DOAD 6003-1, Programme de sécurité des technologies de l’information

Table des matières

  1. Introduction
  2. Définitions
  3. Aperçu
  4. Responsabilités
  5. Références

1. Introduction

Date de publication : 2012-04-18

Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces canadiennes (FC), ci-après nommés « militaires ».

Autorité approbatrice : Sous-ministre adjoint (Gestion de l’information) (SMA[GI])

Demandes de renseignements : Directeur – Sécurité (Gestion de l’information) (Dir Sécur GI)

2. Définitions

autorité de sécurité (security authority)
A le même sens que dans la DOAD 6002-0, Technologies de l’information.
personnel opérationnel des technologies de l’information (information technology operational personnel)
Les employés du MDN et les militaires travaillant à titre d’administrateurs ou de gestionnaires de réseau ou de système, de gestionnaires de compte ou comme membre du personnel du centre d’assistance ou fournissant un autre appui aux technologies de l’information.
praticien de la sécurité des technologies de l’information (information security practitioner)
Une personne qui exerce une fonction d’ingénierie, de mise en œuvre, de maintenance ou toute autre fonction relative à la sécurité des technologies de l’information en vue de protéger la confidentialité, l’intégrité et la disponibilité des systèmes, des biens et des réseaux d’information.
sécurité des technologies de l’information (information technology security)
A le même sens que dans la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du Conseil du Trésor.
technologies de l’information (information technology)
A le même sens que dans la Directive sur la gestion des technologies de l’information du Conseil du Trésor.

3. Aperçu

Contexte

3.1 La sécurité des technologies de l’information (TI) est un outil clé pour réaliser la saine gestion de l’information à l’appui des programmes, des priorités organisationnelles et des opérations. Assurer la confidentialité, l’intégrité et la disponibilité de l’information est essentiel au processus décisionnel du gouvernement et à la prestation de services. Une sécurité efficace des TI exige une approche systématique qui cerne et catégorise l’information et les biens connexes, qui évalue les risques et qui permet de mettre en œuvre les mesures de protection appropriées.

3.2 Le Programme de sécurité des TI au sein du MDN et des FC a été créé en vue de gérer la sécurité de l’information ainsi que les biens et les services connexes des TI pour éviter toute compromission. Le Programme de sécurité des TI gère de façon continue les risques à la sécurité pour appuyer la prestation efficace et efficiente de services et de processus de TI et est conforme aux politiques, aux directives et aux normes du gouvernement du Canada (GC).

3.3 Le Programme de sécurité des TI exige que les employés du MDN et les militaires travaillent de concert, en utilisant les processus et les technologies nécessaires, afin d’atteindre un niveau élevé de sécurité des TI au sein du MDN et des FC.

3.4 En tant que coordonnateur de la sécurité des TI, le Dir Sécur GI est l’autorité de sécurité des TI pour le MDN et les FC, et a un rapport hiérarchique fonctionnel à la fois avec le SMA(GI) à titre de dirigeant principal de l’information et avec l’agent de sécurité du ministère, conformément à la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du Conseil du Trésor.

3.5 La présente DOAD fait partie du Cadre stratégique de la GI et de la TI du MDN et des FC et devrait être lue conjointement avec les autres politiques, instructions, directives, normes et conseils pertinents du SMA(GI).

Objectif

3.6 La présente DOAD vise à établir les rôles et les responsabilités des employés du MDN et des militaires en matière de sécurité des TI.

Résultats prévus

3.7 Les résultats prévus de la présente DOAD sont les suivants :

  1. accroître la sensibilisation des employés du MDN et des militaires en matière de sécurité des TI;
  2. démontrer la responsabilité de toutes les capacités de prestation de services en matière de sécurité des TI à l’appui du MDN et des FC, au pays et à l’étranger;
  3. permettre aux gestionnaires de la prestation de programmes et services d’intégrer les exigences en matière de sécurité des TI relativement aux plans, aux programmes, aux activités et aux services;
  4. gérer de façon innovante et améliorée les risques en vue d’appuyer et de permettre les programmes et les services des TI.

4. Responsabilités

Tableau des responsabilités

4.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :

Le ou les… est chargé ou sont chargés de ou d’…

SMA(GI)
  • veiller à mettre en place des mesures appropriées de sécurité des TI à l’égard de tous les biens, les activités et les processus du MDN et des FC en matière de gestion de l’information et de TI.

conseillers de niveau un

  • tenir compte des exigences en matière de sécurité des TI au moment de définir les priorités, les orientations stratégiques, les objectifs des programmes, les allocations budgétaires et la dotation en personnel;
  • s’assurer que les praticiens de la sécurité des TI sont formés conformément aux normes établies par le coordonnateur de la sécurité des TI;
  • maintenir la sécurité des TI dans les projets de TI conformément aux politiques, aux instructions, aux directives et aux normes du GC, du MDN et des FC.

