Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01)

SA 01 Politique et procédures d’acquisition des systèmes et des services
  1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique d’acquisition des systèmes et des services [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures pour faciliter la mise en œuvre de la politique d’acquisition des systèmes et des services ainsi que des contrôles connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures d’acquisition des systèmes et des services
  3. Passer en revue et mettre à jour, par rapport à l’acquisition des systèmes et des services,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
Activité Sélectionné s.o. s.o. SA 02 Affectation des ressources
  1. Déterminer les exigences de haut niveau en matière de sécurité de l’information et de protection de la vie privée pour le système ou les services connexes lors de la planification des processus liés à la mission et aux activités
  2. Déterminer, documenter et affecter les ressources nécessaires pour protéger le système ou les services connexes dans le cadre du processus de planification des immobilisations et de contrôle des investissements
  3. Établir un poste distinct pour la sécurité de l’information et la protection de la vie privée dans sa documentation de programmation et de budgétisation
Contrôle Sélectionné s.o. s.o. SA 03 Cycle de développement des systèmes
  1. Acquérir, développer et gérer le système au moyen de [Affectation : cycle de développement des systèmes défini par l’organisation] qui comprend les facteurs à considérer en matière de sécurité de l’information et de protection de la vie privée
  2. Définir et documenter les rôles et les responsabilités en matière de sécurité de l’information et de protection de la vie privée tout au long du cycle de développement des systèmes
  3. Identifier les personnes qui assument des rôles et des responsabilités en matière de sécurité de l’information et de protection de la vie privée
  4. Intégrer le processus de gestion des risques liés à la sécurité de l’information et à la protection de la vie privée de l’organisation dans les activités du cycle de développement des systèmes
Activité Sélectionné s.o. s.o. SA 03(01) Cycle de développement des systèmes Cycle de développement des systèmes : Gestion de l’environnement de préproduction
S’assurer que la protection des environnements de préproduction est proportionnelle au risque tout au long du cycle de développement du système, du composant de système ou du service qui s’y rapporte. Activité Non sélectionné s.o. s.o. SA 03(02) Cycle de développement des systèmes Cycle de développement des systèmes : Utilisation de données opérationnelles et en temps réel

  1. Approuver, documenter et contrôler l’utilisation de données en temps réel dans les environnements de préproduction pour le système, le composant de système ou le service qui s’y rapporte
  2. Protéger les environnements de préproduction pour le système, le composant de système ou le service qui s’y rapporte de manière à avoir le même niveau d’incidence ou le même niveau de classification que toute donnée en cours d’utilisation en temps réel dans les environnements de préproduction
Activité Non sélectionné s.o. s.o. SA 03(03) Cycle de développement des systèmes Cycle de développement des systèmes : Mise à jour technologique
Planifier et mettre en œuvre un calendrier de mise à jour technologique pour le système tout au long du cycle de développement du système. Activité Non sélectionné s.o. s.o. SA 04 Processus d’acquisition Inclure, explicitement ou en référence, les exigences, les descriptions et les critères suivants en utilisant [Sélection (un choix ou plus) : langage contractuel normalisé; [Affectation : langage contractuel défini par l’organisation]] dans le contrat d’acquisition du système, des composants du système ou des services qui s’y rapportent

  1. exigences fonctionnelles de sécurité et de protection de la vie privée
  2. exigences en matière de robustesse du mécanisme
  3. exigences d’assurance de sécurité et de protection de la vie privée
  4. contrôles nécessaires pour satisfaire les exigences de sécurité et de protection de la vie privée
  5. exigences liées à la documentation sur la sécurité et la protection de la vie privée
  6. exigences liées à la protection de la documentation sur la sécurité et la protection de la vie privée
  7. description de l’environnement de développement du système et de l’environnement dans lequel on prévoit exploiter le système
  8. affectation de responsabilités ou identification des parties responsables de la sécurité de l’information, de la protection de la vie privée et de la gestion des risques liés à la chaîne d’approvisionnement
  9. critères d’acceptation
Contrôle Sélectionné s.o. s.o. SA 04(01) Processus d’acquisition Processus d’acquisition : Propriétés fonctionnelles des contrôles
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte donne une description des propriétés fonctionnelles des contrôles à mettre en œuvre. Contrôle Sélectionné s.o. s.o. SA 04(02) Processus d’acquisition Processus d’acquisition : Renseignements relatifs à la conception et à la mise en œuvre des contrôles
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte fournisse des renseignements sur la conception et la mise en œuvre des contrôles, ce qui comprend : [Sélection (un choix ou plus) : interfaces de systèmes externes servant à la sécurité; conception de haut niveau; conception de bas niveau; code source ou schémas des composants matériels; [Affectation : renseignements produits par l’organisme sur la conception et sur la mise en œuvre]] selon [Affectation : degré de détails défini par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 04(03) Processus d’acquisition Processus d’acquisition : Méthodes, techniques et pratiques en matière de développement
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte démontre que le cycle de développement du système comprend

  1. [Affectation : méthodes d’ingénierie définies par l’organisation]
  2. [Sélection (un choix ou plus) : [Affectation : méthodes d’ingénierie de la sécurité de système définies par l’organisation]; [Affectation : méthodes d’ingénierie de la protection de la vie privée définies par l’organisation]]
  3. [Affectation : méthodes de développement logiciel définies par l’organisation; méthodes de test, d’évaluation, de vérification et de validation; et processus de contrôle de la qualité]
Contrôle Non sélectionné s.o. s.o. SA 04(04) Processus d’acquisition Processus d’acquisition : Attribution de composants à des systèmes
Annulé : Intégré au contrôle CM-08(09). Contrôle s.o. s.o. s.o. SA 04(05) Processus d’acquisition Processus d’acquisition : Configurations de systèmes, de composants et de services
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de

  1. produire un système, des composants ou des services dont les [Affectation : configurations de sécurité définies par l’organisation] sont mises en œuvre
  2. utiliser les configurations comme valeurs par défaut pour tout système, composant ou service devant faire ultimement l’objet d’une réinstallation ou d’une mise à niveau
Contrôle Non sélectionné s.o. s.o. SA 04(06) Processus d’acquisition Processus d’acquisition : Utilisation de produits de cybersécurité

