Glossaire de termes liés à la COMSEC utilisés dans les Directives
Transcription
Glossaire de termes liés à la COMSEC utilisés dans les Directives
NON CLASSIFIÉ Glossaire de termes liés à la COMSEC utilisés dans les Directives en matière de sécurité des TI du CST Novembre 2014 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Introduction Le présent glossaire contient une liste des termes et définitions utilisés dans les Directives en matière de sécurité des TI (ITSD) publiées par le Centre de la sécurité des télécommunications (CST) : Directive en matière de sécurité des TI sur l’application de la sécurité des communications à l’aide de solutions approuvées par le CST (ITSD-01A), janvier 2014; Directive en matière de sécurité des TI sur le contrôle du matériel COMSEC au sein du gouvernement du Canada (ITSD-03A), mars 2014; Directive sur l’utilisation de l’équipement COMSEC et des clés approuvés par le CST dans un réseau de communication (ITSD-04), novembre 2011; Directive sur le signalement et l’évaluation des incidents COMSEC touchant le matériel COMSEC comptable (ITSD-05), avril 2012; Directive sur le contrôle du matériel COMSEC dans le secteur privé canadien (ITSD-06), juin 2013; NOTA : Le présent glossaire s’applique également aux Doctrines canadiennes en matière de cryptographie publiées par le CST. Novembre 2014 1 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Glossaire Terme Définition Accès Capacité et possibilité de prendre connaissance ou de prendre possession d’une information ou d’un matériel, ou encore de modifier cette information ou ce matériel. Agence nationale de distribution (AND) Entité au sein de la collectivité canadienne de la sécurité des communications (COMSEC) chargée de la réception, de l'entreposage, de la distribution et de la disposition sécurisés du matériel COMSEC provenant du Centre de la sécurité des télécommunications, reçu d'un pays étranger ou à destination d'un pays étranger. Agent de sécurité du ministère (ASM) Personne chargée d'élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller un programme de sécurité du ministère qui soit conforme à la Politique sur la sécurité du gouvernement et aux normes qui s'y rattachent. Article cryptographique contrôlé (CCI) Système sécurisé d'information ou de télécommunications, ou composant cryptographique connexe, NON CLASSIFIÉ, mais régi par un ensemble spécial d'exigences en matière de contrôle au sein du Système national de contrôle du matériel COMSEC et portant la mention « article cryptographique contrôlé » (ou « CCI » lorsque l'espace est limité). Assurance élevée Attestation établissant qu'un produit ou système – grâce à la robustesse de ses contrôles de sécurité et des politiques, doctrines, processus et procédures connexes, et à l'évaluation et à la validation approfondies de sa conception et de son fonctionnement – est capable de protéger l'information et les communications du gouvernement du Canada nécessitant les contrôles de protection les plus stricts qui existent. Autorisation de sécurité Décision de la haute direction d'accepter le risque résiduel lié à l'exploitation d'un système d'information, basée sur le paquet d'autorisation de sécurité. Terme équivalent : accréditation. Autorité COMSEC du ministère (ACM) Personne désignée par l'agent de sécurité du ministère et responsable, devant celui-ci, d'élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller un programme de sécurité des communications du ministère qui soit conforme à la Politique sur la sécurité du gouvernement et aux normes qui s'y rattachent. Autorité de contrôle (AC) Entité désignée pour gérer l'utilisation et le contrôle opérationnels d'une clé attribuée à un réseau cryptographique. Autre ordre de gouvernement Organisme gouvernemental provincial, municipal et local (p. ex. organisme d’application de la loi). Bureau central des dossiers (COR) Bureau d'un ministère ou d'un organisme fédéral chargé de conserver les registres de matériel COMSEC comptable détenus par des éléments dont il est responsable. Bureau national des dossiers (NCOR) Entité du Centre de la sécurité des télécommunications chargée de superviser la gestion et la comptabilisation de tout le matériel COMSEC comptable produit au Canada ou confié à celui-ci. Novembre 2014 2 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Bureau national des incidents COMSEC (BNIC) Entité du Centre de la sécurité des télécommunications chargée de gérer les incidents liés à la sécurité des communications par l'enregistrement, la validation, l'évaluation et la fermeture des dossiers. Centre d'assistance en matière de matériel cryptographique (CAMC) Entité au sein du Centre de la sécurité des télécommunications chargée de tous les aspects liés à la