Professional Documents
Culture Documents
Partie I - Introduction
1. Raison d'tre
La prsente norme dfinit les exigences scuritaires de base que les ministres fdraux doivent satisfaire pour assurer
la scurit de l'information et des biens de technologie de l'information (TI) placs sous leur contrle.
2. Porte et application
La Politique du gouvernement sur la scurit nonce les exigences respecter pour protger les biens du
gouvernement, y compris l'information, et prescrit aux ministres et organismes fdraux touchs par cette politique
de se doter d'une stratgie de scurit en matire de technologies de l'information. La Politique sur la gestion de
l'information gouvernementale exige des ministres qu'ils protgent l'information tout au long de son cycle de vie. La
prsente norme largit les exigences de ces deux politiques. De plus, elle remplace les Normes sur la scurit des
technologies de l'information (1995) chapitres 2 et 3 du Manuel du Conseil du Trsor sur la Gestion de l'information et
la Gestion administrative.
La Politique du gouvernement sur la scurit dfinit la scurit des TI comme tant les mesures de sauvegarde visant
prserver la confidentialit, l'intgrit, la disponibilit, l'utilisation prvue et la valeur des renseignements conservs,
traits ou transmis par voie lectronique . Pour les besoins de la prsente norme, le terme scurit des TIinclura aussi
les mesures de protection appliques aux biens utiliss pour recueillir, traiter, recevoir, afficher, transmettre,
reconfigurer, balayer, entreposer ou dtruire l'information par voie lectronique.
4. Principes
La prestation de services ncessite la scurit des TI.
La scurit des TI fait partie intgrante de la prestation continue de programmes et de services. Pour viter toute
interruption de service ou perte de confiance que pourrait causer une atteinte la scurit des TI, les ministres sont
tenus de concevoir la scurit des TI comme tant un impratif organisationnel et un outil de prestation de services.
Bien que les gestionnaires de la prestation de programmes et services puissent dlguer la responsabilit de la scurit
des TI des experts techniques, ils demeurent redevables envers les administrateurs gnraux et sont responsables
d'assurer la scurit des programmes et des services placs sous leur autorit.
La prsente partie de la norme contient une orientation et des directives sur la manire d'organiser et de grer un
programme ministriel de scurit des TI. Elle porte sur les rles et les responsabilits, la politique, les ressources et
les contrles de gestion.
9. Rles et responsabilits
Bien que les ministres attribuent de manire diffrente les rles et responsabilits qui suivent (p. ex., ils peuvent
utiliser des titres diffrents que ceux qui figurent ci-aprs), chaque ministre doit dsigner les personnes qui devront
tenir les fonctions dcrites dans la prsente section.
mettre en place et grer un programme ministriel de scurit des TI dans le cadre d'un programme
ministriel de scurit coordonn;
examiner les politiques et normes de scurit des TI du ministre et toutes les politiques qui contiennent des
implications pour la scurit des TI, et recommander leur approbation;
veiller ce que soient vrifies les sections lies la scurit des TI de la demande de propositions et de
toute autre documentation sur la passation de marchs, y compris les listes de vrification des exigences
relatives la scurit;
recommander l'approbation de tous les contrats destins aux fournisseurs externes de services de scurit
des TI;
collaborer troitement avec les gestionnaires de la prestation de programmes et services afin d'effectuer ce
qui suit :
o
o
o
o
Le poste de coordonnateur de la scurit des TI doit faire l'objet d'une enqute de scurit au niveau secret ou un
niveau plus lev. Au moment d'embaucher une personne pour ce poste, les ministres devraient privilgier des
personnes qui possdent une attestation de leurs comptences professionnelles.
L'agent de scurit du ministre et le coordonnateur de la scurit des TI doivent veiller ce que les responsables de
la scurit matrielle, de la protection des personnes et de la scurit des TI coordonnent leurs efforts de manire
protger l'information et les biens de TI, et mettre en pratique une approche intgre et quilibre.