  1. Utiliser uniquement les produits gouvernementaux sur étagère (GOTS pour Government Off-the-Shelf) ou commerciaux sur étagère (COTS pour Commercial Off-the-Shelf) de cybersécurité et les produits informatiques sécurisés qui constituent une solution approuvée par le Centre pour la cybersécurité pour protéger l’information classifiée lorsque les réseaux servant à transmettre cette information ont un niveau de classification inférieur à celui de l’information transmise
  2. Exiger que ces produits soient évalués ou validés par le Centre pour la cybersécurité ou conformément à des procédures approuvées par le Centre pour la cybersécurité
Contrôle Non sélectionné s.o. s.o. SA 04(07) Processus d’acquisition Processus d’acquisition : Profils de protection reconnus par le Programme canadien lié aux Critères communs (PCCC)

  1. Limiter l’utilisation de produits commerciaux de cybersécurité et de produits informatiques sécurisés à ceux qui ont déjà été évalués selon un profil de protection reconnu par le PCCC pour un type de technologie particulier, si un tel profil existe
  2. S’il n’y a aucun profil de protection reconnu par le PCCC pour un type de technologie en particulier et qu’un produit de TI commercial a recours à une fonctionnalité cryptographique pour appliquer sa stratégie de sécurité, exiger que le module cryptographique soit validé selon la norme FIPS (Federal Information Processing Standard) ou reconnu par le PCCC
Contrôle Non sélectionné s.o. s.o. SA 04(08) Processus d’acquisition Processus d’acquisition : Plan de surveillance continue des contrôles
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte élabore un plan pour assurer une surveillance continue de l’efficacité des contrôles, conformément au programme de surveillance continue de l’organisation. Contrôle Non sélectionné s.o. s.o. SA 04(09) Processus d’acquisition Processus d’acquisition : Fonctions, ports, protocoles et services utilisés
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte détermine les fonctions, les ports, les protocoles et les services qui seront utilisés dans l’organisation. Contrôle Sélectionné s.o. s.o. SA 04(10) Processus d’acquisition Processus d’acquisition : Utilisation de produits de justificatifs d’identité numériques approuvés
Utiliser seulement les produits informatiques recommandés par le Centre pour la cybersécurité pour la capacité des justificatifs d’identité numériques mise en œuvre dans les systèmes de l’organisation. Contrôle Sélectionné s.o. s.o. SA 04(11) Processus d’acquisition Processus d’acquisition : Système d’enregistrement
Inclure les [Affectation : exigences en matière de la LPRP définies par l’organisation] dans le contrat d’acquisition relatif à l’exploitation d’un système d’enregistrement au nom d’une organisation afin d’assurer la mission ou les activités de cette dernière. Contrôle Non sélectionné s.o. s.o. SA 04(12) Processus d’acquisition Processus d’acquisition : Propriété des données

