Politique sur la gestion des incidents de sécurité de l information

Transcription

1 Plitique sur la gestin des incidents de sécurité de l infrmatin Versin : 1.4 N de dcument : 3539

2 Avis sur les drits d auteur 2015 cybersanté Ontari Tus drits réservés Aucune partie du présent dcument ne peut être reprduite sus quelque frme que ce sit, y cmpris la phtcpie et la transmissin par vie électrnique à un autre rdinateur, sans l autrisatin préalable de cybersanté Ontari par écrit. L infrmatin cntenue dans le présent dcument est la prpriété de cybersanté Ontari et ne peut être utilisée u diffusée qu avec l autrisatin expresse de cybersanté Ontari par écrit. Marques de cmmerce Les nms d autres prduits mentinnés dans le présent dcument purraient cnstituer des marques de cmmerce u des marques dépsées par leur sciété respective et snt recnnus cmme tels par la présente. Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin i

3 Plitique sur la gestin des incidents de sécurité de l infrmatin Objet La présente plitique a pur but de définir les exigences liées au prcessus administratif de créatin d un incident de sécurité de l infrmatin (un «incident»). Prtée La présente plitique ne s applique qu aux incidents liés à [la slutin de DSE] u à l équipe qui en est respnsable. Elle vise les éléments suivants dans le cas des dépsitaires de renseignements sur la santé (DRS) qui utilisent [la slutin de DSE] pur cnsulter, traiter u autrement manipuler des renseignements persnnels sur la santé (RPS) à l aide d une technlgie de gestin d identité lcale : les appareils d utilisateurs finaux servant à accéder à [la slutin de DSE], y cmpris les fnctins administratives applicables (gestin du cnsentement u rapprts, par exemple); le système de cntrôle de l accès et de gestin d identité du DRS (les «services de gestin d identité») qui gère les prcessus d authentificatin et d autrisatin dnnant accès à [la slutin de DSE] (slutin de service d émissin de jetns de sécurité de [la slutin de DSE], Active Directry Federatin Services 2.0 de Micrsft u autre); tute cnnexin directe au prtail du furnisseur de [la slutin de DSE] et aux fnctins administratives de cette dernière, ce qui cmprend les cmpsants cnnectés (pare-feu, serveur mandataire, etc.); l intégratin du prtail du furnisseur de [la slutin de DSE] au système d infrmatin lcal du DRS u à l applicatin de gestin des dssiers médicaux électrniques. Elle vise plutôt les incidents survenant aux éléments suivants dans le cas des DRS qui utilisent [la slutin de DSE] pur vir, traiter u autrement manipuler des RPS à l aide du service ONE ID de cybersanté Ontari : les appareils d utilisateurs finaux servant à accéder à [la slutin de DSE], y cmpris les fnctins administratives applicables (gestin du cnsentement u rapprts, par exemple); tute cnnexin directe aux fnctins administratives de [la slutin de DSE], ce qui cmprend les cmpsants cnnectés (pare-feu, serveur mandataire, etc.). Dans le cas des DRS qui créent et versent des RPS dans le dépôt de dnnées cliniques de [la slutin de DSE], la présente plitique, en plus de ce qui est prévu pur les sites qui ne fnt que cnsulter les dnnées, s applique aux incidents survenant aux éléments suivants : les terminaux d envi de dnnées qui furnissent des RPS au dépôt de dnnées cliniques de [la slutin de DSE]; les technlgies de l infrmatin et les prcessus qui assurent la qualité des dnnées envyées (la mise en crrespndance de la terminlgie, par exemple). Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 1

4 La plitique ne s applique pas au traitement d incidents survenant au sein des DRS ni aux DRS, à leurs mandataires et à leurs furnisseurs de services électrniques qui ne créent pas, ne versent pas et ne cnsultent pas de RPS dans [la slutin de DSE]. Définitins [la slutin de DSE] : Slutin utilisée, y cmpris les systèmes cnnexes, pur stcker et rendre accessibles les renseignements persnnels sur la santé cntenus dans les systèmes de renseignements électrniques sur la santé des dépsitaires de renseignements sur la santé et qui sert dnc de dépôt unique de ces renseignements lrsque de tels dépôts n existent pas à l échelle prvinciale u réginale, ce qui réduit la charge exercée sur les systèmes surces. Exclut tus les systèmes d infrmatin et les technlgies de l infrmatin des dépsitaires de renseignements sur la santé participants. Atteinte à la vie privée : Terme englbant les circnstances suivantes : une infractin à la Li de 2004 sur la prtectin des renseignements persnnels sur la santé (LPRPS) u sn règlement a eu lieu u est sur le pint de survenir; les dispsitins sur la prtectin des renseignements persnnels des ententes applicables u de tute autre entente cncernant [la slutin de DSE] nt été vilées u snt sur le pint de l être; les plitiques, prcédures et pratiques sur la prtectin des renseignements persnnels mises en œuvre cncernant [la slutin de DSE] nt été vilées u snt sur le pint de l être; des renseignements persnnels sur la santé dans [la slutin de DSE] nt été perdus u vlés, u une persnne nn autrisée a accédé u est sur le pint d accéder à ces renseignements; les registres de renseignements persnnels sur la santé dans [la slutin de DSE] nt été cpiés, mdifiés u supprimés de manière nn autrisée u snt sur le pint de l être. Chef de la sécurité de l infrmatin de l équipe de [la slutin de DSE] : Mandataire de l équipe de [la slutin de DSE] qui fait ffice de pint de cntact unique pur les décisins en matière de sécurité de l infrmatin liées à [la slutin de DSE]. Cmité CnnexinSécurité (CCS) : La tribune prvinciale sur la sécurité frmée de représentants supérieurs de la sécurité prvenant des régins et de cybersanté Ontari. C est l rganisme décisinnaire respnsable de l établissement d un cadre de guvernance de la sécurité de l infrmatin fnctinnel et utile pur les rganisatins participant aux DSE. Devrait/devraient : S utilisent lrsqu il y a des raisns, seln les circnstances, de ne pas exécuter ce qui est prpsé. La persnne dit cependant cmprendre les cnséquences de ses actes si elle décide de ne pas adhérer à ce qui est écrit et snger à mettre en œuvre des mesures de cntrôle en guise de cmpensatin. Dit/divent : S utilisent dans le cas des exigences abslues ù il n y a aucune autre ptin pssible. Furnisseur de services électrniques : Persnne qui furnit des biens u des services dans le but de permettre à un dépsitaire de renseignements sur la santé d emplyer des myens électrniques de recueillir, d utiliser, de mdifier, de diffuser, de cnserver u d éliminer des renseignements persnnels sur la santé et qui cmprend un furnisseur de réseau d infrmatin sur la santé. Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 2