Les ministres qui gardent des dossiers cryptographiques classifis, des lments cryptographiques contrls ou des
documents comptables doivent avoir un compte COMSEC (Scurit des communications). Ces ministres doivent
nommer un gardien COMSEC (et un remplaant, au besoin) qui sera responsable de ces dossiers, lments et
documents conformment aux directives du Centre de la scurit des tlcommunications.
dfinir les rles et responsabilits des gestionnaires de prestation de services et de programmes, du dirigeant
principal de l'information, des conseillers juridiques, des spcialistes de la protection des renseignements
personnels et des spcialistes de la scurit du ministre et d'autres membres du personnel en rapport avec
la scurit des TI;
tablir les liens requis avec les autres normes et politiques ministrielles et les exigences juridiques et
rglementaires en matire de scurit des TI (p. ex., politique sur l'utilisation acceptable);
noncer l'exigence de faire de la scurit des TI une partie intgrante de la prestation des services et des
programmes;
noncer les besoins pour obtenir du financement aux fins de support de la scurit des TI;
noncer les exigences d'examen et de remaniement de la politique ministrielle de scurit des TI et des
documents connexes.
Mise en ouvre
Crer la documentation de conception, effectuer les tests d'acceptation et obtenir la certification et
l'accrditation.
Fonctionnement
La scurit du systme est surveille et maintenue tandis que l'valuation des menaces et des risques aide
valuer les modifications pouvant avoir une incidence sur la scurit.
Conservation et limination
Conformment aux normes et lignes directrices visant l'archivage et la scurit, archiver ou dtruire
l'information et les biens de TI de nature dlicate dans les systmes.
tant donn que les systmes sous-tendent la plupart des programmes et services, l'approche de la scurit des TI qui
est lie au cycle chronologique d'laboration des systmes s'applique aussi la gestion des programmes et services.
Ces activits contribuent la gestion des risques des programmes, systmes et services.
identifier et classer l'information et les biens connexes selon leur degr de dlicatesse (et consigner cette
information dans un nonc de la nature dlicate);
valuer les vulnrabilits du systme et les menaces son endroit qui pourraient avoir une incidence sur la
prestation d'un programme ou d'un service;
dterminer le niveau de risque, en fonction des mesures de protection en place et des vulnrabilits du
systme;
recommander des mesures de protection qui permettront de ramener le risque un niveau acceptable.
Les ministres doivent coordonner l'identification et la catgorisation de leurs biens avec les activits connexes telles
que les valuations des rpercussions sur la protection des renseignements personnels ou les analyses des
rpercussions sur les activits.
Les ministres doivent effectuer une valuation des menaces et des risques (EMR) pour chaque programme, systme
ou service. Ce type d'valuation peut tre soit simple et concise, soit dtaille et rigoureuse, selon le degr de
dlicatesse, d'importance et de complexit du programme, du systme ou du service faisant l'objet de l'valuation.
Dans le cas des programmes, systmes ou services pour lesquels les inquitudes relatives l'environnement
d'exploitation et la scurit sont identiques ou similaires, les ministres sont encourags dvelopper des EMR
rutilisables.
systme une vulnrabilit pour laquelle il n'existe aucun correctif devraient avoir recours une autre mthode pour
attnuer le risque (p. ex., changer la configuration).
12.9 Sanctions
La section 10.16 de la Politique du gouvernement sur la scurit exige que les ministres imposent des sanctions en
raisons de violations de la scurit des TI, lorsque, de l'avis de l'administrateur gnral, il y a eu inconduite ou
ngligence. Pour de plus amples informations, veuillez consulter la norme oprationnelle de scurit sur les
sanctions et les lignes directrices du Conseil du Trsor sur la discipline.
12.11.1 Auto-valuation
Les ministres doivent effectuer une valuation annuelle de leur programme et de leurs pratiques de scurit des TI
afin de vrifier leur conformit aux politiques et normes de scurit du gouvernement et du ministre, au moyen de la
mthode d'auto-valuation de la scurit des TI mise au point par le Secrtariat du Conseil du Trsor. Cette mthode
sera explique en dtail dans des documents ultrieurs.
L'auto-valuation de la scurit des TI permet de reprer les lacunes et aide les ministres trouver et mettre en
ouvre des mesures correctives. En fonction des rsultats de l'auto-valuation, les ministres doivent laborer ou mettre
jour leur plan d'action en matire de scurit des TI et dterminer les ressources requises pour le mettre en ouvre.
Afin d'aider le Secrtariat du Conseil du Trsor valuer la scurit l'chelle du gouvernement, les ministres doivent
prsenter leur auto-valuation de la scurit des TI quand le dirigeant principal de l'information en fait la demande.