Embed Size (px)
Citation preview
1
Présentation à GP-Québec
Les outils pratiques de gouvernance de la
sécurité de l’information
Par Mario Lapointe ing. MBA CISA CGEIT
RSIN, CARRA
Direction principale des affaires juridiques et
de la sécurité de l’information, juin 2011
Ce contenu est préparé exclusivement pour cet événement
2
Contenu de la présentation
Architecture d’entreprise gouvernementale
Modèle de gestion de la sécurité de l’information gouvernementale
Architecture d’entreprise de la CARRA
Domaine d’affaires en sécurité de l’information
Plan triennal en sécurité de l’information 2011-2013 Bilan 2008-2010
Vision triennale
Plan triennal, plan d’action annuel
Contrat de service professionnel triennal
Les documents d’encadrement Politique de sécurité
Politique administrative (2)
Cadre de gestion
Recueil de règles
Catégorisation des processus d’affaires
Gestion des identités et des accès, RUS et RPA
Processus de déclaration des incidents
Processus de demande de dérogation
Utilisation de la catégorisation pour construire
le tableau de bord SI
3
La CARRA
554 998 participants actifs aux différents régimes de retraite qu’elle administre.
301 905 prestataires, dont 274 309 retraités.
1 362 employeurs de la fonction publique, du réseau de l’éducation, du réseau de la santé et des services sociaux, ainsi que des secteurs municipal et supramunicipal.
Régimes de retraite notoires administrés : les députés de l’Assemblé nationale, les policiers de la Surêté du Québec et les juges de la Cour du Québec.
Implantation, en juin 2010, de la solution RISE (Renouvellement et intégration des systèmes essentiels) qui vient changer considérablement le visage de la CARRA
4
Architecture d’entreprise gouvernemental
Id-G.Q
+
Preuves id. G.Q.Usager
Gouvernemental
(Citoyen-entreprise)
(autres…)
Comptoir
Guichets Guichets gouvernementauxgouvernementaux
Portail
Centre contact
RVI
Offre de servicesOffre de services
gouvernementalegouvernementale
Dossier Usager-rôleGouvernemental
MO-1
MO-n
MO-2
Réseau
Municipalités
Réseau Santé
Réseau Éducation
Organisations publiques
Canada, Provinces, pays
Services gouvernementaux communsServices gouvernementaux communs
Service adm. Service Tech.
Organisations privées
Banques, commerces, …Id
G.Q
Id
G.Q
5
Modèle de gestion de la sécurité de l’information
gouvernementale
RSI auprès du dirigeantRSI dans une direction des
ressources informationnelles
6
Architecture d’entreprise de la CARRA
Domaines et fonctions d’affaires
Prestation de services
Support à la prestation de services
Gestion interne
….
Sécurité de l’information
7
Domaine d’affaires SI
1. Administré la sécurité de
l’information
2. Gérer les risques
3. Surveiller les actifs
4. Gérer les identités et les accès
5. Prendre en charge les incidents
de sécurité
6. Intégré la sécurité aux opérations
7. Assurer la continuité des services
8. Assurer les obligations légales
9. Effectuer la reddition globale des
bilans et des rapports
8
Plan triennal en sécurité de l’information 2011-2013
Bilan 2008-2010
9
Plan triennal en sécurité de l’information 2011-2013
Vision triennale Approche préconisée
Objectifs CARRA
Préoccupations
d’affaires
(Priorisation)- Présidente
- Vice-président
- Vice-présidente
Mission CARRA
Objectifs
stratégiques
- Activités prioritaires
organisationnelles
Gouvernance SIObjectifs
Tactiques
- Activités structurantes
Augmentation
maturité requis
pour la CARRA
Profil des
ressources
Compétence
expérience
Grille de
pointage
A
B
Plan d’actions SI
2011-2013
Nouveaux
processus
d’affaires en
SI
Activités à faire
pour chaque
processus
Catégorisation
- Détenteurs
- Processus
- Données
Plan
d’action
SIN
2008-2010
Plan
d’action
CSIPRP
Bilan et
grille de
maturité
actuelle
Appel d’offres
2011-2013
Activités
structurantes
priorisés
10
Plan triennal en sécurité de l’information 2011-2013
4 préoccupations d’affaires ont été recensées:
Nouveaux processus
d’affaires (RISE)
Nouveau
système
intégré
(RISE)
Données
de
mission
Offre de service de la CARRA
(PES employeur)
1. Contenir les risques d’affaires
2. S’approprier la solution RISE
3. Intégrer les nouveaux
processus d’affaires
4. Faire évoluer l’offre de services
11
Plan triennal en sécurité de l’information 2011-2013
