Sélection de la langue

Government of Canada / Gouvernement du Canada

Planification

Précédent

Sur cette page

 

Les contrôles et les activités de la famille Planification (PL) sont liés à l’élaboration, à la documentation, à la mise à jour et à la mise en œuvre des plans de sécurité et de protection de la vie privée pour les systèmes organisationnels. Ces plans décrivent les contrôles de sécurité et de protection de la vie privée en place ou planifiés pour les systèmes. Ils intègrent également les règles de conduite pour les personnes ayant accès aux systèmes.

PL-01 Politique et procédures de planification

Activité

  1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique de planification [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures pour faciliter la mise en œuvre de la politique de planification et des contrôles connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées à la planification
  3. Passer en revue et mettre à jour, par rapport à la planification,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de planification pour les contrôles de la famille PL sont mises en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et procédures de planification contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à leur élaboration.

Les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures comprennent, sans s’y limiter, les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, à la jurisprudence, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

References

Haut de la page 
 

PL-02 Plans de sécurité et de protection de la vie privée des systèmes

Activité

  1. sont conformes à l’architecture d’entreprise de l’organisation
    1. définissent explicitement les composants constitutifs du système
    2. décrivent le contexte opérationnel du système sur le plan des processus liés à la mission et aux activités
    3. identifient les personnes qui assument des responsabilités et des rôles liés au système
    4. identifient les types d’informations traitées, stockées et transmises par le système
    5. définissent la catégorisation de sécurité du système, y compris la justification à l’appui
    6. décrivent les menaces particulières pour le système qui sont préoccupantes pour l’organisation
    7. fournissent les résultats de l’évaluation des risques d’atteinte à la vie privée pour les systèmes qui traitent les renseignements personnels
    8. décrivent l’environnement opérationnel du système ainsi que les dépendances ou les connexions à d’autres systèmes ou à d’autres composants du système
    9. donnent un aperçu des exigences en matière de contrôle de la sécurité et de la protection de la vie privée du système
    10. déterminent les bases de référence ou les profils des contrôles pertinents, le cas échéant
    11. décrivent les contrôles en place ou prévus pour satisfaire aux exigences de sécurité et de protection de la vie privée, y compris la justification des décisions concernant l’adaptation des contrôles
    12. incluent les déterminations des risques découlant des décisions liées à la conception et à l’architecture de sécurité et de protection de la vie privée
    13. comprennent des activités liées à la sécurité et à la protection de la vie privée visant le système dont la planification et la coordination doivent être assurées avec [Affectation : personnes ou groupes désignés par l’organisation]
    14. sont examinés et approuvés par l’autorité responsable ou une représentante ou un représentant désigné avant leur mise en œuvre
    1. documentent les objectifs organisationnels pour le traitement des renseignements personnels
    2. définissent les normes de conservation et d’élimination des documents pour les renseignements personnels stockés dans le système
  2. Distribuer des copies des plans et communiquer les changements qui y sont apportés par la suite aux [Affectation : personnel ou rôles définis par l’organisation]
  3. Examiner les plans [Affectation : fréquence définie par l’organisation]
  4. Mettre à jour les plans pour tenir compte des changements apportés au système et à l’environnement d’exploitation, ou des problèmes soulevés lors de la mise en œuvre des plans ou des évaluations des contrôles
  5. Protéger les plans contre les divulgations ou les modifications non autorisées

Discussion

Les plans de sécurité et de protection de la vie privée du système sont adaptés au système et aux composants du système dans la limite d’autorisation définie et contiennent une vue d’ensemble des exigences de sécurité et de protection de la vie privée pour le système et les contrôles sélectionnés pour satisfaire aux exigences. Les plans décrivent l’application prévue de chaque contrôle sélectionné dans le contexte du système avec un niveau suffisant de détail pour mettre en œuvre correctement le contrôle et en évaluer l’efficacité par la suite.