  1. Inclure les exigences relatives à la propriété des données organisationnelles dans le contrat d’acquisition
  2. Exiger que toutes les données soient supprimées du système de l’entrepreneure ou entrepreneur et retournées à l’organisation dans les [Affectation : délais définis par l’organisation]
Contrôle Sélectionné s.o. s.o. SA 05 Documentation relative aux systèmes
  1. Obtenir ou élaborer la documentation à l’intention des administratrices et administrateurs d’un système, d’un composant du système ou du service qui s’y rapporte, qui décrit
    1. la configuration, l’installation et l’exploitation sécurisées du système, du composant ou du service
    2. l’utilisation et la maintenance efficaces des fonctions et mécanismes de sécurité et de protection de la vie privée
    3. les vulnérabilités connues associées à la configuration et à l’utilisation des fonctions administratives et privilégiées
  2. Obtenir ou élaborer la documentation des utilisatrices et utilisateurs d’un système, d’un composant du système ou du service qui s’y rapporte, laquelle décrit
    1. les fonctions et mécanismes de sécurité et de protection de la vie privée accessibles aux utilisatrices et utilisateurs, et la façon d’utiliser efficacement ces fonctions et mécanismes
    2. les méthodes d’interaction utilisateur qui permettent aux utilisatrices et utilisateurs d’utiliser le système, le composant ou le service de façon plus sécurisée et de protéger leur vie privée
    3. les responsabilités des utilisatrices ou utilisateurs concernant le maintien de la sécurité du système, de ses composants ou des services qui s’y rapportent, et de la vie privée de ces personnes
  3. Documenter les tentatives visant à obtenir des documents sur le système, ses composants ou les services qui s’y rapportent, qui n’existent pas ou qui ne sont pas disponibles, et réagir en [Affectation : mesures définies par l’organisation]
  4. Distribuer la documentation à [Affectation : personnel ou rôles définis par l’organisation]
Activité Sélectionné s.o. s.o. SA 05(01) Documentation relative aux systèmes Documentation relative aux systèmes : Propriétés fonctionnelles des contrôles de sécurité
Annulé : Intégré au contrôle SA-04(01). s.o. s.o. s.o. s.o. SA 05(02) Documentation relative aux systèmes Documentation relative aux systèmes : Interfaces des systèmes externes servant à la sécurité
Annulé : Intégré au contrôle SA-04(02). s.o. s.o. s.o. s.o. SA 05(03) Documentation relative aux systèmes Documentation relative aux systèmes : Conception de haut niveau
Annulé : Intégré au contrôle SA-04(02). s.o. s.o. s.o. s.o. SA 05(04) Documentation relative aux systèmes Documentation relative aux systèmes : Conception de bas niveau
Annulé : Intégré au contrôle SA-04(02). s.o. s.o. s.o. s.o. SA 05(05) Documentation relative aux systèmes Documentation relative aux systèmes : Code source
Annulé : Intégré au contrôle SA-04(02). s.o. s.o. s.o. s.o. SA 06 Restrictions relatives à l’utilisation des logiciels Annulé : Intégré au contrôle CM-10 and SI-07. s.o. s.o. s.o. s.o. SA 07 Logiciels installés par les utilisatrices et utilisateurs Annulé : Intégré au contrôle CM-11 and SI-07. s.o. s.o. s.o. s.o. SA 08 Principes d’ingénierie de la sécurité et de la protection de la vie privée Appliquer les principes d’ingénierie de la sécurité et de la protection de la vie privée des systèmes suivants pour la spécification, la conception, le développement, la mise en œuvre et la modification des systèmes et des composants de systèmes : [Affectation : principes d’ingénierie de la sécurité et de la protection de la vie privée des systèmes définis par l’organisation]. Contrôle Sélectionné s.o. s.o. SA 08(01) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Abstractions claires
Mettre en place le principe de la conception sécurisée des abstractions claires. Contrôle Non sélectionné s.o. s.o. SA 08(02) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Mécanisme moindre commun
Mettre en place le principe du moindre mécanisme commun dans la conception sécurisée des [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(03) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Modularité et structuration en couches
Mettre en place les principes de conception sécurisée de la modularité et de la structuration en couches dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(04) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Dépendances partiellement hiérarchisées
Mettre en place le principe de conception sécurisée des dépendances partiellement hiérarchisées dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(05) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Accès avec médiation efficace
Mettre en place le principe de conception sécurisée de l’accès avec médiation efficace dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(06) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Échange minimal
Mettre en place le principe de conception sécurisée de l’échange minimal dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(07) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Complexité réduite
Mettre en place le principe de conception sécurisée de la complexité réduite dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(08) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Évolutivité sécurisée
Mettre en place le principe de conception sécurisée de l’évolutivité dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(09) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Composants fiables
Mettre en place le principe de conception sécurisée des composants fiables dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(10) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Confiance hiérarchique
Mettre en place le principe de conception sécurisée de la confiance hiérarchique dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(11) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Seuil de modification inverse
Mettre en place le principe de conception sécurisée du seuil de modification inverse dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(12) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Protection hiérarchique
Mettre en place le principe de conception sécurisée de la protection hiérarchique dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(13) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Éléments de sécurité minimisés
Mettre en place le principe de conception sécurisée des éléments de sécurité minimisés dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(14) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Droit d’accès minimal 
Mettre en place le principe de conception sécurisée du droit d’accès minimal dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(15) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Autorisation des prédicats
Mettre en place le principe de conception sécurisée de l’autorisation des prédicats dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(16) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Fiabilité autonome
Mettre en place le principe de conception sécurisée de la fiabilité autonome dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(17) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Composition distribuée sécurisée
Mettre en place le principe de conception sécurisée de la composition distribuée sécurisée dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(18) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Voies de communication fiables
Mettre en place le principe de conception sécurisée des voies de communication fiables dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(19) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Protection continue
Mettre en place le principe de conception sécurisée de la protection continue dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(20) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Gestion sécurisée des métadonnées
Mettre en place le principe de conception sécurisée de la gestion sécurisée des métadonnées dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(21) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Auto-analyse
Mettre en place le principe de conception sécurisée de l’auto-analyse dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(22) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Responsabilisation et traçabilité
Mettre en place le principe de conception sécurisée de la responsabilisation et de la traçabilité dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(23) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Valeurs par défaut sécurisées
Mettre en place le principe de conception sécurisée des valeurs par défaut sécurisées dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(24) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Défaillance et reprise sécurisées
Mettre en place le principe de conception sécurisée de la défaillance et de la reprise sécurisées dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(25) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Sécurité économique
Mettre en place le principe de conception sécurisée de la sécurité économique dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(26) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Sécurité des performances
Mettre en place le principe de conception sécurisée de la sécurité des performances dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(27) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Sécurité tenant compte du facteur humain
Mettre en place le principe de conception sécurisée de la sécurité tenant compte du facteur humain dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(28) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Sécurité acceptable
Mettre en place le principe de conception sécurisée de la sécurité acceptable dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(29) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Procédures reproduisibles et documentées
Mettre en place le principe de conception sécurisée des procédures reproduisibles et documentées dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(30) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Rigueur procédurale
Mettre en place le principe de conception sécurisée de la rigueur procédurale dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(31) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Modification de systèmes sécurisés
Mettre en place le principe de conception sécurisée de la modification de systèmes sécurisés dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(32) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Documentation adéquate
Mettre en place le principe de conception sécurisée de la documentation adéquate dans les [Affectation : systèmes ou composants de systèmes désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(33) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Minimisation
Mettre en place le principe de protection de la vie privée de la minimisation au moyen de [Affectation : processus définis par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 08(400) Principes d’ingénierie de la sécurité et de la protection de la vie privée Principes d’ingénierie de la sécurité et de la protection de la vie privée : Ingénieures et ingénieurs brevetés et agréés
Avoir recours à des ingénieures et ingénieurs brevetés et agréés en sécurité qui assument la responsabilité des spécifications, de la conception, du développement et de la mise en œuvre de solutions de sécurité et de protection de la vie privée du système d’information. Contrôle Non sélectionné s.o. s.o. SA 09 Services de systèmes externes
  1. Exiger que les fournisseurs de services de systèmes externes respectent les exigences organisationnelles en matière de sécurité et de protection de la vie privée et aient recours aux contrôles suivants : [Affectation : contrôles définis par l’organisation]
  2. Définir et documenter la surveillance organisationnelle, de même que les rôles et responsabilités des utilisatrices et utilisateurs en ce qui a trait aux services de systèmes externes
  3. Mettre en œuvre sur une base continue des processus, des méthodes et des techniques pour surveiller la conformité aux contrôles des fournisseurs de services externes : [Affectation : méthodes, techniques et processus définis par l’organisation]
Contrôle Sélectionné s.o. s.o. SA 09(01) Services de systèmes externes Services de systèmes externes : Évaluations des risques et approbations organisationnelles

