Directive du commissaire

Sécurité en matière de technologie de l'information

RESPONSABILITÉS

1. En qualité d'administrateur général, le commissaire est responsable de la mise en œuvre, de la surveillance et de la gouvernance efficaces du programme de sécurité du ministère, y compris du programme de sécurité de la technologie de l'information (TI), du SCC.
2. Les sous-commissaires et les commissaires adjoints désigneront une personne comme gestionnaire de la prestation de programmes ou services, qui sera responsable de chaque système de TI utilisé pour fournir des services dans leur domaine de responsabilité respectif.
3. Les gestionnaires de la prestation de programmes ou services, qui ont mis en place des systèmes ou services de TI particuliers pour répondre à leurs besoins opérationnels :
   1. consulteront les Services de gestion de l'information dès le début de toute initiative dont la technologie de l'information constitue une composante et, au besoin, obtiendront l'avis du coordonnateur de la sécurité de la TI afin d'assurer la conformité avec les politiques et normes du gouvernement du Canada
   2. soumettront chaque programme relevant de leur domaine de responsabilité à une analyse de l'incidence sur les activités et s'assureront de remédier à toute lacune liée aux systèmes ou aux services de TI
   3. s'assureront que les risques afférents à la sécurité de la TI sont évalués dès le début de tout nouveau projet et que ces risques sont réévalués périodiquement à la lumière des changements apportés aux programmes, aux activités ou aux services
   4. atténueront, accepteront ou transféreront tout risque résiduel ayant une incidence sur les systèmes de TI dans leur domaine de responsabilité
   5. s'assureront qu'aucune personne ne peut à elle seule contrôler tous les aspects d'un système ou service de TI
   6. s'assureront que tous les utilisateurs de renseignements électroniques ont un identificateur unique et sont autorisés à accéder aux systèmes de TI contenant ces renseignements
   7. s'assureront qu'un processus est institué pour examiner régulièrement les droits d'accès et révoquer l'accès conformément aux conditions énoncées à la section « Accès par les utilisateurs autorisés » des procédures ci-dessous
   8. s'assureront que les renseignements sensibles traités, stockés ou transmis au moyen des systèmes de TI du SCC sont chiffrés en conformité avec les politiques et normes du Centre de la sécurité des télécommunications du Canada (CSTC) et du SCC lorsqu'une Évaluation de la menace et des risques le justifie
   9. s'assureront que les données sont compartimentées aux fins d'accès
   10. s'assureront que les vulnérabilités sont traitées promptement selon les conseils fournis par le coordonnateur de la sécurité de la TI.
4. L'agent de sécurité du Ministère à l'administration centrale du SCC :
   1. assurera l'intégration des programmes et services de la sécurité de la TI dans le programme de sécurité du Ministère
   2. organisera des réunions régulières avec le dirigeant principal de l'information et le coordonnateur de la sécurité de la TI pour discuter du programme de sécurité du ministère, examiner les menaces et les risques touchant la sécurité de la TI et s'assurer de la mise en place de stratégies avec échéances pour améliorer la sécurité du SCC
   3. s'assurera que tous les dispositifs de cryptographie fournis aux organismes desservis sont mis en œuvre conformément aux politiques et normes du CSTC et du SCC
   4. fournira au Secrétariat du Conseil du Trésor du Canada des preuves de la mise en œuvre et de l'efficacité du programme de sécurité de la TI du SCC après avoir consulté le coordonnateur de la sécurité de la TI
   5. validera et identifiera les risques afférents à la sécurité de la TI suivant les recommandations du coordonnateur de la sécurité de la TI
   6. s'assurera qu'une Évaluation de la menace et des risques ou une évaluation des installations du SCC (excluant les unités opérationnelles) est effectuée en conformité avec les politiques du Conseil du Trésor avant le déploiement de tout système de TI
   7. enquêtera sur tous les incidents de sécurité et toutes les atteintes à la sécurité comportant la perte ou le vol de biens de TI et consultera le coordonnateur de la sécurité de la TI sur toute perte de renseignements électroniques.
5. Les membres du personnel responsables des activités de sécurité ministérielle au niveau régional :
   1. valideront et identifieront les risques afférents à la sécurité de la TI en collaboration avec le gestionnaire régional, Sécurité de la TI
   2. s'assureront que les installations du SCC dans leur région sont soumises à une Évaluation de la menace et des risques en conformité avec les politiques du Conseil du Trésor avant le déploiement de tout système de TI
   3. enquêteront sur tous les incidents de sécurité et toutes les atteintes à la sécurité comportant la perte ou le vol de biens de TI dans leur région et consulteront le gestionnaire régional, Sécurité de la TI, sur toute perte de renseignements électroniques.
6. Le dirigeant principal de l'information du SCC :