La documentation des contrôles décrit la façon dont les contrôles hybrides et propres au système sont mis en œuvre, ainsi que les plans et les attentes concernant la fonctionnalité du système. Les plans de sécurité et de protection de la vie privée du système peuvent également être utilisés dans la conception et le développement des systèmes pour appuyer les processus d’ingénierie de la sécurité et de la protection de la vie privée basés sur le cycle de vie.

Les plans de sécurité et de protection de la vie privée du système sont des documents évolutifs qui sont mis à jour et adaptés tout au long du cycle de développement du système (par exemple, lors de la détermination des capacités, l’analyse des solutions de rechange, les demandes de propositions et les examens de la conception). La section 2.1 décrit les différents types d’exigences qui touchent les organisations durant le cycle de développement du système et la relation entre les exigences et les contrôles.

Les organisations peuvent élaborer un seul plan intégré de sécurité et de protection de la vie privée ou tenir à jour plusieurs plans distincts. Les plans de sécurité et de protection de la vie privée associent les exigences en matière de sécurité et de protection de la vie privée à un ensemble de contrôles et d’améliorations de contrôle. Les plans décrivent également en quoi les contrôles et les améliorations de contrôle satisfont aux exigences en matière de sécurité et de protection de la vie privée, sans pour autant fournir des descriptions détaillées et techniques de la conception ou de la mise en œuvre de ces contrôles ou de ces améliorations de contrôle. Les plans de sécurité et de protection de la vie privée contiennent suffisamment d’information (y compris des spécifications explicites ou par référence des paramètres d’affectation et de sélection) pour permettre une conception et une mise en œuvre clairement conformes à ses objectifs et la détermination subséquente des risques qu’ils représentent, s’ils sont appliqués, pour les activités et les biens de l’organisation, les individus, les autres organisations et le Canada.

Les plans de sécurité et de protection de la vie privée n’ont pas à être des documents uniques. Ils peuvent être un ensemble de documents, y compris des documents qui existent déjà. Des plans de sécurité et de protection de la vie privée efficaces renvoient largement aux stratégies, aux procédures et à des documents additionnels, comme les spécifications liées à la conception et à la mise en œuvre, dans lesquels il est possible d’obtenir de plus amples détails. L’utilisation de ces références permet de réduire la documentation associée aux programmes de sécurité et de protection de la vie privée, de même que de conserver l’information relative à la sécurité et à la protection de la vie privée dans d’autres secteurs opérationnels ou de gestion établis, notamment l’architecture d’entreprise, le cycle de développement des systèmes, l’ingénierie des systèmes et l’acquisition. Par exemple, les plans de sécurité n’ont pas à faire mention des plans de secours, des plans d’intervention en cas d’incident ou des processus à suivre advenant une atteinte à la vie privée. Ils peuvent plutôt fournir suffisamment d’information (explicitement et en référence) pour établir quels objectifs ces plans visent à atteindre.

Les activités liées à la sécurité et à la protection de la vie privée susceptibles d’exiger de la coordination et de la planification avec d’autres personnes ou groupes au sein de l’organisation comprennent les évaluations, les vérifications, les inspections, la maintenance du matériel et des logiciels, la gestion des acquisitions et des risques liés à la chaîne d’approvisionnement, la gestion des correctifs et la mise à l’essai des plans d’urgence. La planification et la coordination englobent les situations urgentes et celles qui ne le sont pas (c’est-à-dire, planifiées ou non urgentes et non planifiées). Le processus défini par l’organisation pour planifier et coordonner les activités liées à la sécurité et à la protection de la vie privée peut également être inclus dans d’autres documents, le cas échéant.

Contrôles et activités connexes

AC-02, AC-06, AC-14, AC-17, AC-20, CA-02, CA-03, CA-07, CM-09, CM-13, CP-02, CP-04, IR-04, IR-08, MA-04, MA-05, MP-04, MP-05, PL-07, PL-08, PL-10, PL-11, PM-01, PM-07, PM-08, PM-09, PM-10, PM-11, RA-03, RA-08, RA-09, SA-05, SA-17, SA-22, SI-12, SR-02 et SR-04.