Quatre (4) blocs d’activités sont présentés dans le plan triennal
1. Les activités prioritaires en gouvernance SI pour répondre aux préoccupations de la CARRA
2. Les activités structurantes permettant d’outiller les processus de gouvernance en SI(passage du modèle RSIN à RSI)
3. Les activités d’amélioration de la gestion de la SI qui bonifient les documents d’encadrement en SI(Concept CGSI ISO 27001)
4. Les activités récurrentes en SI nécessaires au soutien des activités opérationnelles de la CARRA
1. Activité de gouvernance en sécurité
2. Support à l’organisation
3. Support administratif
12
Plan triennal en sécurité de l’information 2011-2013
Mandat gouvernance de la sécurité de l’information 2011-2013
Volet gouvernance de la sécurité de l’information
Ressources stratégiques
Spécialiste en gouvernance et chargé de projet
Spécialiste en processus d’affaires
Spécialiste en gestion des risques
Ressources d’appoint
Spécialiste en méthodologie
Expert en gestion de la qualité
Spécialiste en gestion du changement
Volet communication Spécialiste en communication
Spécialiste en conception médiatique
Spécialiste en gestion de crises
13
Documents d’encadrement
Politique de sécurité
Protéger l’information durant tout son cycle de vie
Protéger les renseignements confidentiels
Protéger l’intégrité, les preuves et la valeur juridique
Gérer la disponibilité
Assurer la conversation des documents
Gérer la cohérence
Évaluer et prendre en compte les risques en sécurité de l’information
Assurer la continuité des services
Responsabiliser les intervenants
Sensibiliser et former
Exercer l’habilitation professionnelle
Signaler les incidents
Respecter la propriété intellectuelle
Exercer un droit de regard et d’intervention
14
Documents d’encadrement
Politique administrative sur les actifs informationnels(diffusée dans les appels d’offres)
Dimension juridique
Dimension humaine Sécurité appliquée au personnel
Éthique
Dimension organisationnelle Structure administrative
Sécurité physique
Sécurité des opérations
Surveillance
Dimension technologique Intégrité
Identification et authentification
Gestion des identités et de l’accès
Confidentialité
Disponibilité
Administration
15
Documents d’encadrement
Politique administrative sur la sécurité de l’information
Catégorisation
Gestion de l’identité et des accès
Surveillance
Échanges
Stockage
Traitement des vulnérabilités
Destruction sécuritaire des documents
Intégrer la sécurité aux opérations de développement
Protection des renseignements personnels dans les projets
Continuité des services
Ressources humaines
Administration
16
Cadre de gestion
CA
VPSC
DCC
DSP
DSPE
DPAO DPRF
DRH
DCDPST
DSA
DTE
RUSCAS
CAURPA
RSD RSA
RSO
RSP
CSIPRP
présidé
par le RSI
CTSI présidé par le
RSIN
TGSI
présidé par
le RSI
TPAI présidé par
le RSIN
TGIA présidé
par le RSIN
DPAJSIRGRC
RSIN
DPST
RGD
DPRFDPST
CR
RIS
RCTI
Informe
Rend
compteInforme
Rend
compte
InformeInforme
Rend
compte
Informe
DPAO
RSI
DVI
RSIN
RSIN
RSI
RSI
RSIN
RSIRSI
RSIN
17
Recueil de règles
Ce document est à l’intention particulière des intégrateurs en sécurité qui sont responsables d’assurer le respect des orientations et règles en sécurité lors de tout changement aux processus, applications ou technologies de la CARRA.
Le document se veut également une référence aux divers projets qui peuvent s’y référer afin de les aider à comprendre les exigences de sécurité et faciliter leurs échanges avec l'intégrateur en sécurité.
Ainsi, en recensant dans un même document l’ensemble des règles de sécurité applicables à la CARRA, ce document a les objectifs suivants : Aider les intégrateurs, réviseurs et approbateurs de solutions d’affaires à
valider que la solution proposée respecte les règles de sécurité;
Guider les concepteurs de solutions d’affaires à concevoir et implanter des
solutions sécuritaires.
L’accès à ce document est limité
18
Catégorisation des processus d’affaires
Le registre d’autorité est utilisé pour identifier le détenteur d’un processus d’affaires ou d’un actif informationnel, entre autres, lors : du traitement d’une demande d’accès afin que le détenteur approuve l’accès à ses actifs; de l’élaboration d’une dérogation à la sécurité de l’information; le traitement d’un incident de sécurité.