   1. est le décisionnaire en ce qui concerne le fonctionnement de tous les systèmes de TI du SCC
   2. sera désigné comme gestionnaire de la prestation de programmes ou services pour les systèmes ou services communs de TI que fournissent les Services de gestion de l'information
   3. s'assurera que tous les systèmes et services de TI respectent les politiques et normes publiées par le Secrétariat du Conseil du Trésor du Canada ainsi que les politiques, normes et procédures internes du SCC en matière de sécurité de la TI
   4. instituera des mesures d'urgence pour protéger les systèmes de TI ou les renseignements électroniques du SCC lorsqu'il y a lieu.
7. Le gestionnaire, Sécurité de la TI :
   1. assumera le rôle de coordonnateur de la sécurité de la TI désigné, tel qu'il est défini dans les politiques du Conseil du Trésor, et agira comme principale personne-ressource du SCC en matière de sécurité de la TI
   2. sera le point de contact désigné pour toutes les communications relatives à la réaction aux incidents mettant en cause la sécurité de la TI
   3. fera régulièrement rapport au dirigeant principal de l'information et à l'agent de sécurité du Ministère sur des questions ayant trait à la sécurité de la TI
   4. collaborera étroitement avec les gestionnaires de la prestation de programmes ou services et recommandera des mesures de protection pour veiller à ce que leurs besoins en matière de sécurité de la TI soient comblés
   5. fournira des directives aux gestionnaires régionaux, Sécurité de la TI, sur des questions ayant trait à la sécurité de la TI
   6. gérera le processus d'évaluation et d'autorisation de sécurité et le processus de certification et d'accréditation en matière de sécurité de la TI du SCC, comme il est indiqué à la section « Procédures » ci-dessous
   7. établira et surveillera un processus de gestion des incidents de sécurité de la TI et vérifiera que des mesures correctives ont été prises pour donner suite à tous les rapports d'incident ou de vulnérabilité
   8. surveillera et évaluera tout changement dans l'environnement des menaces, susceptible d'avoir un impact sur les systèmes et services de TI ou les renseignements électroniques du SCC
   9. élaborera les programmes prescrits de sensibilisation et de formation en matière de sécurité de la TI et surveillera leur efficacité
   10. vérifiera la conformité avec les recommandations formulées dans les évaluations ou les audits des systèmes et services de TI ou des renseignements électroniques du SCC
   11. effectuera des Évaluations de la menace et des risques, des évaluations de la vulnérabilité, des tests de sécurité et des évaluations de produits, et recommandera des mesures correctives pour remédier à toute lacune
   12. examinera les évaluations de l'incidence sur les activités, les évaluations des répercussions sur la protection des renseignements personnels, les contrats et les Listes de vérification des exigences relatives à la sécurité, ainsi que les parties concernant la sécurité de la TI dans les demandes de propositions, les contrats et les protocoles d'entente.
8. L'administrateur régional, Services de gestion de l'information :
   1. conseillera les gestionnaires régionaux sur les politiques, normes et procédures de sécurité de la TI et sur leurs responsabilités pour assurer la conformité avec ces directives
   2. sollicitera les conseils du coordonnateur de la sécurité de la TI chaque fois qu'une question concernant la sécurité de la TI ne peut pas être réglée à ce niveau
   3. instituera des mesures d'urgence pour protéger les systèmes et services de TI ou les renseignements électroniques du SCC dans la région lorsqu'il y a lieu, et informera le coordonnateur de la sécurité de la TI des mesures prises.
9. Le gestionnaire régional, Sécurité de la TI :
   1. maintiendra des liens hiérarchiques avec le coordonnateur de la sécurité de la TI, suivra l'orientation fonctionnelle fournie par ce dernier et assurera la liaison avec la Division de sécurité de la TI à l'administration centrale
   2. conseillera l'administrateur régional, Services de gestion de l'information, et le coordonnateur de la sécurité de la TI sur toutes les questions et tous les incidents concernant la sécurité de la TI
   3. effectuera des Évaluations de la menace et des risques, des évaluations de la vulnérabilité, des tests de sécurité et des évaluations de produits au niveau régional, puis recommandera des mesures correctives pour remédier à toute lacune
   4. examinera les évaluations de l'incidence sur les activités, les évaluations des répercussions sur la protection des renseignements personnels, les contrats et les Listes de vérification des exigences relatives à la sécurité, ainsi que les parties concernant la sécurité de la TI dans les demandes de propositions, les contrats et les protocoles d'entente au niveau régional
   5. procédera à la prestation des programmes prescrits de sensibilisation et de formation en matière de sécurité de la TI
   6. fournira des conseils et de l'information au personnel régional sur divers sujets concernant la sécurité de la TI.