commande des clés, y compris la gestion des privilèges, et responsable de la gestion du Bureau national des dossiers (NCOR) et de l'administration du centre d'assistance. Clé cryptographique Valeur numérique servant au contrôle des opérations de cryptographie, notamment le déchiffrement, le chiffrement, la génération de signatures, ou encore la validation de signatures. Clé de contact cryptographique (CIK) Clé électronique ou dispositif qui peut être utilisé pour accéder au mode sécurisé d'un équipement cryptographique. Clé électronique Clé stockée sur un support magnétique ou optique ou dans une mémoire électronique, transférée par transmission électronique ou chargée dans un équipement cryptographique. Clé NOIRE Clé chiffrée. Clé ROUGE Clé non chiffrée. Code de comptabilité (CC) Code numérique servant à indiquer les contrôles de comptabilité minimaux auxquels sont assujettis les articles de matériel de sécurité des communications (COMSEC) au sein du Système national de contrôle du matériel COMSEC. Code de comptabilité 1 (CC 1) Code numérique attribué au matériel COMSEC comptable physique et électronique faisant l'objet d'une comptabilité continue de la part du Bureau national des dossiers (NCOR) ou d'un bureau central des dossiers (COR), en fonction d'un numéro de série ou d'un numéro de registre, au sein du Système national de contrôle du matériel COMSEC (SNCMC). Code de comptabilité 2 (CC 2) Code numérique attribué au matériel COMSEC comptable physique faisant l'objet d'une comptabilité continue de la part du Bureau national des dossiers (NCOR) ou d'un bureau central des dossiers (COR), en fonction de la quantité, au sein du Système national de contrôle du matériel COMSEC (SNCMC). Code de comptabilité 4 (CC 4) Code numérique attribué au matériel COMSEC comptable physique ainsi qu'aux clés traditionnelles en format électronique qui, après réception initiale, font l'objet d'une comptabilité locale, en fonction d'un numéro de série ou d'un numéro de registre, au compte COMSEC responsable, au sein du Système national de contrôle du matériel COMSEC (SNCMC). Code de comptabilité 6 (CC 6) Code numérique attribué à une clé électronique faisant l'objet d'une comptabilité continue de la part du Bureau national des dossiers (NCOR) ou d'un bureau central des dossiers (COR), en fonction d'un numéro de série ou d'un numéro de registre, au sein du Système national de contrôle du matériel COMSEC (SNCMC). Novembre 2014 3 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Code de comptabilité 7 (CC 7) Code numérique attribué à une clé électronique qui, après réception initiale, fait l'objet d'une comptabilité locale en fonction d'un numéro de registre au compte COMSEC responsable, au sein du Système national de contrôle du matériel COMSEC (SNCMC). Collectivité des cinq Canada, Australie, Nouvelle-Zélande, Royaume-Uni et États-Unis. Compromission Accès, divulgation, destruction, suppression, modification, utilisation ou interruption non autorisé de biens ou de renseignements. Comptabilité locale Processus par lequel un gardien COMSEC enregistre et contrôle, dans le Système national de contrôle du matériel COMSEC, le matériel COMSEC qui n’a pas besoin d’être signalé au Bureau national des dossiers. Compte COMSEC Entité administrative, identifiée par un numéro unique, servant à assurer la comptabilité, la garde et le contrôle de matériel COMSEC comptable produit par l'entité ou confié à celle-ci. Compte COMSEC industriel du CST (CCIC) Entité du Centre de la sécurité des télécommunications chargée d'élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller le programme de sécurité des communications d'une entreprise privée et d'en assurer la conformité à la Politique sur la sécurité du gouvernement et aux instruments de politique connexes aux fins de gestion du matériel COMSEC comptable. Conditionnement protecteur Technique de conditionnement pour le matériel COMSEC qui décourage les pénétrations éventuelles, révèle les pénétrations effectives et empêche la visualisation ainsi que la copie du matériel COMSEC avant le moment où il sera exposé aux fins d'utilisation. CONFIDENTIEL Niveau de classification s’appliquant à l’information dont l'éventuelle compromission causerait, selon toute vraisemblance, préjudice à l’intérêt national. Lorsqu'il apparaît en lettres majuscules, le terme « CONFIDENTIEL » indique un niveau de sensibilité. Contrôle de l'accès Assurer l’accès autorisé aux biens à l’intérieur d’une installation ou de zones d'accès restreint, en effectuant le triage des visiteurs et du matériel aux points d'entrée par les membres du personnel, les gardes ou de façon automatisée et, lorsque requis, en surveillant leur déplacement à l’intérieur de l'installation ou des zones