CCNSS Édition 1



CCNSS Comité canadien chargé des Systèmes de Sécurité Nationale

BULLETIN

1re édition

Mars 2018

© Gouvernement du Canada
Le présent document est la propriété exclusive du gouvernement du Canada. Toute modification, diffusion à un public autre que celui visé, production, reproduction ou publication, en tout ou en partie, est strictement interdite sans l’autorisation expresse du CST.


Dans cette édition


Qu'est-ce que le CCNSS?

Le Comité canadien chargé des systèmes de sécurité nationale (CCSSN) a été institué par les sous-ministres responsables de la sécurité nationale pour gouverner des systèmes de sécurité nationale (SSN) du gouvernement du Canada (GC) qui soit assurée grâce à l’élaboration de normes nationales et des approches intégrées visant à promouvoir l’application permanente et uniforme de mesures de sécurité adéquates.

Le CCSSN a pour principal objet de veiller à la protection des SSN et de garantir l’interopérabilité des ressources employées par les membres de la collectivité canadienne de la sécurité et du renseignement et par les organismes alliés.

Un système de sécurité nationale (SSN) est un système canadien sur lequel des activités de sécurité nationale sont réalisées et protégées. L’information, les ressources et les biens liés à cette catégorie de système sont sensibles à un point tel que toute compromission risquerait de porter atteinte à la sécurité nationale du Canada ou de ses partenaires. Les mesures de sécurité mises en œuvre dans un SSN visent à le protéger contre les menaces les plus sophistiquées et à contrer ces menaces.

Le CCSSN est présidé par le Chef adjoint de la sécurité des technologies de l’information (CST), et consiste en un comité, un secrétariat et divers groupes de travail. Les membres, les participants au comité, au secrétariat et aux groupes de travail ainsi que les spécialistes proviennent des ministères et organismes membres. Le comité se réunit chaque trimestre et à d’autres intervalles au besoin.

Le comité est composé des sous-ministres adjoints du CST, du ministère de la Défense nationale, du Bureau du Conseil privé, de la Gendarmerie royale du Canada, du Service canadien du renseignement de sécurité, de Sécurité publique Canada, de Services partagés Canada, du Secrétariat du Conseil du Trésor et du ministère des Affaires mondiales Canada. Le CST assure la fonction de secrétariat en permanence, en support des activités du CCNSS.

Approbaton récente

Le 11 décembre 2017, le Comité canadien chargé des systèmes de sécurité nationale (CCSSN) a approuvé la Norme des contrôles de sécurité des systèmes de sécurité nationale et la Norme pour l’échange d’outils de collaboration dans les systèmes de sécurité nationale.

Bien que ces normes entrent en vigueur immédiatement, il est entendu que leur mise en œuvre au sein des ministères prendra du temps et nécessitera d’importants efforts. Au cours des prochains mois, veuillez-vous assurer de faire part de ces nouvelles normes à tous les intervenants de votre organisme et de consulter largement ces derniers au moment de planifier la stratégie de mise en œuvre des normes au sein de votre organisme.

Vous pouvez vous procurer des exemplaires de ces normes, sur demande, auprès du Secrétariat ou à partir du site Web du CCSSN sur le RCTS.

NORME DES CONTRÔLES DE SÉCURITÉ DES SYSTÈMES DE SÉCURITÉ NATIONALE
Objectif : mettre en place les critères requis pour une application uniforme des contrôles de sécurité qui seront utilisés pour la protection de tous les SSN applicables avant leur autorisation.
DÉFINITIONS PRINCIPES DE LA POLITIQUE CONFORMITÉ MISE EN ŒUVRE
Contrôles de sécurité : Il s’agit des mesures de protection qui sont conçues pour soutenir les activités opérationnelles des propriétaires de SSN et assurer la fiabilité de la protection des biens d’information et des fonctions opérationnelles qui sont effectuées.

Les principes de la politique nationale pour l’application des contrôle de sécurité dans l’ensemble des SSN sont les suivants :

  • Les contrôles découlent de directives nationales approuvées, de sources faisant autorité et de pratiques exemplaires;
  • Les contrôles correspondent aux besoins des partenaires et permettent les échanges de renseignements;
  • Les contrôles sont proportionnels à la nature sensible des renseignements et aux risques; et
  • Les rapports d’incident favorisent une meilleure connaissance de la situation et la gestion des menaces contre la sécurité, des vulnérabilités, l’évaluation des risques et la gestion des contrôles de sécurité.

La conformité envers cette norme sera complète lorsque les propriétaires de SSN mettront en œuvre les contrôle de sécurité prescrits dans le profil lié au SSN qui est autorisé, comme suit :

  • Les contrôles de sécurité seront établis en tenant compte de trois profils : profil de base (tous les SSN); profil classifié (tous les dépôts de SSN classifiés jusqu’au niveau TS sans mise en garde supplémentaire); et le profil compartimenté (qui compte des mises en garde); et
  • Chaque profil est complémentaire et cumulatif, donc les profils subordonnés doivent aussi être mis en œuvre.
La mise en œuvre fait en sorte que les objectifs de sécurité visant à assurer la confidentialité, l’intégrité et la disponibilité des données seront atteints dans le cadre des activités globales de gestion des risques définies dans une évaluation complète des menaces et des risques (EMR).