Améliorations

  • (01) Plans de sécurité et de protection de la vie privée des systèmes : Concept d’opérations
    • Annulé : Intégré au contrôle PL-07.
  • (02) Plans de sécurité et de protection de la vie privée des systèmes : Architecture fonctionnelle
    • Annulé : Intégré au contrôle PL-08.
  • (03) Plans de sécurité et de protection de la vie privée des systèmes : Planifier et coordonner avec d’autres entités organisationnelles
    • Annulé : Intégré au contrôle PL-02.

References

PL-03 Mise à jour du plan de sécurité des systèmes

Annulé : Intégré au contrôle PL-02.

Haut de la page 
 

PL-04 Règles de conduite

Activité

  1. Établir et communiquer les règles qui décrivent les responsabilités et le comportement attendu des personnes qui doivent accéder au système en ce qui concerne l’utilisation, la sécurité et la protection de la vie privée de l’information et du système
  2. Obtenir des personnes devant accéder au système une attestation documentée selon laquelle elles ont lu et compris le document et acceptent de respecter les règles de conduite avant d’obtenir l’accès autorisé à l’information et au système
  3. Passer en revue et mettre à jour les règles de conduite tous les [Affectation : fréquence définie par l’organisation]
  4. Exiger que les personnes qui ont accepté de se conformer à une version antérieure des règles de conduite les lisent et les acceptent de nouveau [Sélection (un choix ou plus) : [Affectation : fréquence définie par l’organisation]; lorsque les règles sont révisées ou mises à jour]

Discussion

Les règles de conduite représentent un type d’entente d’accès pour les utilisatrices et utilisateurs de l’organisation. D’autres types d’ententes d’accès comprennent les ententes régissant les conflits d’intérêts et les ententes d’utilisation acceptable (voir le contrôle PS-06). Les organisations devraient prévoir les règles de conduite selon les rôles et les responsabilités des utilisatrices et utilisateurs et faire une distinction entre les règles appliquées aux utilisatrices et utilisateurs privilégiés et celles appliquées aux utilisatrices et utilisateurs généraux.

Il est souvent difficile d’établir des règles de conduite pour certains types d’utilisateurs non organisationnels, notamment des personnes qui reçoivent des renseignements de systèmes fédéraux, étant donné le grand nombre de ces utilisatrices et utilisateurs et la nature limitée de leurs interactions sur les systèmes. Les règles de conduite des utilisatrices et utilisateurs organisationnels et non organisationnels peuvent également être établies sous le contrôle AC-08. La section des contrôles et des activités connexes fournit une liste des contrôles qui sont pertinents aux règles de conduite de l’organisation. Pour satisfaire le contrôle PL-04B (l’attestation documentée de ce contrôle), l’organisation peut offrir de la formation et de la sensibilisation en matière de sécurité, ainsi que des programmes de formation axés sur les rôles, si de telles formations traitent des règles de conduite. Les attestations documentées des règles de conduite comprennent le recours à des signatures électroniques ou physiques et l’utilisation de cases d’option pour l’acceptation électronique.

Discussion au sein du GC

Les attentes en ce qui concerne les règles de conduite pour les utilisatrices, utilisateurs ou destinataires de l’information contenue dans les systèmes gouvernementaux peuvent être prises en compte dans une entente ou un accord d’échange de renseignements.

Contrôles et activités connexes

AC-02, AC-06, AC-08, AC-09, AC-17, AC-18, AC-19, AC-20, AT-02, AT-03, CM-11, IA-02, IA-04, IA-05, MP-07, PS-06, PS-08, SA-05 et SI-12.