PROCÉDURES

Accès par les utilisateurs autorisés

10. L'accès aux systèmes et services de TI ou aux renseignements électroniques sera accordé uniquement aux personnes qui possèdent le niveau de contrôle de la sécurité requis pour le poste.
11. Seuls les utilisateurs autorisés auront accès aux systèmes et services de TI ou aux renseignements électroniques du SCC.
12. L'accès des utilisateurs sera autorisé en fonction des besoins opérationnels et des considérations de sécurité. Toutes les autorisations seront également accordées en fonction du besoin de savoir et seront limitées à l'accès minimum requis pour que la personne puisse s'acquitter de ses fonctions.
13. Tous les utilisateurs autorisés posséderont un identificateur unique dans le système de manière à permettre le contrôle et la surveillance de l'accès aux renseignements sensibles.
14. Les utilisateurs autorisés :
    1. conserveront le niveau de contrôle de la sécurité requis pour le poste
    2. liront, comprendront et signeront l'entente concernant l'utilisation des ressources électroniques du SCC (DC 226 - Utilisation des ressources électroniques)
    3. utiliseront les mécanismes d'authentification, comme les mots de passe, les clés ou les jetons, pour accéder aux systèmes et services de TI ou aux renseignements électroniques du SCC et protégeront ces mécanismes d'authentification contre toute compromission.
15. Les droits d'accès seront révoqués si :
    1. le besoin opérationnel n'existe plus
    2. l'utilisateur n'a pas respecté les conditions précitées
    3. l'utilisateur a quitté l'organisation, ou
    4. la Division de la sécurité du Ministère entre en possession de renseignements défavorables quelconques concernant l'utilisateur autorisé.

Accès par les délinquants

16. Les délinquants n'auront pas accès aux systèmes et services de TI ni aux renseignements électroniques du SCC, sauf autorisation dans le cadre d'un programme particulier du SCC. Tous ces programmes seront examinés et approuvés par le coordonnateur de la sécurité de la TI.
17. L'accès aux systèmes et services de TI ou aux renseignements électroniques du SCC sera accordé aux délinquants uniquement après que la Sécurité de la TI aura effectué une évaluation et que toutes ses recommandations auront été mises en œuvre par l'unité opérationnelle ou par le gestionnaire de la prestation de programmes ou services.
18. Les délinquants se verront refuser l'accès aux systèmes et services de TI du SCC qui sont :
    1. capables d'extraire des renseignements personnels sur des membres du public, des fonctionnaires du gouvernement ou d'autres délinquants
    2. capables de communiquer avec un autre dispositif informatique à l'intérieur ou à l'extérieur de l'établissement (sauf des imprimantes ou réseaux approuvés), ou
    3. nécessaires pour appuyer l'infrastructure de TI de toute installation des organismes desservis.
19. Les dispositifs auxquels les délinquants ont accès, comme les ordinateurs, les consoles de jeux ou d'autres dispositifs électroniques, sont autorisés uniquement s'ils respectent les conditions prescrites dans la présente directive et :
    1. uniquement s'ils sont autorisés en vertu d'une politique du SCC, dans le cadre d'un programme d'éducation ou d'un programme de travail ou à des fins de recherche juridique, et
    2. après que la Sécurité de la TI a effectué une évaluation et que toutes ses recommandations ont été mises en œuvre par l'établissement ou par le gestionnaire de la prestation de programmes ou services.

Séparation des tâches

20. Aucune personne n'exécutera à elle seule tous les aspects d'un processus essentiel de TI. Par exemple, la personne qui approuve une mesure, la personne qui exécute cette mesure et la personne qui surveille l'exécution de cette mesure doivent être des personnes différentes.

Classification de sécurité des renseignements

21. La classification ou désignation de sécurité des renseignements électroniques des organismes desservis sera attribuée par le propriétaire ou l'expéditeur de ces renseignements et doit être établie en conformité avec le Guide de sécurité de l'information du SCC et les Exigences relatives à la sécurité des renseignements.

Passation de contrats

22. Lors de l'élaboration de contrats qui prévoient la connectivité aux systèmes de TI du SCC ou le traitement de renseignements du SCC, il faut solliciter l'approbation du coordonnateur de la sécurité de la TI avant de signer le contrat. Toutes les préoccupations concernant la sécurité doivent être abordées dans le contrat.
23. La Liste de vérification des exigences relatives à la sécurité (TBS/SCT 350-103) doit être remplie par le gestionnaire de la prestation de programmes ou services qui attribue le contrat, et doit être approuvée par le coordonnateur de la sécurité de la TI, à l'administration centrale, ou par le gestionnaire régional, Sécurité de la TI, dans les régions.

