Directive du commissaire

OBJECTIFS DE LA POLITIQUE

1. Assurer la protection des systèmes et services de technologie de l’information (TI) et des renseignements électroniques qu’utilisent le Service correctionnel du Canada (SCC), la Commission des libérations conditionnelles du Canada (CLCC) et le Bureau de l’enquêteur correctionnel (BEC), ci-après appelés les organismes desservis.
   
   
2. Fournir un cadre pour la gestion des risques liés à la TI et pour la mise en œuvre et le maintien du programme de sécurité de la TI du SCC.

INSTRUMENTS HABILITANTS

3. Cadre stratégique de gestion du risque du Secrétariat du Conseil du Trésor
   
   Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor
   
   Norme opérationnelle de sécurité du Secrétariat du Conseil du Trésor : Gestion de la sécurité des technologies de l'information

Champ d’APPLICATION

4. La présente directive du commissaire s’applique à toutes les personnes autorisées à utiliser les systèmes et services de TI ou les renseignements électroniques du SCC.

RESPONSABILITÉS

5. En qualité d’administrateur général, le commissaire est responsable de la mise en œuvre, la surveillance et la gouvernance efficaces du programme de sécurité du ministère, y compris du programme de sécurité de la TI, du SCC.
   
   
6. Les sous-commissaires et les commissaires adjoints désigneront une personne comme gestionnaire de la prestation de programmes ou services, qui sera responsable de chaque système de TI utilisé pour fournir des services dans leur domaine de responsabilité respectif.
   
   
7. Les gestionnaires de la prestation de programmes ou services, qui ont mis en place des systèmes ou services de TI particuliers pour répondre à leurs besoins opérationnels :
   1. consulteront les Services de gestion de l’information dès le début de toute initiative dont la technologie de l’information constitue une composante et, au besoin, obtiendront l’avis du directeur, Sécurité de la TI, pour assurer la conformité avec les politiques et normes du gouvernement du Canada;
      
      
   2. soumettront chaque programme relevant de leur domaine de responsabilité à une analyse de l’incidence sur les activités et s’assureront de remédier à toute lacune liée aux systèmes ou aux services de TI;
      
      
   3. s’assureront que les risques afférents à la sécurité de la TI sont évalués dès le début de tout nouveau projet et que ces risques sont réévalués périodiquement à la lumière des changements apportés aux programmes, aux activités ou aux services;
      
      
   4. atténueront, accepteront ou transféreront tout risque résiduel ayant une incidence sur les systèmes de TI dans leur domaine de responsabilité;
      
      
   5. s’assureront qu’aucune personne ne peut à elle seule contrôler tous les aspects d’un système ou service de TI;
      
      
   6. s’assureront que tous les utilisateurs de renseignements électroniques ont un identificateur unique et sont autorisés à accéder aux systèmes de TI contenant ces renseignements;
      
      
   7. s’assureront qu’un processus est institué pour examiner régulièrement les droits d’accès et révoquer l’accès conformément aux conditions énoncées à la section « Accès par les utilisateurs autorisés » des procédures ci‑dessous;
      
      
   8. s’assureront que les renseignements sensibles traités, stockés ou transmis au moyen des systèmes de TI du SCC sont chiffrés en conformité avec les politiques et normes du Centre de la sécurité des télécommunications du Canada (CSTC) et du SCC lorsqu’une évaluation des menaces et des risques le justifie;
      
      
   9. s’assureront que les données sont compartimentées aux fins d’accès.
8. L’agent de sécurité du Ministère à l’administration centrale du SCC :
   1. assurera l’intégration des programmes et services de la Sécurité de la TI dans le programme de sécurité du Ministère;
      
      
   2. organisera des réunions régulières avec le dirigeant principal de l’information et le directeur, Sécurité de la TI, pour discuter du programme de sécurité du ministère, examiner les menaces et les risques touchant la sécurité de la TI, et s’assurer de la mise en place de stratégies avec échéances pour améliorer la sécurité du SCC;
      