  1. Procéder à une évaluation des risques organisationnels avant d’acquérir ou d’externaliser des services de sécurité de l’information
  2. S’assurer que l’acquisition ou l’externalisation des services de sécurité de l’information est approuvée par [Affectation : personnel ou rôles définis par l’organisation]
Contrôle Sélectionné s.o. s.o. SA 09(02) Services de systèmes externes Services de systèmes externes : Établissement des fonctions, des ports, des protocoles et des services
Exiger que les fournisseurs de services de systèmes externes identifient les fonctions, les ports, les protocoles et les autres services nécessaires à l’utilisation des services en question : [Affectation : services de systèmes externes définis par l’organisation]. Contrôle Sélectionné s.o. s.o. SA 09(03) Services de systèmes externes Services de systèmes externes : Établissement et maintien d’une relation de confiance avec les fournisseurs de services
Établir, documenter et maintenir des relations de confiance avec les fournisseurs de services externes en fonction des exigences, des propriétés, des conditions ou des facteurs suivants : [Affectation : exigences de sécurité et de protection de la vie privée, propriétés, conditions ou facteurs définis par l’organisation qui constituent des relations de confiance acceptables]. Contrôle Non sélectionné s.o. s.o. SA 09(04) Services de systèmes externes Services de systèmes externes : Concordance des intérêts des clients et des fournisseurs
Prendre les mesures suivantes pour confirmer que les intérêts de [Affectation : fournisseurs de services externes désignés par l’organisation] répondent aux intérêts de l’organisation : [Affectation : actions définies par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 09(05) Services de systèmes externes Services de systèmes externes : Lieux de traitement, de stockage et de service
Circonscrire les lieux de [Sélection (un choix ou plus) : traitement de l’information; stockage de l’information ou de données; services de systèmes] à [Affectation : lieux désignés par l’organisation] en se fondant sur [Affectation : exigences ou conditions définies par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 09(06) Services de systèmes externes Services de systèmes externes : Clés cryptographiques contrôlées par l’organisation
Maintenir un contrôle exclusif des clés cryptographiques pour le matériel chiffré stocké ou transmis par l’entremise d’un système externe. Contrôle Non sélectionné s.o. s.o. SA 09(07) Services de systèmes externes Services de systèmes externes : Vérification de l’intégrité contrôlée par l’organisation
Fournir la capacité de vérifier l’intégrité de l’information qui réside sur le système externe. Contrôle Non sélectionné s.o. s.o. SA 09(08) Services de systèmes externes Services de systèmes externes : Lieu de stockage et de traitement (au Canada)
Restreindre le lieu géographique du traitement de l’information et du stockage des données aux installations situées dans la frontière gouvernementale et juridique du Canada. Contrôle Sélectionné s.o. s.o. SA 10 Gestion des configurations par les développeuses et développeurs Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de

  1. procéder à la gestion des configurations au cours [Sélection (un choix ou plus) : de la conception; du développement; de la mise en œuvre; de l’exploitation; de l’élimination] du système, du composant ou du service
  2. documenter, gérer et contrôler l’intégrité des changements apportés aux [Affectation : éléments de configuration définis par l’organisation dans le cadre de la gestion des configurations]
  3. mettre en œuvre uniquement les changements approuvés par l’organisation au système, au composant ou au service
  4. documenter les changements approuvés apportés au système, au composant ou au service et les répercussions potentielles de tels changements sur la sécurité et la protection de la vie privée
  5. assurer le suivi des failles de sécurité informatique et de leur résolution dans le système, le composant ou le service et faire rapport des conclusions au [Affectation : personnel désigné par l’organisation]
Activité Sélectionné s.o. s.o. SA 10(01) Gestion des configurations par les développeuses et développeurs Gestion des configurations par les développeuses et développeurs : Vérification de l’intégrité des logiciels et des micrologiciels
Exiger que la développeuse ou le développeur du système, du composant de système ou du service qui s’y rapporte vérifie l’intégrité des composants logiciels et micrologiciels. Activité Sélectionné s.o. s.o. SA 10(02) Gestion des configurations par les développeuses et développeurs Gestion des configurations par les développeuses et développeurs : Processus de gestion des configurations de rechange
Prévoir un processus de gestion des configurations de rechange auquel participent des membres du personnel en l’absence d’une équipe de développeuses et développeurs ou d’intégratrices et intégrateurs spécialisés en gestion des configurations. Activité Non sélectionné s.o. s.o. SA 10(03) Gestion des configurations par les développeuses et développeurs Gestion des configurations par les développeuses et développeurs : Vérification de l’intégrité du matériel
Exiger que la développeuse ou le développeur du système, du composant de système ou du service qui s’y rapporte vérifie l’intégrité des composants matériels. Activité Non sélectionné s.o. s.o. SA 10(04) Gestion des configurations par les développeuses et développeurs Gestion des configurations par les développeuses et développeurs : Génération fiable
Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou d’un service qui s’y rapporte emploie des outils permettant de comparer les versions nouvellement générées aux versions précédentes des descriptions, du code source et du code objet des composants matériels servant à la sécurité. Activité Non sélectionné s.o. s.o. SA 10(05) Gestion des configurations par les développeuses et développeurs Gestion des configurations par les développeuses et développeurs : Intégrité du mappage pour le contrôle des versions
Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou d’un service qui s’y rapporte maintienne l’intégrité du mappage entre les données de la version maîtresse qui décrivent, d’une part, la version actuelle du matériel, des logiciels et des micrologiciels servant à la sécurité et, d’autre part, la copie maîtresse des données de la version qui se trouve actuellement sur le site. Activité Non sélectionné s.o. s.o. SA 10(06) Gestion des configurations par les développeuses et développeurs Gestion des configurations par les développeuses et développeurs : Distribution fiable
Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou d’un service qui s’y rapporte exécute les procédures visant à garantir que les mises à jour des composants matériels, logiciels et micrologiciels servant à la sécurité, qui sont distribuées à l’organisation sont en tout point conformes aux spécifications des copies maîtresses. Activité Non sélectionné s.o. s.o. SA 10(07) Gestion des configurations par les développeuses et développeurs Gestion des configurations par les développeuses et développeurs : Représentantes et représentants de la sécurité et de la protection de la vie privée
Exiger que [Affectation : représentante ou représentant de la sécurité et de la protection de la vie privée désigné par l’organisation] soit membre de [Affectation : processus de gestion et de contrôle des configurations défini par l’organisation]. Activité Sélectionné 1 [SPC, SCT et Centre pour la cybersécurité]
2 [Projets et services de SPC utilisés par plusieurs ministères] s.o. SA 11 Évaluations et tests effectués par les développeuses et développeurs Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte fasse ce qui suit à toutes les phases de postconception du cycle de développement du système de manière à