d'accès restreint en les accompagnant. CRYPTO Mise en garde et marque apposée sur un article cryptographique pour indiquer qu'il est assujetti à des contrôles particuliers régissant l'accès, la distribution, le stockage, la comptabilité, la disposition et la destruction. Cryptographique Relatif à la cryptographie. NOTA : Fréquemment remplacé par la forme abrégée « crypto » utilisée comme préfixe (p. ex. « cryptopériode » pour désigner une période cryptographique). Cryptopériode Laps de temps spécifique durant lequel une clé cryptographique est en vigueur. Novembre 2014 4 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Déverrouillé État d'un équipement cryptographique dont le mode sécurisé a été sollicité (p. ex. au moyen d'une clé de contact cryptographique [CIK], d'un numéro d'identification personnel [NIP] ou de l'usage conjoint d'une CIK ou d'un NIP et d'un mot de passe). Dispense Exemption de l’obligation de se conformer à une exigence COMSEC minimale précise, accordée par les Services à la clientèle en matière de COMSEC. Dispositif commun de remplissage (CFD) Famille d'équipements cryptographiques développés pour lire, transférer ou stocker des clés cryptographiques (p. ex. le KOI-18, le KYK-13 et le KYX15). Dispositif de gestion de palier 3 Équipement cryptographique permettant de stocker, de transporter et d’utiliser l’équipement et les systèmes cryptographiques approuvés par le Centre de la sécurité des télécommunications. Doctrine (Sécurité des TI) Règles et procédures fondamentales qui gouvernent les modalités de protection, de contrôle et d'utilisation de l'équipement, des systèmes et du matériel de sécurité des technologies de l'information, telles qu'elles sont promulguées par l'autorité nationale responsable. Doctrine canadienne en matière de cryptographie (CCD) Normes de sécurité minimales permettant de protéger, de contrôler et d'utiliser l'équipement et les systèmes cryptographiques approuvés par le Centre de la sécurité des télécommunications. Élément local Personne inscrite auprès d'un compte COMSEC ou d'un sous-compte COMSEC, qui est autorisée à recevoir du matériel COMSEC provenant du compte ou sous-compte en question. Entente de contrôle du matériel COMSEC comptable (ECMCC) Entente ayant force obligatoire conclue entre le Centre de la sécurité des télécommunications et une entité (du gouvernement ou du secteur privé canadien) ne figurant pas aux annexes I, I.1, II, IV et V de la Loi sur la gestion des finances publiques, qui autorise l’acquisition, la comptabilisation, le contrôle, la gestion et la disposition finale du matériel de sécurité des communications. Équipe de vérification COMSEC à l’échelle nationale (EVCN) Entité du Centre de la sécurité des télécommunications chargée de mener les vérifications COMSEC sur les comptes COMSEC au sein du Système national de contrôle du matériel COMSEC. Équipement cryptographique Équipement qui exécute les fonctions de chiffrement, de déchiffrement, d'authentification ou de génération de clés. Évaluation de sécurité Processus qui consiste à s'assurer que les exigences de sécurité établies pour un système d'information donné sont respectées et que les contrôles sont mis en œuvre correctement, fonctionnent comme il se doit et produisent les résultats escomptés. Terme équivalent : certification. Évaluation des menaces et des risques (EMR) Processus dont l'objectif est d'identifier les biens système, d'établir dans quelle mesure ces biens pourraient être compromis par des agents de menace, d'évaluer le niveau de risque que représentent les agents de menace par rapport aux biens et de recommander les mesures de protection permettant d'atténuer les effets produits par les agents de menace. Novembre 2014 5 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Exception Dérogation à une exigence COMSEC minimale précise, accordée après négociation par les Services à la clientèle en matière de COMSEC. Gardien COMSEC Personne désignée par l'autorité de sécurité des communications (COMSEC) d'un ministère comme responsable de la réception, de l'entreposage, de la distribution, de la comptabilité, de la disposition et de la destruction de tout le matériel COMSEC porté au compte COMSEC du ministère, ainsi que de l'accès à ce matériel. Gardien du sous-compte COMSEC Personne désignée par l'autorité COMSEC d'un ministère comme responsable de la réception, de l'entreposage, de la distribution, de la comptabilité, de la disposition et de la destruction de tout le matériel COMSEC porté au sous-compte COMSEC, ainsi que de l'accès à ce matériel. Gestion des clés Procédures et mécanismes de génération, de distribution, de remplacement, de stockage, d'archivage et de destruction des clés cryptographiques. Incident compromettant