      
   3. s’assurera que tous les dispositifs de cryptographie fournis aux organismes desservis sont mis en œuvre conformément aux politiques et normes du CSTC et du SCC;
      
      
   4. fournira au Secrétariat du Conseil du Trésor des preuves de la mise en œuvre et de l’efficacité du programme de sécurité de la TI du SCC après avoir consulté le directeur, Sécurité de la TI;
      
      
   5. validera et identifiera les risques afférents à la sécurité de la TI suivant les recommandations du directeur, Sécurité de la TI;
      
      
   6. s'assurera qu'une évaluation des menaces et des risques ou une évaluation des installations du SCC (excluant les unités opérationnelles) est effectuée en conformité avec les politiques du Secrétariat du Conseil du Trésor avant le déploiement de tout système de TI;
      
      
   7. enquêtera sur tous les incidents de sécurité et toutes les atteintes à la sécurité comportant la perte ou le vol de biens de TI et consultera le directeur, Sécurité de la TI, sur toute perte de renseignements électroniques.
9. L’agent régional de sécurité du Ministère au SCC :
   1. validera et identifiera les risques afférents à la sécurité de la TI en collaboration avec le gestionnaire régional, Sécurité de la TI;
      
      
   2. s'assurera que les installations du SCC dans sa région sont soumises à une évaluation des menaces et des risques en conformité avec les politiques du Secrétariat du Conseil du Trésor avant le déploiement de tout système de TI;
      
      
   3. enquêtera sur tous les incidents de sécurité et toutes les atteintes à la sécurité comportant la perte ou le vol de biens de TI dans sa région et consultera le gestionnaire régional, Sécurité de la TI, sur toute perte de renseignements électroniques.
10. Le dirigeant principal de l’information du SCC :
    1. sera habilité à autoriser tous les systèmes de TI à fonctionner au SCC;
       
       
    2. sera désigné comme gestionnaire de la prestation de programmes ou services pour les systèmes ou services communs de TI que fournissent les Services de gestion de l’information;
       
       
    3. s’assurera que tous les systèmes et services de TI respectent les politiques et normes publiées par le Secrétariat du Conseil du Trésor ainsi que les politiques, normes et procédures internes du SCC en matière de sécurité de la TI;
       
       
    4. instituera des mesures d’urgence pour protéger les systèmes de TI ou les renseignements électroniques du SCC lorsqu’il y a lieu.
11. Le directeur, Sécurité de la TI :
    1. assumera le rôle de coordonnateur de la sécurité de la TI désigné, tel qu’il est défini dans les politiques du Secrétariat du Conseil du Trésor, et agira comme principale personne-ressource du SCC en matière de sécurité de la TI;
       
       
    2. sera le point de contact désigné pour toutes les communications relatives à la réaction aux incidents mettant en cause la sécurité de la TI;
       
       
    3. fera régulièrement rapport au dirigeant principal de l’information et à l’agent de sécurité du Ministère sur des questions ayant trait à la sécurité de la TI;
       
       
    4. collaborera étroitement avec les gestionnaires de la prestation de programmes ou services et recommandera des mesures de protection pour veiller à ce que leurs besoins en matière de sécurité de la TI soient comblés;
       
       
    5. fournira des directives aux gestionnaires régionaux, Sécurité de la TI, sur des questions ayant trait à la sécurité de la TI;
       
       
    6. gérera le processus de certification et d'accréditation en matière de sécurité de la TI du SCC, comme il est indiqué à la section « Procédures » ci-dessous;
       
       
    7. établira et surveillera un processus de gestion des incidents de sécurité de la TI et vérifiera que des mesures correctives ont été prises pour donner suite à tous les rapports d’incident ou de vulnérabilité;
       
       
    8. surveillera et évaluera tout changement dans l’environnement des menaces, susceptible d’avoir un impact sur les systèmes et services de TI ou les renseignements électroniques du SCC;
       
       
    9. élaborera les programmes prescrits de sensibilisation et de formation en matière de sécurité de la TI et surveillera leur efficacité;
       
