Difference between revisions of "GC Enterprise Architecture/Framework/SecurityGuide"

From wiki
Jump to navigation Jump to search
(Try reformatting)
m
Line 116: Line 116:
  
  
==== Architecture de sécurité ====
+
== Architecture de sécurité ==
Le Programme de l’architecture de sécurité intégrée du GC est une initiative pangouvernementale visant à fournir une approche normalisée pour l’élaboration de l’architecture de sécurité des TI, afin de s’assurer que les blocs de sécurité de base sont mis en place dans l’ensemble de l’organisation à mesure que l’infrastructure est renouvelée.  
+
Le Programme de l’architecture de sécurité intégrée du GC est une initiative pan gouvernementale visant à fournir une approche normalisée pour l’élaboration de l’architecture de sécurité des TI, afin de s’assurer que les blocs de sécurité de base sont mis en place dans l’ensemble de l’organisation à mesure que l’infrastructure est renouvelée.  
{| class="wikitable"
+
 
|'''Intégrer la sécurité dans le cycle de vie du système, dans toutes les couches architecturales'''
+
=== Intégrer la sécurité dans le cycle de vie du système, dans toutes les couches architecturales ===
|
+
 
* Déterminer et catégoriser les renseignements en fonction du degré de préjudice qui pourrait résulter de la compromission de leur confidentialité, de leur intégrité et de leur disponibilité;
+
==== Déterminer et <u>[https://www.gcpedia.gc.ca/wiki/Security_Categorization_Tool catégoriser]</u> les renseignements en fonction du degré de préjudice qui pourrait résulter de la compromission de leur confidentialité, de leur intégrité et de leur disponibilité ====
* Mettre en place une approche de sécurité continue, conformément au Cadre de gestion des risques liés à la sécurité des TI du CCC; effectuer la modélisation des menaces pour réduire au minimum la surface d’attaque en limitant les services exposés et l’information échangée au minimum nécessaire;
+
 
* Appliquer des mesures de sécurité proportionnées répondant aux besoins des entreprises et des utilisateurs tout en protégeant adéquatement les données au repos et les données en transit;
+
===== Comment pour l'atteindre: =====
* Concevoir des systèmes résilients et disponibles pour soutenir la continuité de la prestation du service.
+
 
|-
+
* Résumer comment l'architecture assure la confidentialité des information en fonction de leur categorization et du degré de blessure
|'''Assurer un accès sécurisé aux systèmes et aux services'''
+
* Résumer comment l'architecture assure l'intégrite de l'information en fonction de leur categorization et du degré de blessure
|
+
* Résumer comment l'architecture assure la disponibilité de l'information en fonction de leur categorization et du degré de blessure
* Identifier et authentifier les personnes, les processus ou les appareils à un niveau d’assurance approprié, en fonction de rôles clairement définis, avant d’accorder l’accès à l’information et aux services; tirer parti des services d’entreprise comme les solutions d’identité numérique de confiance du gouvernement du Canada qui sont appuyées par le Cadre de confiance pancanadien;
+
 
* Limiter les interfaces de service aux entités autorisées (utilisateurs et dispositifs) ayant des rôles clairement définis; segmenter et séparer l’information en fonction de sa sensibilité, conformément aux documents LDSTI-22 et LDSTI-38. Les interfaces de gestion peuvent nécessiter des niveaux de protection accrus;
+
==== Mettre en place une approche de sécurité continue, conformément au <u>[https://cyber.gc.ca/en/guidance/it-security-risk-management-lifecycle-approach-itsg-33 Cadre de gestion des risques liés à la sécurité des TI du CCC]</u>; effectuer la modélisation des menaces pour réduire au minimum la surface d’attaque en limitant les services exposés et l’information échangée au minimum nécessaire ====
* Mettre en œuvre des protocoles HTTPS pour les connexions Web sécurisées et d’authentification des messages fondée sur le domaine, rapports et conformité (DMARC) pour améliorer la sécurité des courriels;
+
 