Améliorations

  • (01) Règles de conduite : Restriction d’utilisation des médias sociaux et des sites et applications externes
    • Tenir compte des restrictions que les règles de conduite imposent sur ce qui suit
      1. l'utilisation de médias sociaux, de réseaux sociaux et de sites et applications externes
      2. la publication d’information organisationnelle sur des sites Web publics
      3. l’utilisation d’identifiants fournis par l’organisation (par exemple, des adresses courriel) et de secrets d’authentification (par exemple, des mots de passe) pour la création de comptes sur des sites et applications externes
    • Discussion : Les restrictions imposées à l’utilisation des médias sociaux, des réseaux sociaux et des sites et applications externes tiennent compte des règles de conduite liées à une telle utilisation lorsque le personnel de l’organisation utilise de tels sites dans l’exercice de ses fonctions officielles ou dans le cadre de ses activités officielles, lorsque l’information organisationnelle fait partie d’une interaction sur des médias ou réseaux sociaux et lorsque le personnel utilise des systèmes de l’organisation pour accéder aux sites de médias et réseaux sociaux. Les organisations devraient également prévoir des règles particulières pour empêcher que des entités non autorisées utilisent les sites de médias et réseaux sociaux pour obtenir de l’information non publique sur l’organisation, que ce soit directement ou de façon indirecte. L’information non publique comprend les renseignements personnels et l’information sur les comptes des systèmes.
    • Contrôles et activités connexes: AC-22 et AU-13.

References

PL-05 Évaluation des facteurs relatifs à la vie privée

Annulé : Intégré au contrôle RA-08.

PL-06 Planification des activités relatives à la sécurité

Annulé : Intégré au contrôle PL-02.

Haut de la page 
 

PL-07 Concepts d’opérations

Activité

  1. Élaborer un concept d’opérations (CONOPS) pour le système qui définit comment l’organisation prévoit exploiter le système du point de vue de la sécurité et de la protection de la vie privée de l’information
  2. Passer en revue et mettre à jour le CONOPS [Affectation : fréquence définie par l’organisation]

Discussion

Le CONOPS peut faire partie des plans de sécurité et de protection de la vie privée du système ou des autres documents liés au cycle de développement des systèmes. Le CONOPS est un document évolutif qui exige des mises à jour tout au long du cycle de développement des systèmes. Par exemple, au cours de la revue de conception des systèmes, le CONOPS est vérifié pour veiller à ce qu’il soit uniforme avec la conception des contrôles, de l’architecture des systèmes et des procédures opérationnelles. Les changements apportés au CONOPS se reflètent en permanence dans les mises à jour des plans de sécurité et de protection de la vie privée, les architectures de sécurité et de protection de la vie privée et d’autres documents organisationnels, comme les spécifications relatives à l’approvisionnement, les documents relatifs au cycle de développement des systèmes et les documents liés à l’ingénierie des systèmes.

Contrôles et activités connexes

PL-02, SA-02 et SI-12.

Améliorations

Aucune.

References

Haut de la page 
 

PL-08 Architecture de sécurité et de protection de la vie privée

Activité

  1. Élaborer des architectures de sécurité et de protection de la vie privée pour le système qui décrit
    1. les exigences et l’approche à adopter pour protéger la confidentialité, l’intégrité et la disponibilité de l’information de l’organisation
    2. les exigences et l’approche à adopter pour traiter les renseignements personnels de manière à limiter les risques d’atteinte à la vie privée des personnes
    3. la façon dont les architectures sont intégrées à l’architecture d’entreprise et prises en charge par cette dernière
    4. toutes les hypothèses en lien avec les services et systèmes externes et les interdépendances
  2. Passer en revue et mettre à jour les architectures [Affectation : fréquence définie par l’organisation] de manière à tenir compte des changements apportés à l’architecture d’entreprise
  3. Refléter les changements prévus à l’architecture dans les plans de sécurité et de protection de la vie privée, le CONOPS, l’analyse de criticité, les procédures organisationnelles, de même que l’approvisionnement et les acquisitions