Communication de renseignements

24. Les gestionnaires de la prestation de programmes ou services consulteront le coordonnateur de la sécurité de la TI au sujet des répercussions de la communication de renseignements électroniques à des tiers extérieurs aux organismes desservis. Une évaluation sera effectuée et toutes les mesures de protection seront mises en œuvre avant la communication de renseignements électroniques.
25. Tous les protocoles d'entente ou accords semblables visant la communication de renseignements à d'autres ministères ou à des organismes privés comprendront des clauses prescrivant la mise en place de mesures de protection pour la transmission, le stockage, le traitement, la manutention et l'élimination des données en conformité avec les politiques et normes publiées par le Secrétariat du Conseil du Trésor du Canada.
26. Toutes les personnes qui visualisent ou traitent les renseignements électroniques des organismes desservis posséderont le niveau de contrôle de la sécurité approprié, et les installations où ces renseignements seront traités ou stockés auront obtenu le niveau d'accréditation requis, comme il est indiqué dans la Liste de vérification des exigences relatives à la sécurité (TBS/SCT 350-103).

Évaluation et autorisation de sécurité

27. Le coordonnateur de la sécurité de la TI établira et gérera le processus d'évaluation et d'autorisation de sécurité et le processus de certification et d'accréditation en matière de sécurité de la TI du SCC. Les gestionnaires de la prestation de programmes ou services sont responsables de veiller à ce que les exigences du processus soient respectées.
28. Tous les nouveaux systèmes et services de TI doivent être certifiés ou évalués par le coordonnateur de la sécurité de la TI et accrédités ou autorisés par le dirigeant principal de l'information avant leur mise en utilisation.
29. Les systèmes et services de TI recevront une autorisation provisoire de fonctionnement ou l'accréditation ou l'autorisation complète, selon la recommandation du coordonnateur de la sécurité de la TI.
30. Les gestionnaires des systèmes et services de TI qui n'ont pas été certifiés ou accrédités, mais sont déjà utilisés pour appuyer les besoins opérationnels des organismes desservis présenteront au coordonnateur de la sécurité de la TI un plan pour exécuter les tâches de certification. Le dirigeant principal de l'information peut refuser la prestation des services pour tout système qui ne satisfait pas à toutes les exigences de sécurité dans les délais prescrits.
31. Tous les changements apportés aux composantes existantes des systèmes ou services de TI du SCC seront assujettis à un processus officiel d'examen et d'approbation.

Planification de la continuité des opérations

32. Le Plan de continuité des opérations de la Direction des services de gestion de l'information sera utilisé dans toute situation que le commissaire déclare constituer un sinistre. Cela assurera la reprise rapide des systèmes de TI essentiels à la mission des organismes desservis à l'emplacement désigné de la reprise après sinistre.
33. Les Services de gestion de l'information élaboreront des plans de reprise après sinistre pour tous les systèmes et services de TI essentiels à la mission. Ces plans identifieront clairement les systèmes, toute dépendance à d'autres composantes de l'infrastructure de TI du SCC, les processus de reprise et le personnel requis pour effectuer la reprise de ces systèmes.
34. Les Services de gestion de l'information élaboreront des plans de continuité des opérations de TI pour tous les systèmes et services de TI non essentiels à la mission, sauf si une entente contraire a été conclue. Les plans de continuité des opérations de TI identifieront clairement les rôles et responsabilités ainsi que les dépendances et les processus de reprise.
35. Tous les plans de reprise après sinistre et plans de continuité des opérations de TI seront examinés et approuvés par le coordonnateur de la reprise après sinistre à la Sécurité de la TI, administration centrale, et par le gestionnaire régional, Sécurité de la TI, au niveau régional.
36. Tous les plans de reprise après sinistre et plans de continuité des opérations de TI seront testés régulièrement et mis à jour continuellement par les Services de gestion de l'information.

Surveillance

37. Les systèmes et services de TI ou les renseignements électroniques du SCC feront l'objet d'une surveillance appropriée afin :
    1. de satisfaire aux exigences de sécurité, telles qu'indiquées dans les évaluations ou les audits
    2. d'assurer la conformité avec la DC 226 - Utilisation des ressources électroniques, ou
    3. de veiller à ce que les systèmes fonctionnent selon leurs paramètres normaux.
38. Toutes les activités de surveillance seront conçues de manière à déceler et à prévenir toute utilisation malveillante des systèmes et services de TI ou des renseignements électroniques du SCC ou à remédier aux défaillances des systèmes.