  1. élaborer et mettre en œuvre un plan pour les évaluations des contrôles de sécurité et de protection de la vie privée en cours
  2. procéder au test ou à l’évaluation [Sélection (un choix ou plus) : unité; intégration; système; régression] tous les [Affectation : fréquence définie par l’organisation] selon [Affectation : profondeur et couverture définies par l’organisation]
  3. fournir une preuve de l’élaboration d’un plan d’évaluation et des résultats des tests ou de l’évaluation
  4. mettre en œuvre un processus vérifiable de correction des défauts
  5. corriger les défauts relevés au cours des tests et de l’évaluation
Activité Sélectionné s.o. s.o. SA 11(01) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Analyse statique du code
Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou du service qui s’y rapporte utilise des outils d’analyse statique du code pour identifier les défauts courants et documenter les résultats de l’analyse. Activité Non sélectionné s.o. s.o. SA 11(02) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Modélisation des menaces et analyses des vulnérabilités
Exiger que la développeuse ou le développeur du système, du composant ou du service qui s’y rapporte effectue une modélisation des menaces et des analyses des vulnérabilités au cours du développement, ainsi que des tests et une évaluation du système, du composant ou du service qui

  1. utilise l’information contextuelle suivante : [Affectation : information relative aux répercussions définie par l’organisation, environnement opérationnel, menaces connues ou présumées, et niveaux acceptables de risque]
  2. utilise les méthodes et les outils suivants : [Affectation : méthodes et outils définis par l’organisation]
  3. procède à la modélisation et à l’analyse du niveau de rigueur suivant : [Affectation : profondeur et étendue de modélisation et d’analyse définies par l’organisation]
  4. démontre que les critères d’acceptation suivants ont été respectés : [Affectation : critères d’acceptation définis par l’organisation]
Activité Non sélectionné s.o. s.o. SA 11(03) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Vérification indépendante des plans d’évaluation et des preuves

  1. Exiger que [Affectation : critères d’indépendance définis par l’organisation] soit en mesure d’attester de l’adéquation de la mise en œuvre du plan d’évaluation de sécurité et de vérifier les preuves produites pendant les tests et les évaluations
  2. Veiller à ce que l’agente ou agent indépendant ait reçu suffisamment d’information pour mener à bien le processus de vérification ou qu’il dispose de l’autorité nécessaire pour obtenir l’information en question
Activité Non sélectionné s.o. s.o. SA 11(04) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Revues manuelles du code
Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou du service qui s’y rapporte procède à la revue manuelle du code de [Affectation : code particulier désigné par l’organisation] au moyen des procédures, des techniques ou des processus suivants : [Affectation : procédures, techniques et processus définis par l’organisation]. Activité Non sélectionné s.o. s.o. SA 11(05) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Tests d’intrusion
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte procède à des tests d’intrusion

  1. au niveau de rigueur suivant : [Affectation : profondeur et étendue des tests définies par l’organisation]
  2. selon les contraintes suivantes : [Affectation : contraintes définies par l’organisation]
Activité Non sélectionné s.o. s.o. SA 11(06) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Examens de la surface d’attaque
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte procède à des examens de la surface d’attaque. Activité Non sélectionné s.o. s.o. SA 11(07) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Vérification de la portée des tests et des évaluations
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure que la portée des tests et des évaluations fournit une couverture complète des contrôles requis au niveau de rigueur suivant : [Affectation : profondeur et étendue des tests et des évaluations définies par l’organisation]. Activité Non sélectionné s.o. s.o. SA 11(08) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Analyse dynamique du code
Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou du service qui s’y rapporte utilise des outils d’analyse dynamique du code pour relever les défauts courants et documenter les résultats de l’analyse. Activité Non sélectionné s.o. s.o. SA 11(09) Évaluations et tests effectués par les développeuses et développeurs Évaluations et tests effectués par les développeuses et développeurs : Tests de sécurité des applications interactives
Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou du service qui s’y rapporte utilise des outils de tests de la sécurité des applications interactives pour relever les défauts et documenter les résultats. Activité Non sélectionné s.o. s.o. SA 12 Protection de la chaîne d’approvisionnement Annulé : Transféré sous la famille de contrôles SR. s.o. s.o. s.o. s.o. SA 12(01) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Stratégies, outils et méthodes d’acquisition
Annulé : Transféré sous le contrôle SR-05. s.o. s.o. s.o. s.o. SA 12(02) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Examen des fournisseurs
Annulé : Transféré sous le contrôle SR-06. s.o. s.o. s.o. s.o. SA 12(03) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Expédition et entreposage sécurisés
Annulé : Intégré au contrôle SR-03. s.o. s.o. s.o. s.o. SA 12(04) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Diversité des fournisseurs
Annulé : Intégré au contrôle SR-03(01). s.o. s.o. s.o. s.o. SA 12(05) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Limitation des dommages
Annulé : Intégré au contrôle SR-03(02). s.o. s.o. s.o. s.o. SA 12(06) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Réduction du temps d’approvisionnement
Annulé : Intégré au contrôle SR-05(01). s.o. s.o. s.o. s.o. SA 12(07) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Évaluation préalable à la sélection, à l’acceptation et à la mise à jour
Annulé : Transféré sous le contrôle SR-05(02). s.o. s.o. s.o. s.o. SA 12(08) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Utilisation du renseignement de toutes sources
Annulé : Intégré au contrôle RA-03(02). s.o. s.o. s.o. s.o. SA 12(09) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Sécurité opérationnelle
Annulé : Transféré sous le contrôle SR-07. s.o. s.o. s.o. s.o. SA 12(10) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Attestation de l’authenticité et de la non-altérité
Annulé : Transféré sous le contrôle SR-04(03). s.o. s.o. s.o. s.o. SA 12(11) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Tests d’intrusion et analyse d’éléments, de processus et des parties prenantes
Annulé : Transféré sous le contrôle SR-06(01). s.o. s.o. s.o. s.o. SA 12(12) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Accords interorganisationnels
Annulé : Transféré sous le contrôle SR-08. s.o. s.o. s.o. s.o. SA 12(13) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Composants de systèmes d’information essentiels
Annulé : Intégré au contrôle MA-06 and RA-09. s.o. s.o. s.o. s.o. SA 12(14) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Identité et traçabilité
Annulé : Transféré sous le contrôle SR-04(01) and SR-04(02). s.o. s.o. s.o. s.o. SA 12(15) Protection de la chaîne d’approvisionnement Protection de la chaîne d’approvisionnement : Processus visant à réagir aux faiblesses et aux lacunes
Annulé : Intégré au contrôle SR-03. s.o. s.o. s.o. s.o. SA 13 Fiabilité Annulé : Intégré au contrôle SA-08. s.o. s.o. s.o. s.o. SA 14 Analyse de criticité Annulé : Intégré au contrôle RA-09. s.o. s.o. s.o. s.o. SA 14(01) Analyse de criticité Analyse de criticité : Composants essentiels sans autre source d’approvisionnement viable
Annulé : Intégré au contrôle SA-20. s.o. s.o. s.o. s.o. SA 15 Processus, normes et outils de développement
  1. Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou d’un service qui s’y rapporte suive un processus de développement documenté qui permet
    1. de répondre explicitement aux exigences de sécurité et de protection de la vie privée
    2. d’identifier les normes et les outils devant servir au processus de développement
    3. de documenter les options et les configurations particulières aux outils utilisés dans le processus de développement
    4. de documenter, de gérer et de garantir l’intégrité des changements apportés aux processus et aux outils servant au développement
  2. Examiner les processus, les normes, les outils, les options d’outils et les configurations d’outils liés au développement [Affectation : fréquence définie par l’organisation] pour établir si les processus, les normes, les outils, les options des outils et les configurations des outils peuvent répondre aux exigences de sécurité et de protection de la vie privée suivantes : [Affectation : exigences de sécurité et de protection de la vie privée définies par l’organisation]
Activité Sélectionné s.o. s.o. SA 15(01) Processus, normes et outils de développement Processus, normes et outils de développement : Mesure de la qualité
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de