       
    10. vérifiera la conformité avec les recommandations formulées dans les évaluations ou les vérifications des systèmes et services de TI ou des renseignements électroniques du SCC;
        
        
    11. effectuera des évaluations des menaces et des risques, des évaluations de la vulnérabilité, des tests de sécurité et des évaluations de produits, et recommandera des mesures correctives pour remédier à toute lacune;
        
        
    12. examinera les évaluations de l’incidence sur les activités, les évaluations des répercussions sur la protection des renseignements personnels, les contrats et les Listes de vérification des exigences relatives à la sécurité, ainsi que les parties concernant la sécurité de la TI dans les demandes de propositions, les contrats et les protocoles d’entente.
12. L’administrateur régional, Services de gestion de l’information :
    1. conseillera les gestionnaires régionaux sur les politiques, normes et procédures de sécurité de la TI et sur leurs responsabilités pour assurer la conformité avec ces directives;
       
       
    2. sollicitera les conseils du directeur, Sécurité de la TI, chaque fois qu’une question concernant la sécurité de la TI ne peut pas être réglée à ce niveau;
       
       
    3. instituera des mesures d’urgence pour protéger les systèmes et services de TI ou les renseignements électroniques du SCC dans la région lorsqu’il y a lieu, et informera le directeur, Sécurité de la TI, des mesures prises..
13. Le gestionnaire régional, Sécurité de la TI :
    1. maintiendra des liens hiérarchiques fonctionnels avec le directeur, Sécurité de la TI, et assurera la liaison avec la Division de sécurité de la TI à l’administration centrale;
       
       
    2. conseillera l’administrateur régional, Services de gestion de l’information, sur toutes les questions et tous les incidents concernant la sécurité de la TI;
       
       
    3. effectuera des évaluations des menaces et des risques, des évaluations de la vulnérabilité, des tests de sécurité et des évaluations de produits au niveau régional, puis recommandera des mesures correctives pour remédier à toute lacune;
       
       
    4. examinera les évaluations de l’incidence sur les activités, les évaluations des répercussions sur la protection des renseignements personnels, les contrats et les Listes de vérification des exigences relatives à la sécurité, ainsi que les parties concernant la sécurité de la TI dans les demandes de propositions, les contrats et les protocoles d’entente au niveau régional;
       
       
    5. procédera à la prestation des programmes prescrits de sensibilisation et de formation en matière de sécurité de la TI;
       
       
    6. fournira des conseils et de l’information au personnel régional sur divers sujets concernant la sécurité de la TI.

PROCÉDURES

Accès par les utilisateurs autorisés

14. L’accès aux systèmes et services de TI ou aux renseignements électroniques sera accordé uniquement aux personnes qui possèdent le niveau de contrôle de la sécurité requis pour le poste.
    
    
15. Seuls les utilisateurs autorisés auront accès aux systèmes et services de TI ou aux renseignements électroniques du SCC.
    
    
16. L’accès des utilisateurs sera autorisé en fonction des besoins opérationnels et des considérations de sécurité. Toutes les autorisations seront également accordées selon le principe du « besoin de savoir » et seront limitées à l’« accès minimum » dont la personne a besoin pour s’acquitter de ses fonctions.
    
    
17. Tous les utilisateurs autorisés posséderont un identificateur unique dans le système de manière à permettre le contrôle et la surveillance de l’accès aux renseignements sensibles.
    
    
18. Les utilisateurs autorisés :
    1. conserveront le niveau de contrôle de la sécurité requis pour le poste;
       
       
    2. liront, comprendront et signeront l’entente concernant l’utilisation des ressources électroniques du SCC (DC 226 – Utilisation des ressources électroniques);
       
       
    3. utiliseront les mécanismes d’authentification, comme les mots de passe, les clés ou les jetons, pour accéder aux systèmes et services de TI ou aux renseignements électroniques du SCC et protégeront ces mécanismes d’authentification contre toute compromission.
19. Les droits d’accès seront révoqués si :
    1. le besoin opérationnel n’existe plus;
       
       
    2. l’utilisateur n’a pas respecté les conditions précitées;
       
       
    3. l’utilisateur a quitté l’organisation; ou
       
       
    4. la Division de la sécurité du Ministère entre en possession de renseignements défavorables quelconques concernant l'utilisateur autorisé.