Discussion

Les architectures de sécurité et de protection de la vie privée au niveau du système sont conformes aux architectures de sécurité et de protection de la vie privée de l’organisation décrites dans le contrôle PM-07. Elles en font partie intégrante et sont développées dans le cadre de l’architecture d’entreprise. Les architectures comprennent une description de l’architecture, l’affectation des fonctions de sécurité (dont les contrôles), l’information relative à la sécurité et à la protection de la vie privée des interfaces externes, l’information échangée entre les interfaces, le flux de données des renseignements personnels et les mécanismes de protection associés à chacune des interfaces. Les architectures peuvent également comprendre d’autres renseignements, comme les rôles des utilisateurs et les privilèges d’accès associés à chacun de ces rôles; les exigences propres à la sécurité et à la protection de la vie privée; les types de renseignements traités, stockés et transmis par les systèmes; les exigences relatives à la gestion des risques liés à la chaîne d’approvisionnement; les priorités de restauration de l’information et des services des systèmes, ainsi que tout autre besoin de protection.

Il est important de respecter l’orientation pertinente sur l’utilisation des architectures de sécurité dans le cadre du processus du cycle de développement des systèmes. Le Centre pour la cybersécurité recommande d’adopter les concepts d’ingénierie de la sécurité des systèmes décrits dans le document Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037). Les architectures de sécurité et de protection de la vie privée sont examinées et mises à jour tout au long du cycle de développement des systèmes, de l’analyse des alternatives à l’examen de l’architecture proposée dans les propositions de marché et aux revues de conception réalisées avant et durant la mise en œuvre (par exemple, durant les revues de conception préliminaires et de conception critiques).

Dans les architectures informatiques modernes, de moins en moins d’organisations contrôlent l’ensemble des ressources d’information. Les organisations pourraient dépendre fortement des services d’information externes et des fournisseurs de services. Il est nécessaire de décrire ces dépendances dans l’architecture de sécurité et de protection de la vie privée pour mettre en place une stratégie de protection exhaustive de la mission et des activités.

La mise en œuvre et le maintien d’architectures efficaces passent essentiellement par l’élaboration, le développement, la documentation et le maintien d’une configuration de base pour les systèmes de l’organisation dans le cadre du contrôle des configurations. Le développement des architectures est coordonné avec le bureau de la ou du DPI du ministère, la ou le haut fonctionnaire chargé de la gouvernance de sécurité du ministère, ainsi que la ou le cadre supérieur en matière de protection de la vie privée pour veiller à ce que les contrôles nécessaires pour soutenir les exigences propres à la sécurité et à la protection de la vie privée soient établies et mises en œuvre efficacement.

Dans plusieurs cas, il pourrait n’y avoir aucune distinction entre les architectures de sécurité et de protection de la vie privée d’un système. Dans d’autres cas, il est possible d’atteindre adéquatement les objectifs liés à la sécurité, alors que ceux liés à la protection de la vie privée ne sont que partiellement satisfaits par les exigences relatives à la sécurité. Dans de tels scénarios, le fait d’avoir à considérer l’imposition d’exigences en matière de protection de la vie privée pour atteindre les objectifs donnera lieu à la mise en œuvre d’une architecture de protection de la vie privée distincte. La documentation pourrait toutefois ne faire mention que des architectures combinées.

Le contrôle PL-08 concerne principalement les organisations. Il vise à s’assurer que ces dernières mettent en place des architectures pour le système, et que ces architectures s’intègrent à l’architecture d’entreprise ou y soient étroitement liées. Par opposition, le contrôle SA-17 concerne principalement les développeuses, les développeurs, les intégratrices et les intégrateurs de produits et de systèmes de TI externes. Les organisations sélectionnent le contrôle SA-17, qui est complémentaire au contrôle PL-08, lorsqu’elles externalisent le développement des systèmes ou des composants connexes à des entités externes et dans la mesure où il est nécessaire d’assurer l’uniformité avec l’architecture d’entreprise et les architectures de sécurité et de protection de la vie privée de l’organisation.