* Établir des interconnexions sécurisées entre les systèmes à l’aide d’IPA sécuritaires ou tirer parti des services de connectivité des TI hybrides gérés de manière centralisée.
+
==== Appliquer des mesures de sécurité proportionnées répondant aux besoins des entreprises et des utilisateurs tout en protégeant adéquatement les données au repos et les données en transit ====
|-
+
 
|'''Maintenir des opérations sécurisées'''
+
===== Concevoir des systèmes résilients et disponibles pour soutenir la continuité de la prestation du service =====
|
+
 
* Établir des processus pour maintenir la visibilité des biens et assurer l’application rapide des correctifs et des mises à jour liés à la sécurité afin de réduire l’exposition aux vulnérabilités, conformément au Guide de gestion des correctifs du GC;
+
=== Assurer un accès sécurisé aux systèmes et aux services ===
* Permettre la consignation des événements, conformément au Guide sur la consignation des événements du GC, et effectuer la surveillance des systèmes et des services afin de détecter les attaques, de les prévenir et d’y réagir;
+
 
* Établir un plan de gestion des incidents conforme au Plan de gestion des événements de cybersécurité du GC (PGEC GC) et signaler les incidents au Centre canadien pour la cybersécurité (CCC).
+
==== Identifier et authentifier les personnes, les processus ou les appareils à un niveau d’assurance approprié, en fonction de rôles clairement définis, avant d’accorder l’accès à l’information et aux services; tirer parti des services d’entreprise comme les solutions d’identité numérique de confiance du gouvernement du Canada qui sont appuyées par le Cadre de confiance pan canadien ====
|}
+
 
 +
==== Limiter les interfaces de service aux entités autorisées (utilisateurs et dispositifs) ayant des rôles clairement définis; segmenter et séparer l’information en fonction de sa sensibilité, conformément aux documents LDSTI-22 et LDSTI-38. Les interfaces de gestion peuvent nécessiter des niveaux de protection accrus ====
 +
 
 +
==== Mettre en œuvre des protocoles HTTPS pour les connexions Web sécurisées et d’authentification des messages fondée sur le domaine, rapports et conformité (DMARC) pour améliorer la sécurité des courriels ====
 +
 
 +
==== Établir des interconnexions sécurisées entre les systèmes à l’aide d’IPA sécuritaires ou tirer parti des services de connectivité des TI hybrides gérés de manière centralisée ====
 +
 
 +
=== Maintenir des opérations sécurisées ===
 +
 
 +
==== Établir des processus pour maintenir la visibilité des biens et assurer l’application rapide des correctifs et des mises à jour liés à la sécurité afin de réduire l’exposition aux vulnérabilités, conformément au Guide de gestion des correctifs du GC ====
 +
 
 +
==== Permettre la consignation des événements, conformément au Guide sur la consignation des événements du GC, et effectuer la surveillance des systèmes et des services afin de détecter les attaques, de les prévenir et d’y réagir ====
 +
 
 +
==== Établir un plan de gestion des incidents conforme au Plan de gestion des événements de cybersécurité du GC (PGEC GC) et signaler les incidents au Centre canadien pour la cybersécurité (CCC) ====
 +
 
  
 
</multilang>
 
</multilang>

Revision as of 10:23, 26 July 2021



Security architecture[edit | edit source]

The GC Enterprise Security Architecture program is a government‑wide initiative to provide a standardized approach to developing IT security architecture, ensuring that basic security blocks are implemented across the enterprise as the infrastructure is being renewed.