Accès par les délinquants

20. Les délinquants n’auront pas accès aux systèmes et services de TI ni aux renseignements électroniques du SCC, sauf autorisation dans le cadre d’un programme particulier du SCC. Tous ces programmes seront examinés et approuvés par le directeur, Sécurité de la TI.
    
    
21. L’accès aux systèmes et services de TI ou aux renseignements électroniques du SCC sera accordé aux délinquants uniquement après que la Sécurité de la TI aura effectué une évaluation et que toutes ses recommandations auront été mises en œuvre par l’unité opérationnelle ou par le gestionnaire de la prestation de programmes ou services.
    
    
22. Les délinquants se verront refuser l’accès aux systèmes et services de TI du SCC qui sont :
    1. capables d’extraire des renseignements personnels sur des membres du public, des fonctionnaires du gouvernement ou d’autres délinquants;
       
       
    2. capables de communiquer avec un autre dispositif informatique à l’intérieur ou à l’extérieur de l’établissement (sauf des imprimantes ou réseaux approuvés); ou
       
       
    3. nécessaires pour appuyer l’infrastructure de TI de toute installation des organismes desservis.
23. Les dispositifs auxquels les délinquants ont accès, comme les ordinateurs, les consoles de jeux ou d’autres dispositifs électroniques, sont autorisés uniquement s’ils respectent les conditions prescrites dans la présente directive, et :
    1. uniquement s’ils sont autorisés en vertu d’une politique du SCC, dans le cadre d’un programme d’éducation ou d’un programme de travail ou à des fins de recherche juridique;
       
       
    2. après que la Sécurité de la TI a effectué une évaluation et que toutes ses recommandations ont été mises en œuvre par l’établissement ou par le gestionnaire de la prestation de programmes ou services.

Séparation des tâches

25. Aucune personne n’exécutera à elle seule tous les aspects d’un processus essentiel de TI. Par exemple, la personne qui approuve une mesure, la personne qui exécute cette mesure et la personne qui surveille l’exécution de cette mesure doivent être des personnes différentes.

Classification de sécurité des renseignements

25. La classification ou désignation de sécurité des renseignements électroniques des organismes desservis sera attribuée par le « propriétaire » ou l’expéditeur de ces renseignements et doit être établie en conformité avec le Guide de sécurité de l'information du SCC et les Exigences relatives à la sécurité des renseignements.

Passation de contrats

26. Lors de l'élaboration de contrats qui prévoient la connectivité aux systèmes de TI du SCC ou le traitement de renseignements du SCC, il faut solliciter l'approbation du directeur, Sécurité de la TI, avant de signer le contrat. Toutes les préoccupations concernant la sécurité doivent être abordées dans le contrat.
    
    
27. La Liste de vérification des exigences relatives à la sécurité (TBS/SCT 350-103) doit être remplie par le gestionnaire de la prestation de programmes ou services qui attribue le contrat, et doit être approuvée par le directeur, Sécurité de la TI, à l’administration centrale, ou par le gestionnaire régional, Sécurité de la TI, dans les régions

Communication de renseignements

28. Les gestionnaires de la prestation de programmes ou services consulteront le directeur, Sécurité de la TI, au sujet des répercussions de la communication de renseignements électroniques à des tiers extérieurs aux organismes desservis. Une évaluation sera effectuée et toutes les mesures de protection seront mises en œuvre avant la communication de renseignements électroniques.
    
    
29. Tous les protocoles d’entente ou accords semblables visant la communication de renseignements à d’autres ministères ou à des organismes privés comprendront des clauses prescrivant la mise en place de mesures de protection pour la transmission, le stockage, le traitement, la manutention et l’élimination des données en conformité avec les politiques et normes publiées par le Secrétariat du Conseil du Trésor.
    
