sur l’analyse prétest et à réaliser des tests conçus pour déterminer l’exploitabilité des vulnérabilités.

Toutes les parties doivent convenir des règles d’engagement avant le début des scénarios de test d’intrusion. Il faut établir une corrélation entre ces règles d’engagement et les outils, les techniques ainsi que les procédures dont on prévoit l’utilisation par les adversaires qui lanceront les attaques. Les tests d’intrusion peuvent mener à l’exposition de l’information qui est protégée par des lois ou de la réglementation, pour les personnes effectuant les tests.

Des règles d’engagement, des contrats ou d’autres mécanismes appropriés peuvent être utilisés pour communiquer les attentes sur la façon de protéger cette information. Les évaluations des risques permettent de guider les décisions relatives au niveau d’indépendance exigé du personnel chargé des tests d’intrusion.

Contrôles et activités connexes

RA-05, RA-10, SA-11, SR-05 et SR-06.

Améliorations

  • (01) Tests d’intrusion : Équipe, agente ou agent indépendant chargé des tests d’intrusion
    • Faire appel à une équipe, agente ou agent indépendant chargé des tests d’intrusion pour effectuer des tests d’intrusion sur le système ou les composants du système.
    • Discussion : Les équipes ou les agentes et agents indépendants chargés des tests d’intrusion sont des personnes ou des groupes qui effectuent des tests d’intrusion impartiaux sur les systèmes organisationnels. L’impartialité sous-entend que ces équipes ou agentes et agents ne doivent en aucun cas se trouver en un conflit d’intérêts, subjectif ou réel, en ce qui a trait au développement, aux opérations ou à la gestion des systèmes organisationnels qui font l’objet des tests d’intrusion. Le contrôle CA-02(01) fournit d’autres renseignements sur les évaluations indépendantes qui peuvent s’appliquer aux tests d’intrusion.
    • Contrôles et activités connexes: CA-02.
  • (02) Tests d’intrusion : Exercices effectués par l’équipe de testeuses et testeurs
    • Avoir recours à des exercices effectués par l’équipe de testeuses et testeurs pour simuler des tentatives de compromission des systèmes organisationnels lancées par des adversaires conformément aux règles d’engagement : [Affectation : exercices effectués par l’équipe de testeuses et testeurs définie par l’organisation].
    • Discussion : Les exercices effectués par l’équipe de testeuses et testeurs vont au-delà des objectifs liés aux tests d’intrusion en permettant d’examiner la posture de sécurité et de protection de la vie privée des organisations et leur capacité à mettre en place des contrôles de cyberdéfense efficaces. Les exercices qu’effectue l’équipe de testeuses et testeurs sont menés de manière à simuler des tentatives lancées par des adversaires qui cherchent à compromettre des fonctions opérationnelles ou liées à la mission de l’organisation afin d’évaluer de façon exhaustive la posture de sécurité et de protection de la vie privée du système et de l’organisation. De telles tentatives comprennent les attaques axées sur la technologie de même que les attaques axées sur l’ingénierie sociale.
      Les attaques axées sur la technologie comprennent les interactions avec des composants matériels, logiciels ou micrologiciels et avec des processus opérationnels ou liés à la mission. Quant aux attaques axées sur l’ingénierie sociale, elles comprennent les interactions à l’aide de courriels, d’appels téléphoniques, d’espionnage par-dessus l’épaule ou de conversations personnelles.
      Les exercices effectués par l’équipe de testeuses et testeurs sont plus efficaces lorsqu’ils sont menés par des agentes et agents ou des équipes chargés des tests d’intrusion qui ont des connaissances et de l’expérience des tactiques, des techniques, des procédures et des outils utilisés par les adversaires. Bien que les tests de pénétration se fassent surtout dans des laboratoires, les organisations se servent des exercices qu’effectue l’équipe de testeurs afin de mener des évaluations exhaustives qui reflètent les conditions réelles. Les organisations peuvent utiliser les résultats des exercices effectués par l’équipe de testeuses et testeurs pour améliorer la sensibilisation à la sécurité et à la protection de la vie privée, la formation sur la sécurité et la protection de la vie privée et pour évaluer l’efficacité des contrôles.
    • Contrôles et activités connexes: Aucun.
  • (03) Tests d’intrusion : Tests d’intrusion des installations
    • Utiliser un processus de tests d’intrusion qui comprend [Affectation : fréquence définie par l’organisation] tentatives [Sélection (un choix ou plus) : prévues; inopinées] de contournement des contrôles associés aux points d’accès physique de l’installation.
    • Discussion : Des tests d’intrusion de points d’accès physique peuvent fournir de l’information sur des vulnérabilités critiques dans les environnements d’exploitation des systèmes organisationnels. Une telle information peut servir à corriger les faiblesses ou lacunes des contrôles physiques qui sont nécessaires à la protection des systèmes de l’organisation.
    • Contrôles et activités connexes: CA-02 et PE-03.

Références

Aucune.

Haut de la page 
 

CA-09 Connexions des systèmes internes

Contrôles

  1. Autoriser les connexions internes de [Affectation : composants de système ou types de composants définis par l’organisation] au système
  2. Consigner, pour chaque connexion interne, les caractéristiques d’interface, les exigences de sécurité et de protection de la vie privée, et la nature de l’information communiquée
  3. Interrompre les connexions des systèmes internes après [Affectation : modalités définies par l’organisation]
  4. Examiner [Affectation : fréquence définie par l’organisation] la nécessité de chaque connexion interne

Discussion

Les connexions des systèmes internes sont des connexions entre les systèmes organisationnels et des composants constitutifs du système distincts (par exemple, des connexions entre les composants qui font partie d’un même système) y compris les composants utilisés pour le développement des systèmes. Les connexions intrasystèmes comprennent des connexions à des appareils mobiles, à des ordinateurs de bureau ou à des ordinateurs portatifs, à des tablettes, à des imprimantes, à des photocopieurs, à des télécopieurs, à des numériseurs, à des capteurs et à des serveurs.

Plutôt que d’autoriser chacune des connexions systèmes internes individuellement, les organisations peuvent autoriser des connexions internes pour un type de composants de systèmes qui ont des caractéristiques ou des configurations communes, y compris les imprimantes, les numériseurs et les photocopieurs numériques ayant une capacité de traitement, de stockage et de transmission précise ou les téléphones intelligents et les tablettes ayant une configuration de référence précise. La nécessité permanente d’avoir des connexions aux systèmes internes est examinée afin d’établir si ces connexions viennent appuyer les fonctions liées à la mission et aux activités de l’organisation.

Contrôles et activités connexes

AC-03, AC-04, AC-18, AC-19, CM-02, IA-03, SC-07 et SI-12.

Améliorations

  • (01) Connexions des systèmes internes : Vérifications de la conformité
    • Vérifier la conformité des composants aux exigences de sécurité avant d’établir une connexion interne.
    • Discussion : Les vérifications de conformité aux exigences comprennent la vérification de la configuration de référence pertinente.
    • Contrôles et activités connexes: CM-06.

Références

Précédent
Date de modification :