Incident donnant lieu à la perte de contrôle ou à l'accès physique ou visuel non autorisé à du matériel COMSEC comptable et pouvant avoir de fâcheuses conséquences sur la sécurité des opérations. Incident COMSEC Tout événement qui met en péril ou pourrait mettre en péril la sécurité de renseignements classifiés ou protégés du gouvernement du Canada pendant leur stockage, leur traitement, leur transmission ou leur réception. Installation centrale canadienne (ICC) Entité au sein du Centre de la sécurité des télécommunications qui fournit des services centralisés de gestion des clés cryptographiques. Intégrité par deux personnes (TPI) Procédure selon laquelle les clés TRÈS SECRET et d'autres clés particulières ne doivent jamais être manutentionnées par une seule personne ou mises à la disposition d'une seule personne. Intérêt national La sécurité du Canada ainsi que sa stabilité sociale, politique et économique. Inventaire visuel Vérification physique de la présence de chaque article de matériel COMSEC porté à un compte COMSEC ou à un sous-compte COMSEC. Logique cryptographique Implémentation d'un ou de plusieurs algorithmes cryptographiques ainsi que d'alarmes, de contrôles et d'autres processus essentiels à l'exécution efficace et sécurisée de processus cryptographiques. Matériel COMSEC Ensemble d’articles conçus pour sécuriser ou authentifier l'information de télécommunications. Le matériel COMSEC comprend, sans s'y limiter, les clés cryptographiques, l'équipement, les modules, les dispositifs, les documents, le matériel informatique et les micrologiciels ou logiciels qui comportent ou décrivent une logique cryptographique et d'autres articles qui exécutent des fonctions COMSEC. Matériel COMSEC comptable (MCC) Matériel de sécurité des communications (COMSEC) qui nécessite un contrôle et une comptabilisation au sein du Système national de contrôle du matériel COMSEC conformément à son code de comptabilité et dont le transfert ou la divulgation risquerait de porter préjudice à la sécurité nationale du Canada. Novembre 2014 6 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Matériel COMSEC en cours de réalisation (IP) Matériel de sécurité des communications (COMSEC) en cours de développement, de production, de fabrication ou de réparation. Voir Matériel COMSEC. Matériel cryptographique Tout le matériel, y compris les documents, les dispositifs et l'équipement, qui contient de l'information cryptographique et qui est indispensable au chiffrement, au déchiffrement ou à l'authentification des communications. Matériel de chiffrement Clé, code ou information d'authentification sur support physique, électronique ou magnétique. Ministère du gouvernement du Canada (GC) Tout ministère, organisme, agence ou institution fédéral assujetti à la Politique sur la sécurité du gouvernement. Mis à la clé État d'un équipement cryptographique dans lequel une clé cryptographique a été chargée aux fins d'utilisation ou de stockage. Mise à clé par radiocommunication (OTAR) Changement d'une clé de chiffrement de trafic ou d'une clé de sécurité des transmissions dans un équipement cryptographique éloigné en envoyant la nouvelle clé directement à l'équipement en question sur les voies de communication qu’elle protège. Modification Tout changement apporté aux caractéristiques électriques, mécaniques ou logicielles d'une pièce d'équipement cryptographique. Non mis à la clé État d'un équipement cryptographique dans lequel aucune clé cryptographique n'a été chargée aux fins d'utilisation ou de stockage. Ordre de mission de messager Document qui autorise un particulier à transporter des renseignements et des biens classifiés ou protégés. Permutateur Dispositif utilisé dans un équipement cryptographique pour modifier l’ordre dans lequel les sorties du registre à décalage sont utilisées dans divers circuits non linéaires qui les combinent. Piste de vérification Enregistrement chronologique des activités d'un système permettant de reconstituer et d'examiner une séquence d'événements ou de changements survenus dans un événement (ou les deux). Plan de soutien lié au matériel de chiffrement (PSMC) Description détaillée des exigences en matière de sécurité des télécommunications visant un réseau cryptographique. Produit cryptographique de grande valeur (PCGV) Produit contenant uniquement des composants et des algorithmes cryptographiques NON CLASSIFIÉ. Il n’est ni classifié, ni désigné article cryptographique contrôlé. Remise Processus de distribution du matériel COMSEC d'un compte COMSEC à un sous-compte COMSEC ou à un élément local. Remplacement Remplacement programmé ou non d'une clé cryptographique ou d'une publication COMSEC par une version ou édition différente. Réseau cryptographique Au