Build security into the system life cycle across all architectural layers[edit | edit source]

identify and categorize information based on the degree of injury that could be expected to result from a compromise of its confidentiality, integrity and availability[edit | edit source]

How to achieve:[edit | edit source]
  • Summarize how the architecture ensures the confidentiality of the information based on its categorization and degree of injury
  • Summarize how the architecture ensures the integrity of the information based on its categorization and degree of injury
  • Summarize how the architecture ensures the availability of the information based on its categorization and degree of injury


implement a continuous security approach, in alignment with Centre for Cyber Security’s IT Security Risk Management Framework; perform threat modelling to minimize the attack surface by limiting services exposed and information exchanged to the minimum necessary[edit | edit source]

How to achieve:[edit | edit source]
  • Summarize how the architecture aligns with the Centre of Cyber Security’s IT Security Risk Management Framework


apply proportionate security measures that address business and user needs while adequately protecting data at rest and data in transit[edit | edit source]

How to achieve:[edit | edit source]
  • Describe the security measures that protect the data at rest while meeting business and users needs
  • Describe the security measures that protect the data in transit while meeting business and users needs

design systems to be resilient and available in order to support service continuity[edit | edit source]

How to achieve:[edit | edit source]
  • Outline the architecture’s resilient characteristics support service continuity objectives
  • Outline the architecture’s availability characteristics support service continuity objectives
Tools:[edit | edit source]
  • Non-functional Requirements

Ensure secure access to systems and services[edit | edit source]

identify and authenticate individuals, processes or devices to an appropriate level of assurance, based on clearly defined roles, before granting access to information and services; leverage enterprise services such as Government of Canada trusted digital identity solutions that are supported by the Pan‑Canadian Trust Framework [edit | edit source]

How to achieve:[edit | edit source]
  • Summarize how the architectures identifies and authenticates:
    • Individuals
    • Processes
    • Devices
  • Summarize the enterprise security services leverage by the architecture
  • Summarize how the architecture aligns to the Pan-Canadian Trust Framework
Tools:[edit | edit source]
  • Target State Architecture
  • Interim State Architecture

constrain service interfaces to authorized entities (users and devices), with clearly defined roles; segment and separate information based on sensitivity of information, in alignment with ITSG‑22 and ITSG‑38. Management interfaces may require increased levels of protection[edit | edit source]

How to achieve:[edit | edit source]
  • Summarize how the architecture constrains service interfaces to authorized entities in compliance to:
    • ITSG-22, and;
    • ITSG-38.

implement HTTPS for secure web connections and Domain-based Message Authentication, Reporting and Conformance (DMARC) for enhanced email security[edit | edit source]

How to achieve:[edit | edit source]
  • Does the architecture use HTTPS for secure web connections
  • Does the architecture use and Domain-based Message Authentication, Reporting and Conformance (DMARC) for enhanced email security


establish secure interconnections between systems through secure APIs or leveraging centrally managed hybrid IT connectivity services[edit | edit source]

How to achieve:[edit | edit source]
  • Outline what (APIs or centrally managed hybrid IT connectivity services )the architectures established secure interconnections between systems
Tools:[edit | edit source]
  • Target State Architecture
  • Interim State Architecture

Maintain secure operations[edit | edit source]

establish processes to maintain visibility of assets and ensure the prompt application of security‑related patches and updates in order to reduce exposure to vulnerabilities, in accordance with GC Patch Management Guidance[edit | edit source]

How to achieve:[edit | edit source]
  • Have processes been established to ensure the prompt application of security related patches and updates?
  • Summarize how the architecture supports these processes


enable event logging, in accordance with GC Event Logging Guidance, and perform monitoring of systems and services in order to detect, prevent, and respond to attacks[edit | edit source]

How to achieve:[edit | edit source]
  • Summarize how event logging within the architecture aligns to GC Event Logging Guidance in the areas of:
    • Attack detection
    • Attack prevention
    • Attack respond

establish an incident management plan in alignment with the GC Cyber Security Event Management Plan (GC CSEMP) and report incidents to the Canadian Centre for Cyber Security[edit | edit source]

How to achieve:[edit | edit source]
  • Describe how incident management plan aligns to GC Cyber Security Event Management
  • Describe how incidents are reported to the Canadian Centre for Cyber Security (CCSB)