NORME POUR LA COMMUNICATION D’INFORMATION AU MOYEN D’OUTILS DE COLLABORATION DANS LES SYSTÈMES DE SÉCURITÉ NATIONALE
Objectif : présenter les principes qui gouvernent les échanges de renseignements de nature sensible au sujet des SSN et définir les exigences minimales en matière de politiques dont les ministères doivent tenir compte dans leurs politiques ou procédures.
DÉFINITIONS ÉNONCÉ DE POLITIQUE CONFORMITÉ MISE EN ŒUVRE
Outils de collaboration : Toute application système ou réseau qui permet aux utilisateurs d’échanger des informations entre eux (comprend les courriels et les environnements de collaboration sur le Web).

Les administrateurs généraux sont responsables de veiller à ce que tous les échanges d’informations effectués par les utilisateurs qui se trouvent dans leur ministère soient effectués en respectant les principes suivants :

  • Le partage d’information respecte les exigences législatives et des politiques nationales, notamment les lois habilitantes s’appliquant aux ministères; et
  • L’information est traitée de façon à réduire le risque de compromission de l’information en soi ou de l’actif de renseignement correspondant.

La conformité envers cette norme sera complète lorsque les procédures ministérielles qui respectent les principes de l’énoncé de politique seront mises en œuvre et traiteront ce qui suit :

  • Nomination d’une autorité ministérielle responsable de la collaboration liée aux SSN;
  • S’assurer que les échanges d’informations soient effectués dans le respect de la loi;
  • Exigences liées à la gestion des informations;
  • Protection des informations de nature sensible; et
  • Assurer la conformité.

La mise en œuvre commence par la mise en place d’une autorité ministérielle responsable de la collaboration liée aux SSN qui aura les responsabilités suivantes:

  • S’assurer que les procédures ministérielles sont en place avant d’approuver un outil de collaboration lié aux SSN;
  • Approuver l’utilisation d’outils de collaboration dans les SSN;
  • Créer un processus d’approbation gérant l’accès des utilisateurs aux outils de collaboration; et
  • S’assurer que les utilisateurs soient au courant des informations qui peuvent être partagées, avec qui elles peuvent l’être, et des conditions des échanges sur le traitement et la conservation des données, les responsabilités liées à l’AIPRP et à l’accès permis aux organes d’examen.

Discussion récente

Mise à jour des lignes directrices sur l’accès au matériel RÉSERVÉ AUX CANADIENS

Le CCSSN a récemment revu l’utilisation de la mention de contrôle relative à la diffusion RÉSERVÉ AUX CANADIENS (CEO pour Canadian Eyes Only) et son incidence sur la transmission de l’information aux Canadiens et aux étrangers qui font partie du personnel intégré au sein du gouvernement du Canada (GC). Par le passé, quelques ministères ont communiqué du matériel CEO à des membres étrangers du personnel intégré, qui sont traités comme Canadiens pendant leurs emploi au Canada, après leur avoir demandé de signer une entente de non-divulgation (END).

Comme l’intégration au sein des ministères du GC est de plus en plus importante, il est plus difficile de restreindre l’accès au matériel CEO. Cette connectivité accrue présente de nouveaux risques pour la sécurité du matériel CEO, et ce, même si la diffusion du matériel à des membres étrangers du personnel intégré part d’une bonne intention.

Le CCSSN demande aux organismes de revoir la façon dont ils utilisent les END pour donner accès à l’information nationale aux membres étrangers du personnel intégré, et de restreindre l’accès au matériel CEO aux Canadiens seulement, au plus tard le 31 décembre 2019.

Cette nouvelle directive concernant le matériel CEO sera énoncée dans la nouvelle Norme sur les mentions de contrôle de sécurité pour les systèmes de sécurité nationale qui sera publiée en 2018-2019.

Les représentants des ministères qui souhaitent discuter des retombées particulières sur leur organisme et obtenir de l’aide pour déterminer un calendrier de mise en œuvre adéquat peuvent communiquer avec le Secrétariat du CCSSN.

Ordre du jour des réunions

MAI 2018
Discussion
  • Sécurité physique
  • Norme sur l’évaluation et l’autorisation de sécurité (Décision)
Approbation de politique
  • Norme sur la sécurité des émissions (EMSEC)
  • Norme sur les mentions de système de contrôle
Approbation de principe
  • Norme sur ABAC/IDAM


SEPTEMBRE 2018
Discussion
  • Gestion des incidents
  • Gestion sur l’évaluation des menaces
  • Cadre de gestion du risque
Approbation de politique
  • Norme sur ABAC/IDAM
  • Norme sur l’évaluation et l’autorisation de sécurité
Approbation de principe
  • Sécurité physique

Contacez-nous

Il est possible de communiquer avec le Secrétariat du CCSSN à :

CCNSS-Secretariat-mdl@ctsn-rcts.gc.ca

CCNSS-Secretariat@cse-cst.gc.ca