Contrôles et activités connexes

CM-02, CM-06, PL-02, PL-07, PL-09, PM-05, PM-07, RA-09, SA-03, SA-05, SA-08, SA-17 et SC-07.

Améliorations

  • (01) Architecture de sécurité et de protection de la vie privée : Défense en profondeur
    • Concevoir les architectures de sécurité et de protection de la vie privée pour le système en adoptant une approche de défense en profondeur qui
      1. affecte [Affectation : contrôles définis par l’organisation] aux [Affectation : emplacements et couches d’architecture désignés par l’organisation]
      2. s’assure que les contrôles affectés fonctionnent de façon coordonnée et se renforcent mutuellement
    • Discussion : L’organisation affecte stratégiquement les contrôles de sécurité et de protection de la vie privée dans les architectures de sécurité et de protection de la vie privée de manière à ce que les adversaires ne puissent atteindre leur objectif sans être confrontés à plusieurs contrôles. Forcer les adversaires à mettre en échec plusieurs contrôles les empêche d’attaquer trop facilement les ressources d’information en leur compliquant la tâche. Cela augmente également les chances que leurs activités soient détectées. Il est essentiel de bien coordonner les contrôles affectés de manière à éviter qu’une attaque visant l’un de ces contrôles n’ait des conséquences néfastes imprévues et aille à l’encontre d’autres contrôles. Les conséquences imprévues peuvent comprendre le verrouillage des systèmes et des alertes successives.
      La mise en place des contrôles dans les systèmes et les organisations est une activité importante qui exige une analyse minutieuse. Il est important de tenir compte de la valeur des biens de l’organisation au moment de procéder à une structuration en couches plus poussée. Les approches à l’architecture de défense en profondeur comprennent la modularité et la structuration en couches (voir le contrôle SA-08(03)), la séparation des fonctionnalités des utilisateurs et du système (voir le contrôle SC-02) et l’isolation des fonctions de sécurité (voir le contrôle SC-03).
    • Contrôles et activités connexes : SC-02, SC-03, SC-29 et SC-36.
  • (02) Architecture de sécurité et de protection de la vie privée : Diversité des fournisseurs
    • Exiger que les [Affectation : mécanismes de sécurité définis par l’organisation] affectés aux [Affectation : emplacements et couches d’architecture désignés par l’organisation] soient obtenus de différents fournisseurs
    • Discussion : Les produits informatiques présentent diverses forces et faiblesses. C’est en combinant un large éventail de produits qu’il est possible de renforcer chacune des solutions. Par exemple, les fournisseurs de mécanismes de protection contre les programmes malveillants mettent généralement à jour leurs produits à différents moments et développent souvent des solutions aux virus, aux chevaux de Troie ou aux vers connus en fonction de leurs priorités et de leurs calendriers de développement. Déployer différents produits dans divers emplacements permet d’augmenter les chances que le programme malveillant soit détecté par l’un ou l’autre de ces composants. En ce qui concerne la protection de la vie privée, les fournisseurs peuvent offrir des produits qui font le suivi des renseignements personnels dans les systèmes. Les produits peuvent utiliser différentes méthodes de suivi. Le recours à de multiples produits peut accroître l’assurance que les renseignements personnels seront répertoriés.
    • Contrôles et activités connexes: SC-29 et SR-3.

References

Haut de la page 
 

PL-09 Gestion centrale

Contrôle

Centraliser la gestion des [Affectation : contrôles et processus connexes définis par l’organisation].

Discussion

La gestion centrale renvoie à la gestion et à la mise en œuvre des contrôles et des processus sélectionnés à l’échelle de l’organisation. Elle comprend la planification, la mise en œuvre, l’évaluation, l’autorisation et la surveillance des contrôles et des processus définis par l’organisation et gérés de façon centralisée. Comme la gestion centrale des contrôles est généralement associée au concept de contrôles courants (hérités), une telle gestion favorise et facilite la normalisation de la mise en œuvre des contrôles, de leur gestion, et d’une utilisation judicieuse des ressources de l’organisation. Des contrôles et des processus gérés de façon centralisée peuvent également répondre aux exigences d’autonomie associées aux évaluations qui visent à appuyer les autorisations initiales et permanentes d’exploiter dans le cadre de la surveillance continue de l’organisation.