  1. définir les mesures de la qualité au début du processus de développement
  2. fournir des preuves que les critères de qualité sont respectés à [Sélection (un choix ou plus) : [Affectation : fréquence définie par l’organisation]; [Affectation : échéancier d’examen de programmes défini par l’organisation]; au moment de la mise en service]
Activité Non sélectionné s.o. s.o. SA 15(02) Processus, normes et outils de développement Processus, normes et outils de développement : Outils de traçabilité des contrôles de sécurité et de protection de la vie privée
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte utilise des outils de traçabilité des contrôles de sécurité et de protection de la vie privée au cours du processus de développement. Activité Non sélectionné s.o. s.o. SA 15(03) Processus, normes et outils de développement Processus, normes et outils de développement : Analyse de criticité
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte procède à une analyse de criticité

  1. aux points de décision suivants dans le cycle de développement du système : [Affectation : points de décision dans le cycle de développement du système définis par l’organisation]
  2. au niveau de rigueur suivant : [Affectation : profondeur et étendue de l’analyse de criticité définies par l’organisation]
Activité Sélectionné s.o. s.o. SA 15(04) Processus, normes et outils de développement Processus, normes et outils de développement : Modélisation des menaces et analyse des vulnérabilités
Annulé : Intégré au contrôle SA-11(02). s.o. s.o. s.o. s.o. SA 15(05) Processus, normes et outils de développement Processus, normes et outils de développement : Réduction de la surface d’attaque
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte réduise les surfaces d’attaque à [Affectation : limites définies par l’organisation]. Activité Non sélectionné s.o. s.o. SA 15(06) Processus, normes et outils de développement Processus, normes et outils de développement : Amélioration continue
Exiger que la développeuse ou le développeur d’un système d’information, d’un composant du système ou du service qui s’y rapporte mette en œuvre un processus détaillé visant expressément à améliorer continuellement le processus de développement. Activité Non sélectionné s.o. s.o. SA 15(07) Processus, normes et outils de développement Processus, normes et outils de développement : Analyse automatisée des vulnérabilités
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte, [Affectation : fréquence définie par l’organisation]

  1. réalise une analyse automatisée des vulnérabilités au moyen de [Affectation : outils définis par l’organisation]
  2. définisse les possibilités d’exploitation des vulnérabilités relevées
  3. définisse les mesures d’atténuation des risques liés aux vulnérabilités décelées
  4. fournisse les données produites par les outils et les résultats des analyses à [Affectation : personnel ou rôles définis par l’organisation]
Activité Non sélectionné s.o. s.o. SA 15(08) Processus, normes et outils de développement Processus, normes et outils de développement : Réutilisation de l’information sur les menaces et les vulnérabilités
Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou d’un service qui s’y rapporte utilise une modélisation des menaces et des analyses des vulnérabilités exécutées sur des systèmes, des composants ou des services semblables de façon à éclairer le processus de développement en cours. Activité Non sélectionné s.o. s.o. SA 15(09) Processus, normes et outils de développement Processus, normes et outils de développement : Utilisation de données en temps réel Annulé : Intégré au contrôle SA-03(02). s.o. s.o. s.o. s.o. SA 15(10) Processus, normes et outils de développement Processus, normes et outils de développement : Plan d’intervention en cas d’incident
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure d’élaborer, de mettre en œuvre et de mettre à l’essai un plan d’intervention en cas d’incident. Activité Non sélectionné s.o. s.o. SA 15(11) Processus, normes et outils de développement Processus, normes et outils de développement : Système ou composant d’archivage
Exiger que la développeuse ou le développeur d’un système ou d’un composant du système archive le système ou le composant à mettre en service avec les preuves connexes qui appuient l’examen de sécurité et de protection de la vie privée final. Activité Non sélectionné s.o. s.o. SA 15(12) Processus, normes et outils de développement Processus, normes et outils de développement : Réduction des renseignements personnels
Exiger que la développeuse ou le développeur du système ou du composant du système limite l’utilisation de renseignements personnels dans les environnements de développement et de test. Activité Non sélectionné s.o. s.o. SA 16 Formation offerte par la développeuse ou le développeur Exiger que la développeuse ou le développeur d’un système, d’un composant du système ou d’un service qui s’y rapporte fournisse la formation portant sur l’utilisation et l’exploitation adéquates des fonctions, des contrôles et des mécanismes de sécurité et de protection de la vie privée mis en œuvre : [Affectation : formation définie par l’organisation]. Contrôle Sélectionné s.o. s.o. SA 17 Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte produise des spécifications de conception et une architecture de sécurité et de protection de la vie privée qui

  1. est conforme à l’architecture de sécurité et de protection de la vie privée de l’organisation qui fait partie intégrante de l’architecture d’entreprise de l’organisation
  2. décrit intégralement et précisément les fonctions de sécurité et de protection de la vie privée requises ainsi que l’attribution des contrôles de sécurité parmi les composants physiques et logiques
  3. expose comment les fonctions de sécurité et de protection de la vie privée, les mécanismes et les services fonctionnent ensemble pour fournir les capacités de sécurité requises et favoriser une approche coordonnée en matière de protection
Activité Sélectionné s.o. s.o. SA 17(01) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Modèle formel de stratégie
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de