Enquêtes de sécurité

39. Le coordonnateur de la sécurité de la TI ou le gestionnaire régional, Sécurité de la TI, au niveau régional fera enquête sur toute atteinte à la sécurité de la TI et tout incident, réel ou soupçonné, ayant un impact sur les systèmes et services de TI ou les renseignements électroniques du SCC. L'agent national de sécurité du Ministère et les membres du personnel responsables des activités de sécurité ministérielle au niveau régional en seront informés.
40. Tous les rapports d'incident visant la sécurité de la TI seront analysés continuellement pour déceler les tendances et proposer des mesures correctives.
41. Le coordonnateur de la sécurité de la TI présentera périodiquement des résumés des incidents visant la sécurité de la TI au dirigeant principal de l'information et à l'agent de sécurité du Ministère à l'administration centrale.
42. Un rapport sera rédigé concernant chaque incident de sécurité et communiqué aux intervenants appropriés en fonction de leur besoin de savoir.

Audits

43. Des audits des systèmes et services de TI ou des renseignements électroniques du SCC seront effectués régulièrement par la Direction de la vérification interne du SCC ou par un organisme d'audit de l'extérieur approuvé.
44. Les résultats des audits seront communiqués à tous les gestionnaires de la prestation de programmes ou services visés par l'audit, et des plans d'action seront élaborés pour remédier aux lacunes constatées.

Le Commissaire,

Original signé par :
Don Head

ANNEXE A

RENVOIS ET DÉFINITIONS

RENVOIS

• DC 226 - Utilisation des ressources électroniques
• Directive sur l'authentification et l'autorisation électroniques des opérations financières du Conseil du Trésor
• Annexe A de la Politique sur la sécurité du gouvernement du Conseil du Trésor

DÉFINITIONS

Évaluation : analyse à laquelle sont soumis tous les nouveaux systèmes de TI et tous les changements apportés aux systèmes existants. Selon l'ampleur du changement apporté ou de la mise en œuvre des nouveaux systèmes, l'évaluation peut comprendre une Évaluation de la menace et des risques, une évaluation des répercussions ou une évaluation de la vulnérabilité.

Évaluation de la menace et des risques : processus officiel qui aide à déterminer les exigences en matière de sécurité et aboutit à la recommandation de stratégies pour réduire les risques.

Organismes desservis : organismes qui reçoivent des services de la Direction des services de gestion de l'information, c'est-à-dire le Service correctionnel du Canada, la Commission des libérations conditionnelles du Canada et le Bureau de l'enquêteur correctionnel.

Processus de certification et d'accréditation : processus officiel conçu pour s'assurer que toutes les composantes de l'infrastructure de TI du SCC ont fait l'objet d'un examen minutieux en fonction des considérations de sécurité et que toute lacune constatée a été corrigée. Le processus de certification et d'accréditation exige de recueillir des données probantes liées à la certification, par exemple les résultats des Évaluations de la menace et des risques applicables, des évaluations de l'incidence sur les activités, des évaluations des répercussions sur la protection des renseignements personnels, des évaluations de la vulnérabilité, des tests de sécurité et des évaluations de produits, des auto-évaluations, des audits et des examens de la sécurité. Les systèmes sont accrédités lorsque les données probantes montrent que toutes les mesures de protection ont été mises en œuvre.

Processus d'évaluation et d'autorisation de sécurité : processus continu d'évaluation du rendement des contrôles de sécurité des TI durant tout le cycle de vie des systèmes d'information afin de s'assurer que les besoins opérationnels en matière de sécurité définis par le ministère sont satisfaits. L'autorisation s'entend d'une décision, fondée sur une évaluation de sécurité et prise par un cadre supérieur, qui autorise à exploiter un système d'information et à accepter explicitement le risque inhérent à son utilisation pour mener un ensemble d'activités opérationnelles.

Renseignements défavorables : renseignements négatifs ou défavorables au sujet d'une personne, qui soulèvent des doutes et des préoccupations quant à sa capacité de détenir une cote de fiabilité et/ou une cote de sécurité, p. ex., une conduite criminelle, l'abus d'intoxicants ou des renseignements défavorables concernant sa stabilité financière ou sa loyauté envers le Canada.

Services de technologie de l'information (TI) : capacité qui est assurée par un fournisseur de service de TI et qui appuie directement ou indirectement des fonctions ou processus opérationnels.

Système de technologie de l'information (TI) : ensemble de ressources et d'éléments de configuration (p. ex., matériel informatique, logiciels et documentation) qui fonctionne comme un tout.