Dir Sécur GI

  • élaborer, d’examiner et de recommander l’approbation des politiques, des instructions, des directives et des normes du MDN et des FC en matière de sécurité des TI et de veiller à ce que les employés du MDN et les militaires les respectent;
  • examiner et de recommander l’approbation des contrats pour les services de sécurité des TI;
  • examiner les sections des demandes de propositions relatives à la sécurité des TI et tout autre document sur la passation de marchés, y compris la Liste de vérification des exigences relatives à la sécurité;
  • collaborer étroitement avec les gestionnaires de la prestation de programmes et de services à l’échelle nationale afin :
    • de veiller à ce que les besoins en matière de sécurité des TI soient satisfaits;
    • de prodiguer des conseils sur les mesures de protection;
    • de conseiller sur les incidences éventuelles des menaces existantes et nouvelles;
    • d’informer sur le risque résiduel lié aux programmes et aux services;
    • de veiller à une conformité continue aux fins de certification et d’accréditation des programmes et des services;
  • collaborer étroitement avec le GC, l’Organisation du Traité de l’Atlantique Nord et les alliés afin de s’assurer que les politiques, les instructions, les directives et les normes du MDN et des FC en matière de sécurité des TI sont compatibles, cohérentes et harmonisées;
  • fournir et de coordonner les programmes de sensibilisation et de formation à la sécurité des TI pour le MDN et les FC;
  • promouvoir la sécurité des TI au sein du MDN et des FC;
  • mettre en œuvre un processus efficace en vue de gérer les incidents en matière de TI.

praticiens de la sécurité des TI
  • veiller au respect du Programme de sécurité des TI dans leur zone de responsabilité;
  • recommander des améliorations aux politiques, aux instructions, aux directives et aux normes du MDN et des FC en matière de sécurité des TI;
  • examiner les sections des demandes de propositions relatives à la sécurité des TI et d’évaluer les risques dans leur zone de responsabilité;
  • collaborer étroitement avec les gestionnaires de la prestation de programmes et de services dans leur zone de responsabilité afin :
    • de veiller à ce que les besoins en matière de sécurité des TI soient satisfaits;
    • de prodiguer des conseils sur les mesures de protection;
    • de conseiller sur les incidences éventuelles des menaces existantes et nouvelles;
    • de conseiller sur le risque résiduel lié aux programme et aux services;
    • de veiller à une conformité continue aux fins de certification et d’accréditation des programmes et des services;
  • promouvoir la sensibilisation à la sécurité des TI dans leur zone de responsabilité;
  • appuyer le rôle du coordonnateur de la sécurité des TI.

personnel opérationnel des TI
  • se conformer aux politiques, aux instructions, aux procédures et aux priorités en matière de sécurité des TI établies par le coordonnateur de la sécurité des TI et de recommander des améliorations;
  • répondre aux incidents en matière de sécurité des TI;
  • mettre à l’essai et d’installer des correctifs de sécurité;
  • maintenir ou de mettre à niveau le matériel et les logiciels de sécurité;
  • surveiller les systèmes et les journaux;
  • gérer la sauvegarde et la récupération de l’information;
  • gérer les privilèges et les droits d’accès.

gestionnaires de projet de TI
  • veiller à ce que les exigences en matière de sécurité des TI du projet soient satisfaites par la mise en œuvre de spécifications techniques en matière de sécurité au cours du cycle de vie du développement du système.

coordonnateurs de la planification de la continuité des activités
  • prendre en compte la sécurité des TI en vue d’appliquer une approche globale de la prestation continue des services.

gestionnaires de la prestation de programmes et services
  • s’assurer d’un niveau de sécurité des TI approprié pour leurs programmes et leurs services;
  • collaborer avec les praticiens de la sécurité des TI afin de gérer les risques liés à leurs programmes ou à leurs services au cours du cycle de vie de la prestation de services;
  • déterminer les exigences en matière de sécurité des TI de leurs programmes ou de leurs services avec les conseils et le soutien des praticiens de la sécurité des TI et du coordonnateur de la sécurité des TI;
  • obtenir l’accréditation pour les programmes et les services et d’accepter le risque résiduel qui leur est associé;
  • maintenir la certification et l’accréditation des programmes et des services;
  • s’assurer que, dans leur zone de responsabilité, les exigences énoncées dans la présente DOAD, dans la Politique sur la sécurité du gouvernement et dans d’autres politiques, instructions, directives et normes approuvées par le SMA(GI) soient satisfaites.

gardiens de la sécurité des communications (SECOM)

  • rendre compte des dossiers, des éléments et des documents cryptographiques classifiés conformément aux directives du Centre de la sécurité des télécommunications Canada.

employés du MDN et militaires
  • se conformer à toutes les politiques, les instructions, les directives et les normes du GC, du MDN et des FC en matière de sécurité des TI;
  • s’assurer que les entrepreneurs autorisés et le personnel dont ils sont responsables se conforment aux politiques, aux instructions, aux directives et aux normes du GC, du MDN et des FC en matière de sécurité des TI;
  • signaler aux responsables de la sécurité désignés les incidents de sécurité, qu’ils soient réels ou présumés.

5. Références

Lois, règlements, politiques d’organisme centraux et DOAD - politiques

Autres références