moins deux pièces d’équipement connectées l’une à l’autre, qui utilisent une clé cryptographique pour protéger de l'information. Novembre 2014 7 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Réseau de télécommunications Ensemble de terminaux, de liaisons ou de nœuds connectés entre eux et permettant les télécommunications entre les utilisateurs des terminaux. Responsabilité Obligation d’une personne de protéger et de contrôler le matériel COMSEC qui lui a été confié. ROUGE Désignation d’un système d’information (et des circuits, composants et équipement connexes) qui traite de l’information non chiffrée. Scellé Sceau de sécurité élevée antivol et inviolable apposé à un colis avant son expédition. Secteur privé canadien Organisations, entreprises ou personnes du Canada qui ne sont pas assujetties à la Loi sur la gestion des finances publiques (LGFP) et qui ne relèvent pas d'un gouvernement provincial ou municipal. Sécurité des communications (COMSEC) Application de mesures de sécurité cryptographique, de sécurité des transmissions et des émissions, et de sécurité physique, ainsi que de pratiques et de mécanismes de contrôle opérationnels, visant à empêcher tout accès non autorisé à l'information issue de télécommunications et à garantir l'authenticité desdites télécommunications. Sécurité des technologies de l'information Mesures de protection visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique. Segment de clé Clé valide pendant une cryptopériode déterminée. Services à la clientèle en matière de COMSEC Entité du Centre de la sécurité des télécommunications chargée de fournir des conseils et une orientation au gouvernement du Canada ainsi qu'aux organismes parrainés du secteur privé canadien, en vue de la planification, de l'acquisition et de l'exploitation de produits, de matériel COMSEC et de services d'assurance élevée. Sous-compte COMSEC Entité administrative désignée par un numéro unique, créée par un compte COMSEC pour aider au contrôle du matériel COMSEC produit par le compte COMSEC ou confié à celui-ci. Suivi local Processus par lequel un gardien COMSEC contrôle et surveille le déplacement des articles de matériel liés à la COMSEC en dehors du Système national de contrôle du matériel COMSEC. NOTA : Ce processus n'attribue aucun code de comptabilité. Support de stockage amovible (SSA) Dispositif portable utilisé pour transporter ou stocker des données (p. ex. disques, cartes mémoire, clés USB). Système national de contrôle du matériel COMSEC (SNCMC) Système centralisé, comprenant personnel, formation et procédures, qui permet aux ministères du gouvernement du Canada d'exercer un contrôle positif et d’effectuer un traitement efficace du matériel COMSEC comptable. Technologies de l'information (TI) Acquisition, traitement, stockage et diffusion de l'information vocale, graphique, textuelle et numérique au moyen d'une combinaison de matériel informatique, de systèmes de télécommunications et d'appareils vidéo. Novembre 2014 8 NON CLASSIFIÉ Glossaire de termes liés à la COMSEC Télécommunications Transmission, émission ou réception de signaux électriques porteurs de données par l'intermédiaire de fils, de câbles, de systèmes radios ou optiques ou par tout autre système électromagnétique. TEMPEST Analyse et étude des émissions compromettantes (EC). La transmission fortuite d’EC a pour effet de créer un canal de communication secondaire et indésirable appelé canal TEMPEST. Titre abrégé Combinaison de lettres et de chiffres attribuée à des articles COMSEC pour en faciliter la manutention, la comptabilité et le contrôle. Transfert Processus de distribution d'un matériel COMSEC d'un compte COMSEC à un autre compte COMSEC. Transfert par radiocommunication (OTAT) Distribution électronique d'une clé cryptographique sans changer la clé de chiffrement de trafic utilisée pour sécuriser la voie de communication. Utilisateur autorisé Aux fins des Directives en matière de sécurité, personne (autre que le gardien, le gardien suppléant ou l’élément local) qui doit utiliser du matériel COMSEC pour s’acquitter des tâches qui lui ont été assignées. Vérification Processus de revue et d'examen indépendants des enregistrements et des activités d’un système visant à tester l’adéquation des contrôles système, dans le but d'assurer la conformité aux politiques et aux procédures opérationnelles établies et de recommander les modifications qui s’imposent aux contrôles, aux politiques ou aux procédures. Verrouillé État d'un équipement cryptographique dont le mode sécurisé n'a pas été sollicité (p. ex. au moyen d'une clé de contact cryptographique [CIK], d'un numéro d'identification personnel [NIP] ou de l'usage conjoint d'une CIK ou d'un NIP et d'un mot de passe). Novembre 2014 9