Des outils automatisés (par exemple, les outils de gestion des informations et des événements de sécurité ou les outils de gestion et de surveillance de la sécurité d’entreprise) peuvent accroître l’exactitude, l’uniformité et la disponibilité de l’information associée aux contrôles et aux processus gérés de façon centralisée. L’automatisation peut aussi fournir des capacités en matière d’agrégation et de corrélation de données, des mécanismes d’alerte et des tableaux de bord pour soutenir la prise de décisions fondée sur le risque au sein de l’organisation. Certains outils de surveillance de la sécurité d’entreprise ou gérés de façon centralisée peuvent collecter et créer de l’information sur les comportements des utilisatrices et utilisateurs des systèmes. Cette information devrait être protégée en tant que renseignements personnels. Pour mieux comprendre, l’organisation s’adresser à la ou au haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié pour obtenir des conseils et de l’orientation.

Conformément au processus de sélection des contrôles, les organisations déterminent quels seront les contrôles susceptibles d’être gérés de façon centralisée en tenant compte des ressources et des capacités. Il n’est pas toujours possible de gérer de façon centralisée chacun des aspects d’un contrôle de sécurité. Dans de tels cas, ce dernier est traité comme un contrôle hybride : il est géré et mis en œuvre de façon centralisée ou au niveau du système. Les contrôles et les améliorations de contrôle qui se prêtent à une gestion centrale complète ou partielle comprennent, sans s’y limiter : AC-02(01), AC-02(02), AC-02(03), AC-02(04), AC-04(all), AC-17(01), AC-17(02), AC-17(03), AC-17(09), AC-18(01), AC-18(03), AC-18(04), AC-18(05), AC-19(04), AC-22, AC-23, AT-02(01), AT-02(02), AT-03(01), AT-03(02), AT-03(03), AT-04, AU-03, AU-06(01), AU-06(03), AU-06(05), AU-06(06), AU-06(09), AU-07(01), AU-07(02), AU-11, AU-13, AU-16, CA-02(01), CA-02(02), CA-02(03), CA-03(01), CA-03(02), CA-03(03), CA-07(01), CA-09, CM-02(02), CM-03(01), CM-03(04), CM-04, CM-06, CM-06(01), CM-07(02), CM-07(04), CM-07(05), CM-08(all), CM-09(01), CM-10, CM-11, CP-07(tous), CP-08(tous), SC-43, SI-02, SI-03, SI-04(tous), SI-07 et SI-08.

Contrôles et activités connexes

PL-08 et PM-09.

Améliorations

Aucune.

References

Aucune.

Haut de la page 
 

PL-10 Sélection de la base de référence

Activité

Sélectionner la base de référence des contrôles d’un système.

Discussion

Les bases de référence des contrôles sont des ensembles prédéfinis de contrôles rassemblés pour satisfaire explicitement aux besoins de protection d’un groupe, d’une organisation ou d’une communauté d’intérêts. Les contrôles sont sélectionnés aux fins des bases de référence de manière à respecter les mandats imposés en vertu des lois, des décrets, des directives, des politiques, de la réglementation, des normes et des lignes directrices applicables ou à atténuer les menaces courantes qui pèsent sur l’ensemble des utilisatrices et utilisateurs de la base de référence selon les hypothèses soulevées par cette dernière.

Les bases de référence représentent un point de départ pour la protection de la vie privée des utilisatrices et utilisateurs, de l’information et des systèmes d’information et sont suivies de mesures d’adaptation visant à gérer le risque conformément aux contraintes imposées par la mission, les activités ou de toute autre nature (voir le contrôle PL-11). Les bases de référence des contrôles recommandés sont présentées dans le document Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01) pour les profils PROTÉGÉ B, intégrité moyenne, disponibilité moyenne (PBMM) et du nuage.