Une fois constitué et catégorisé, le registre d’autorité sert de base à la protection des actifs informationnels. L’examen des niveaux d’impacts indiqués dans le registre permet d’identifier les processus et les actifs qui doivent être sécurisés en priorité par des mesures efficaces.
La fonction de sécurité « disponibilité » est en relation avec les services essentiels du programme de gestion de la continuité (PGC) de la CARRA. Ainsi, un processus qui aurait un niveau d’impact très important (niveau 4) présente un facteur permettant d’identifier ce processus comme étant un « service essentiel ».
Processus Disponibilité Intégrité Confidentialité
CL0305 - Faire le suivi des demandes 2 4 3
Activités
01 - Traiter les règles d'affaires du suivi des demandes 1 1 1
02 - Traiter les règles d'affaires des relances 1 4 3
03 - Gérer les relances 2 1 2
04 - Traiter les règles d'affaires des alertes 1 1 1
05 - Gérer les alertes 1 2 1
Maximum 2 2 3
19
Gestion des identités et de accès
La gestion des identités et des accès (GIA) vise à gérer les identités et à contrôler les droits d’accès des utilisateurs
Deux types de profil
Administratif : accès bureautique (répertoire, imprimante)
Applicatif : accès relié à la tâche (applications d’affaires)
Deux rôles
Représentant utilisateurs en sécurité (RUS)
Assiste le directeur pour la gestion des codes d’identités et des accès
Responsable de profils d’accès (RPA)
Faire évoluer les profils administratifs
Traite toute demande d’évolution de profil de tâches
20
Processus de déclaration d’un incident
L’employé avise son gestionnaire
d’une situation aux conséquences
néfastes.
Le gestionnaire prend l’incident en
charge et détermine sa nature.
Le RSIN réalise les activités de
gestion de l’incident et élabore le
plan de mise en œuvre des
corrections
Une reddition de compte est
effectuée aux autorités
21
Processus de demande de dérogation
2ième étape 4ième étape3ième étape1ière étape
2 jours
Processus de gestion des avis de sécurité et dérogation
5ième étape
4 jours 3 jours 2 jours
2009-07-23 v_0.5
11 jours
La demande est-elle autorisée
Non
Oui
La demande est-elle autorisée
Non
Oui
Demande complétée
Clôture du processus
Obtenir l’autorisation du gestionnaire du demandeur
Début du processus
RAPRP doit remplir la section III
Faire suivre la demande
Faire suivre la demande au demandeur
Transmission finale de la demande
complétée
Remplir la section IV
Le RSIN collabore avec le demandeur afin de
compléter la section I de la demande et
attribue un numéro à la demande
(année, mois, jour : 20090714)
Le gestionnaire fait suivre la demande
approuvée
Transmission au détenteur
Complète la section II en y
inscrivant les risques et impacts
1
2
3
4
5
8
910
11
12
13
14
16
RSO est impliquée?
RSO fait part
de ses
commentaires
par courriel
Non
Oui
6
7
Demandeur et le
gestionnaire
RSIN DAJ DétenteurDemandeur,
gestionnaire, RSO,
DAJ, détenteur, SAT
15
Décision
Séq
Légende
Début/fin
Processus
prédéfini
Document
Le demandeur et son gestionnaire
rédigent la demande de dérogation.
Le RSIN évalue la demande (risque
et impact) et propose des mesures
de sécurité appropriées.
Le RAPRT est invité à autoriser la
dérogation
Les détenteurs sont invités à
autoriser la dérogation
Le demandeur met en place les
mesures et utilisa la dérogation pour
la période convenue
Une reddition de compte est
effectuée aux autorités
22
La catégorisation vers un tableau de bord SI
Sécuriser les actifs informationnels
se basant sur le registre d’autorité
Besoins
d’affaires
RISE
Projets
structurants
SIN à SI
Besoins
Domaine et fonctions
d’affaires de la CARRA
Processus d’affaires
Information
à sécuriser
Mesure de sécurité
à mettre en place
Indicateurs
de gestion en SI
Tableau de bord
en SI
Maturité
Risques identifiés
en fonction du degré de catégorisation
Conformités
- RISE(préoccupations
d’affaires)
- PRP
- VGQ
- VI
Dérogations
Gestion
des
incidents
Exigences
Lois
Règles gouv.
Ententes part.
Normes/Standards
Référentiels (ISO)
Catégorisation
23
Question ou commentaire?