  1. produire, en parfaite intégration avec le processus de développement, un modèle formel de stratégie décrivant [Affectation : éléments de stratégie organisationnelle de sécurité désignés par l’organisme] à mettre en œuvre
  2. démontrer que le modèle formel de stratégie est cohérent et suffisant pour appliquer les dispositions de la stratégie organisationnelle de sécurité dès lors que celle-ci est en vigueur
Activité Non sélectionné s.o. s.o. SA 17(02) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Composants servant à la sécurité
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de

  1. définir le matériel, les logiciels et les micrologiciels servant à la sécurité
  2. fournir un argumentaire démontrant l’exhaustivité de la définition du matériel, des logiciels et des micrologiciels de sécurité
Activité Non sélectionné s.o. s.o. SA 17(03) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Correspondance formelle
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de

  1. produire, en parfaite intégration avec le processus de développement, des spécifications formelles de haut niveau qui décrivent les interfaces du matériel, des logiciels et des micrologiciels servant à la sécurité sur le plan des exceptions, des messages d’erreur et des effets
  2. montrer – par des preuves accessibles et, s’il y a lieu, par des démonstrations informelles – que les spécifications de haut niveau sont conformes au modèle formel de stratégie
  3. montrer, par des démonstrations informelles, que les spécifications formelles de haut niveau prennent en compte toutes les interfaces du matériel, des logiciels et des micrologiciels servant à la sécurité
  4. montrer que les spécifications formelles de haut niveau décrivent précisément le matériel, les logiciels et les micrologiciels utilisés à des fins de sécurité
  5. décrire les mécanismes liés au matériel, aux logiciels et aux micrologiciels servant à la sécurité qui ne sont pas explicitement pris en compte dans les spécifications formelles de haut niveau, mais qui sont inhérents à ce matériel, à ces logiciels et à ces micrologiciels servant à la sécurité
Activité Non sélectionné s.o. s.o. SA 17(04) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Correspondance informelle
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de

  1. produire, en parfaite intégration avec le processus de développement, des spécifications descriptives informelles de haut niveau qui décrivent les interfaces du matériel, des logiciels et des micrologiciels servant à la sécurité sur le plan des exceptions, des messages d’erreur et des effets
  2. montrer par [Sélection (un choix) : démonstration informelle; arguments convaincants fournis, si possible, par des méthodes formelles] que les spécifications descriptives de haut niveau sont conformes au modèle formel de stratégie
  3. montrer, par des démonstrations informelles, que les spécifications descriptives de haut niveau prennent en compte toutes les interfaces du matériel, des logiciels et des micrologiciels servant à la sécurité
  4. montrer que les spécifications descriptives de haut niveau décrivent précisément les interfaces du matériel, des logiciels et des micrologiciels servant à la sécurité
  5. décrire les mécanismes liés au matériel, aux logiciels et aux micrologiciels servant à la sécurité qui ne sont pas explicitement pris en compte dans les spécifications descriptives de haut niveau, mais qui sont strictement inhérents à ce matériel, à ces logiciels et à ces micrologiciels servant à la sécurité
Activité Non sélectionné s.o. s.o. SA 17(05) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Conception simple
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de

  1. concevoir et structurer le matériel, les logiciels et les micrologiciels servant à la sécurité de façon à créer un mécanisme de protection complet, de conception simple et doté d’une sémantique précisément définie
  2. structurer en interne le matériel, les logiciels et les micrologiciels servant à la sécurité, en portant une attention particulière au mécanisme en question
Activité Non sélectionné s.o. s.o. SA 17(06) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Structure de mise à l’essai
Exiger que la développeuse ou le développeur du système, du composant de système ou du service qui s’y rapporte structure le matériel, les logiciels et les micrologiciels servant à la sécurité de manière à faciliter la mise à l’essai. Activité Non sélectionné s.o. s.o. SA 17(07) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Structure relative au droit d’accès minimal
Exiger que la développeuse ou le développeur du système, du composant de système ou du service qui s’y rapporte structure le matériel, les logiciels et les micrologiciels servant à la sécurité de manière à faciliter le contrôle de l’accès avec le droit d’accès minimal. Activité Non sélectionné s.o. s.o. SA 17(08) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Orchestration
Concevoir [Affectation : systèmes ou composants de systèmes critiques désignés par l’organisation] avec un comportement coordonné pour mettre en œuvre les capacités suivantes : [Affectation : capacités définies par l’organisation, par système ou composant]. Activité Non sélectionné s.o. s.o. SA 17(09) Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur : Diversité de la conception
Utiliser les différentes conceptions de [Affectation : systèmes ou composants de systèmes critiques désignés par l’organisation] pour satisfaire à un ensemble commun d’exigences ou fournir une fonctionnalité équivalente. Activité Non sélectionné s.o. s.o. SA 18 Résistance au trafiquage et détection Annulé : Transféré sous le contrôle SR-09. s.o. s.o. s.o. s.o. SA 18(01) Résistance au trafiquage et détection Résistance au trafiquage et détection : Multiples phases du cycle de développement de systèmes
Annulé : Transféré sous le contrôle SR-09(01). s.o. s.o. s.o. s.o. SA 18(02) Résistance au trafiquage et détection Résistance au trafiquage et détection : Inspection des systèmes ou des composants
Annulé : Transféré sous le contrôle SR-10. s.o. s.o. s.o. s.o. SA 19 Authenticité des composants Annulé : Transféré sous le contrôle SR-11. s.o. s.o. s.o. s.o. SA 19(01) Authenticité des composants Authenticité des composants : Formation anticontrefaçon
Annulé : Transféré sous le contrôle SR-11(01). s.o. s.o. s.o. s.o. SA 19(02) Authenticité des composants Authenticité des composants : Contrôle des configurations pour l’entretien et la réparation des composants
Annulé : Transféré sous le contrôle SR-11(02). s.o. s.o. s.o. s.o. SA 19(03) Authenticité des composants Authenticité des composants : Mise hors service des composants
Annulé : Transféré sous le contrôle SR-12. s.o. s.o. s.o. s.o. SA 19(04) Authenticité des composants Authenticité des composants : Analyse anticontrefaçon
Annulé : Transféré sous le contrôle SR-11(03). s.o. s.o. s.o. s.o. SA 20 Développement sur mesure des composants essentiels Procéder à une nouvelle mise en œuvre ou au développement sur mesure des composants de systèmes essentiels suivants : [Affectation : composants essentiels désignés par l’organisation]. Contrôle Non sélectionné s.o. s.o. SA 21 Filtrage de sécurité des développeuses et développeurs Exiger que la développeuse ou le développeur de [Affectation : système, composant de système ou service qui s’y rapporte désigné par l’organisation]