    
30. Toutes les personnes qui visualisent ou traitent les renseignements électroniques des organismes desservis posséderont le niveau de contrôle de la sécurité approprié, et les installations où ces renseignements seront traités ou stockés auront obtenu le niveau d’accréditation requis, comme il est indiqué dans la Liste de vérification des exigences relatives à la sécurité (TBS/SCT 350-103).

Certification et accréditation

31. Le directeur, Sécurité de la TI, établira et gérera le processus de certification et d'accréditation en matière de sécurité de la TI du SCC. Les gestionnaires de la prestation de programmes ou services sont responsables de veiller à ce que les exigences du processus soient respectées.
    
    
32. Tous les nouveaux systèmes et services de TI doivent être certifiés par le directeur, Sécurité de la TI, et accrédités par le dirigeant principal de l’information avant leur mise en utilisation.
    
    
33. Les systèmes et services de TI recevront une autorisation provisoire de fonctionnement ou l’accréditation complète, selon la recommandation du directeur, Sécurité de la TI.
    
    
34. Les gestionnaires des systèmes et services de TI qui n’ont pas été certifiés ou accrédités, mais sont déjà utilisés pour appuyer les besoins opérationnels des organismes desservis présenteront au directeur, Sécurité de la TI, un plan pour compléter les tâches de certification. Le dirigeant principal de l’information peut refuser la prestation des services pour tout système qui ne satisfait pas à toutes les exigences de sécurité dans les délais prescrits.
    
    
35. Tous les changements apportés aux composantes existantes des systèmes ou services de TI du SCC seront assujettis à un processus officiel d’examen et d’approbation.

Planification de la continuité des opérations

36. Le Plan de continuité des opérations de la Direction des services de gestion de l’information sera utilisé dans toute situation que le commissaire déclare constituer un sinistre. Cela assurera la reprise rapide des systèmes de TI essentiels à la mission des organismes desservis à l’emplacement désigné de la reprise après sinistre.
    
    
37. Les Services de gestion de l’information élaboreront des plans de reprise après sinistre pour tous les systèmes et services de TI essentiels à la mission. Ces plans identifieront clairement les systèmes, toute dépendance à d’autres composantes de l’infrastructure de TI du SCC, les processus de reprise et le personnel requis pour effectuer la reprise de ces systèmes.
    
    
38. Les Services de gestion de l’information élaboreront des plans de continuité des opérations de TI pour tous les systèmes et services de TI non essentiels à la mission, lesquels identifieront clairement les rôles et responsabilités ainsi que les dépendances et les processus de reprise.
    
    
39. Tous les plans de reprise après sinistre et plans de continuité des opérations de TI seront examinés et approuvés par le coordonnateur de la reprise après sinistre à la Sécurité de la TI, administration centrale, et par le gestionnaire régional, Sécurité de la TI, au niveau régional.
    
    
40. Tous les plans de reprise après sinistre et plans de continuité des opérations de TI seront testés régulièrement et mis à jour continuellement par les Services de gestion de l’information.

Surveillance

41. Les systèmes et services de TI ou les renseignements électroniques du SCC feront l’objet d’une surveillance appropriée afin :
    1. de satisfaire aux exigences de sécurité, telles qu’indiquées dans les évaluations ou les vérifications;
       
       
    2. d’assurer la conformité avec la DC 226 – Utilisation des ressources électroniques; ou
       
       
    3. de veiller à ce que les systèmes fonctionnent selon leurs paramètres normaux.
42. Toutes les activités de surveillance seront conçues de manière à déceler et à prévenir toute utilisation malveillante des systèmes et services de TI ou des renseignements électroniques du SCC ou à remédier aux défaillances des systèmes

Enquêtes de sécurité

43. Le directeur, Sécurité de la TI, ou le gestionnaire régional, Sécurité de la TI, au niveau régional fera enquête sur toute atteinte à la sécurité de la TI et tout incident, réel ou soupçonné, ayant un impact sur les systèmes et services de TI ou les renseignements électroniques du SCC. Les agents national et régionaux de la sécurité du Ministère en seront informés.
    