La sélection de la base de référence d’un contrôle est déterminée par les besoins des parties prenantes. Les parties prenantes doivent tenir compte des exigences liées à la mission ou aux activités de l’organisation, ainsi qu’aux mandats imposés en vertu des lois, des décrets, des directives, des politiques, de la réglementation, des normes et des lignes directrices applicables. Pour répondre aux exigences, on recommande aux organisations de sélectionner l’une des bases de référence des contrôles après avoir passé en revue les types d’information et les renseignements qui sont traités, stockés et transmis sur le système; avoir analysé les incidences négatives potentielles découlant de la perte ou de la compromission de l’information ou du système sur les activités et les biens organisationnels, les individus, les autres organisations ou le Canada; et avoir pris en considération les résultats des évaluations des risques touchant les systèmes et l’organisation.

Discussion au sein du GC

Les bases de référence des contrôles mentionnées dans le document Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01) sont conformes aux politiques, aux directives, aux normes et aux lignes directrices du SCT. Pour des conseils sur les bases de références des contrôles des systèmes de sécurité nationale, prière d’envoyer un courriel à contact@cyber.gc.ca.

Contrôles et activités connexes

PL-02, PL-11, RA-02, RA-03 et SA-08.

Améliorations

Aucune.

References

Haut de la page 
 

PL-11 Adaptation de la base de référence

Activité

Adapter la base de référence du contrôle sélectionné en appliquant les mesures d’adaptation indiquées.

Discussion

Le concept d’adaptation permet à l’organisation de spécialiser ou de personnaliser un ensemble de contrôles de référence en appliquant un ensemble défini de mesures d’adaptation. Les mesures d’adaptation facilitent cette spécialisation et personnalisation, puisqu’elle permet à l’organisation d’élaborer des plans de sécurité et de protection de la vie privée qui reflètent des fonctions liées à sa mission et à ses activités, les environnements où s’exécutent les systèmes, les menaces et vulnérabilités qui touchent ses systèmes et toute autre condition ou situation susceptible d’avoir une incidence sur la réussite de sa mission ou de ses activités. Des conseils sur mesure sont fournis dans le document La gestion des risques liés à la cybersécurité et à la vie privée : Une méthode axée sur le cycle de vie.

L’adaptation de la base de référence d’un contrôle passe par l’identification et la désignation des contrôles communs, l’application des considérations en matière d’établissement de la portée, la sélection des contrôles compensatoires, l’attribution de valeurs aux paramètres des contrôles, l’ajout des contrôles additionnels nécessaires à la base de référence du contrôle et la diffusion d’information sur la mise en œuvre du contrôle. Les mesures générales d’adaptation fournies dans la Série sur la gestion des risques liés à la cybersécurité et des risques d’atteinte à la vie privée : Une méthode axée sur le cycle de vie peuvent être complétées par des mesures additionnelles selon les besoins de l’organisation.

Des mesures d’adaptation peuvent être appliquées aux bases de référence mentionnées dans le document Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01) conformément aux exigences de sécurité et de protection de la vie privée stipulées dans la LPRP, la LPRPDE, ainsi que les politiques et directives du SCT. Sinon, les autres communautés d’intérêts qui adoptent différentes bases de référence pour les contrôles peuvent appliquer les mesures d’adaptation fournies dans la Série sur la gestion des risques liés à la cybersécurité et des risques d’atteinte à la vie privée : Une méthode axée sur le cycle de vie pour spécialiser ou personnaliser les contrôles qui représentent les besoins et les préoccupations de ces entités.

Contrôles et activités connexes

PL-10, RA-02, RA-03, RA-09 et SA-08.

Améliorations

Aucune.

References

 
Précédent
Date de modification :