  1. dispose des autorisations d’accès requises en fonction des [Affectation : responsabilités gouvernementales officielles définies par l’organisation] qui ont été attribuées
  2. satisfasse aux critères additionnels de filtrage de sécurité du personnel définis par l’organisation : [Affectation : critères additionnels de sélection du personnel définis par l’organisation]
Contrôle Non sélectionné s.o. s.o. SA 21(01) Filtrage de sécurité des développeuses et développeurs Filtrage de sécurité des développeuses et développeurs : Validation du filtrage de sécurité
Annulé : Intégré au contrôle SA-21. s.o. s.o. s.o. s.o. SA 22 Composants de systèmes non pris en charge
  1. Remplacer les composants des systèmes lorsqu’ils ne sont plus pris en charge par les développeuses, les développeurs, les fournisseurs ou les fabricants
  2. Offrir les options suivantes pour les solutions de rechange visant à assurer la continuité du soutien des composants non pris en charge faisant l’objet d’un [Sélection (un choix ou plus) : soutien interne; [Affectation : soutien offert par des fournisseurs externes défini par l’organisation]]
Contrôle Sélectionné s.o. s.o. SA 22(01) Composants de systèmes non pris en charge Composants de systèmes non pris en charge : Solution de rechange visant à assurer la continuité du soutien
Annulé : Intégré au contrôle SA-22. s.o. s.o. s.o. s.o. SA 23 Spécialisation Avoir recours [Sélection (un choix ou plus) : à la conception; à la modification; au renforcement; à la reconfiguration] des [Affectation : systèmes ou composants de systèmes désignés par l’organisation] prenant en charge des services ou des fonctions essentiels à la mission pour renforcer la robustesse de ces systèmes ou composants. Activité Non sélectionné s.o. s.o. SA 400 Souveraineté et juridiction Exiger que les fonctions opérationnelles de l’organisation respectent un processus d’évaluation des menaces et des risques en matière de souveraineté et de juridiction au [Sélection (un choix ou plus) : niveau de l’organisation; niveau de la mission et des activités; niveau du système] qui consiste à

  1. procéder à l’évaluation des préjudices pour déterminer les préjudices potentiels maximaux qui pourraient être causés par une contrainte légale externe imposée aux fonctions organisationnelles ou aux ressources informationnelles en
    1. considérant les besoins opérationnels en matière de sécurité, y compris les lois ou la réglementation qui exigent que les données ne soient pas divulguées ou compromises
    2. mettant à jour la catégorisation de la sécurité des fonctions organisationnelles ou des ressources informationnelles
    3. documentant les conséquences négatives de la contrainte légale
  2. procéder à l’évaluation des menaces propres à la juridiction pour établir la probabilité d’être pris pour cible
  3. effectuer une évaluation des vulnérabilités pour déterminer les moyens potentiels que la juridiction externe pourrait utiliser pour exploiter les fonctions organisationnelles ou les ressources informationnelles
  4. procéder à l’évaluation des risques propres à la juridiction
Contrôle Sélectionné s.o. s.o. SA 400(01) Souveraineté et juridiction Souveraineté et juridiction : Évaluation des menaces et des risques
Exiger que l’organisation effectue des évaluations des menaces et des risques qui pèsent sur la souveraineté des données en tenant compte de sa juridiction et des aspects pour lesquels des contraintes légales pourraient être efficaces. Contrôle Non sélectionné s.o. s.o. SA 400(02) Souveraineté et juridiction Souveraineté et juridiction : Évaluation d’ordre juridique et contractuel
Exiger que l’organisation effectue des évaluations des menaces et des risques qui pèsent sur la souveraineté des données en tenant compte de sa juridiction et des aspects pour lesquels des contraintes légales pourraient être efficaces. Contrôle Non sélectionné s.o. s.o. SA 400(03) Souveraineté et juridiction Souveraineté et juridiction : Marquage des attributs liés aux processus opérationnels
S’assurer que les processus opérationnels fassent l’objet du traitement prévu selon la compétence juridique. Contrôle Non sélectionné s.o. s.o. SA 400(04) Souveraineté et juridiction Souveraineté et juridiction : Protection des données au repos
Éviter que les données résident dans des territoires qui relèvent d’autres compétences juridiques. Contrôle Non sélectionné s.o. s.o. SA 400(05) Souveraineté et juridiction Souveraineté et juridiction : Protection des données en transit
Éviter que les données transitent par des territoires qui relèvent d’autres compétences juridiques. Contrôle Non sélectionné s.o. s.o. SA 400(06) Souveraineté et juridiction Souveraineté et juridiction : Protection des données en cours d’utilisation
Éviter que les données soient utilisées dans des territoires qui relèvent d’autres compétences juridiques. Contrôle Non sélectionné s.o. s.o. SA 400(07) Souveraineté et juridiction Souveraineté et juridiction : Protection contre les contraintes extraterritoriales
Prévenir la compromission des fonctions opérationnelles par des personnes ou des sociétés assujetties à une autre compétence juridique. Contrôle Non sélectionné s.o. s.o. SA 400(08) Souveraineté et juridiction Souveraineté et juridiction: Protection du cycle de vie des activités
Prévenir la compromission des fonctions opérationnelles dans le cadre d’attaques du cycle de vie découlant d’une contrainte légale ou menées depuis une autre compétence juridique. Contrôle Non sélectionné s.o. s.o. SA 400(09) Souveraineté et juridiction Souveraineté et juridiction: Propriété publique
Prévenir la compromission des fonctions opérationnelles lors d’un transfert de propriété des fonctions du cycle de vie à une autre compétence juridique. Contrôle Non sélectionné s.o. s.o.