    
44. Tous les rapports d’incident visant la sécurité de la TI seront analysés continuellement pour déceler les tendances et proposer des mesures correctives.
    
    
45. Le directeur, Sécurité de la TI, présentera périodiquement des résumés des incidents visant la sécurité de la TI au dirigeant principal de l’information et à l’agent de sécurité du Ministère à l’administration centrale.
    
    
46. Un rapport sera rédigé concernant chaque incident de sécurité et communiqué aux intervenants appropriés en fonction de leur besoin de savoir.

Vérifications

47. Des vérifications des systèmes et services de TI ou des renseignements électroniques du SCC seront effectuées régulièrement par la Direction de la vérification interne du SCC ou par un organisme de vérification approuvé de l’extérieur
    
    
48. Les résultats des vérifications seront communiqués à tous les gestionnaires de la prestation de programmes ou services visés par la vérification, et des plans d’action seront élaborés pour remédier aux lacunes constatées.

DEMANDES DE RENSEIGNEMENTS

49. Division de la politique stratégique
    Administration centrale
    Courriel : Gen-NHQPolicy-Politi@CSC-SCC.GC.CA

Le Commissaire,

Original signé par
Don Head

ANNEXE A RENVOIS ET DÉFINITIONS

RENVOIS

DC 226 – Utilisation des ressources électroniques

Directive sur l’authentification et l’autorisation électroniques des opérations financières – Secrétariat du Conseil du Trésor

DÉFINITIONS

Renseignements défavorables : renseignements négatifs ou défavorables au sujet d'une personne, qui soulèvent des doutes et des préoccupations quant à sa capacité de détenir une cote de fiabilité et/ou une cote de sécurité, p. ex. une conduite criminelle, l'abus d'intoxicants ou des renseignements défavorables concernant sa stabilité financière ou sa loyauté envers le Canada.

Évaluation: évaluation à laquelle sont soumis tous les nouveaux systèmes de TI et tous les changements apportés aux systèmes existants. Selon l'ampleur du changement apporté ou de la mise en œuvre des nouveaux systèmes, l'évaluation peut comprendre une évaluation des risques et des menaces, une évaluation des répercussions ou une évaluation de la vulnérabilité.

Système de technologie de l’information (TI) : un ensemble de ressources et d’éléments de configuration (p. ex. matériel informatique, logiciels et documentation) qui fonctionne comme un tout.

Services de technologie de l’information (TI) : capacité qui est assurée par un fournisseur de service de TI et qui appuie directement ou indirectement des fonctions ou processus opérationnels.

Processus de certification et d’accréditation : processus officiel conçu pour s’assurer que toutes les composantes de l’infrastructure de TI du SCC ont fait l’objet d’un examen minutieux en fonction des considérations de sécurité et que toute lacune constatée a été corrigée. Le processus de certification et d’accréditation exige de recueillir des données probantes liées à la certification, par exemple les résultats des évaluations des menaces et des risques applicables, des évaluations de l’incidence sur les activités, des évaluations des répercussions sur la protection des renseignements personnels, des évaluations de la vulnérabilité, des tests de sécurité et des évaluations de produits, des auto-évaluations, des vérifications et des examens de la sécurité. Les systèmes sont accrédités lorsque les données probantes montrent que toutes les mesures de protection ont été mises en œuvre.

Organismes desservis : les organismes qui reçoivent des services de la Direction des services de gestion de l’information, c’est-à-dire le Service correctionnel du Canada, la Commission des libérations conditionnelles du Canada et le Bureau de l’enquêteur correctionnel.

Évaluation des menaces et des risques: processus officiel qui aide à déterminer les exigences en matière de sécurité et aboutit à la recommandation de stratégies pour réduire les risques.

Toutes les autres définitions applicables de la technologie de l’information et des termes de sécurité utilisés dans le présent document se trouvent à l’annexe A de la Politique sur la sécurité du gouvernement (2009).