5 Incident de sécurité de l infrmatin : Tute vilatin u menace imminente de vilatin des plitiques, des nrmes, des prcédures u des pratiques de sécurité de l infrmatin u tut événement lié à la sécurité de l infrmatin qui peut entraver les activités d un système d infrmatin u d un prcessus pératinnel u en menacer la sécurité. Organisme de surveillance cmpétent : L rganisme de surveillance cmpétent est frmé de cadres supérieurs qui supervisent tus les aspects de la [slutin DSE]. Vir la sectin intitulée Structure de la plitique de guvernance dans le dcument Plitique de sécurité de l infrmatin. Peut/peuvent : S utilisent lrsque ce qui est prpsé n est qu une recmmandatin u ne sert que d exemple qui ne se veut pas exhaustif. Service de gestin d identité : Technlgies et services, plitiques, prcessus et prcédures cnnexes servant à créer, à cnserver, à mettre en sécurité, à valider, à affirmer et à gérer des identités électrniques pur [la slutin de DSE]. Système d infrmatin : Ensemble autnme de technlgies de l infrmatin rganisées de manière à recueillir, à traiter, à cnserver, à utiliser, à divulguer u à éliminer l infrmatin. Terminal d envi de dnnées : Technlgies et prcessus cnnexes qui alimentent le dépôt de dnnées cliniques et fnt l bjet des recherches de dnnées par l utilisateur en milieu clinique. Cmprend habituellement le système d infrmatin (système d infrmatin hspitalier, système d infrmatin de labratire, système d infrmatin clinique, etc.) qui se branche autmatiquement à [la slutin de DSE] pur rendre les dnnées cliniques accessibles. Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 3

6 Exigences de la plitique 1. Exigences pur les dépsitaires de renseignements sur la santé 1.1. Les dépsitaires de renseignements sur la santé (DRS) divent mettre en place un prcessus de gestin des incidents de sécurité de l infrmatin (les «incidents») qui traite de tutes les phases du prcessus de gestin des incidents liés à [la slutin de DSE] : détectin/triage; interventin; rétablissement; suivi Si, à tut mment au curs du prcessus de gestin des incidents, un DRS se rend cmpte qu il y a eu atteinte à la vie privée par suite de l incident, ce dernier dit être traité cnfrmément à la Plitique de gestin des atteintes à la vie privée. Détectin/triage 1.3. Les DRS divent établir un pint de cntact auquel sernt signalés les incidents liés à [la slutin de DSE] qui nt lieu u dnt n supçnne l existence. Le plus suvent, c est le sutien technique qui fait ffice de pint de cntact Les DRS divent veiller à ce que leurs mandataires et leurs furnisseurs de services électrniques sachent qu ils divent signaler sur-le-champ les incidents qui nt lieu u dnt n supçnne l existence Le pint de cntact dit créer un billet d incident u un jurnal pur tut incident lié à [la slutin de DSE] signalé. Le billet d incident dit cntenir au minimum les éléments suivants : l heure et la date de l incident signalé; le nm et les crdnnées du mandataire et du furnisseur de services électrniques qui a signalé l incident; l infrmatin relative à l incident signalé (type et mde de détectin, par exemple); tutes les cnséquences de l incident signalé; tute mesure adptée pur limiter l incident sit par le mandataire u le furnisseur de services électrniques qui a signalé l incident, sit par le pint de cntact Les DRS divent nmmer un chef u une équipe respnsable d effectuer les activités de triage, d interventin, de rétablissement et de suivi des incidents relatifs à [la slutin de DSE] u à l équipe qui en est respnsable. Le chef u l équipe d interventin peut être la même persnne u la même équipe faisant ffice de pint de cntact. Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 4

7 1.7. Le pint de cntact dit envyer tus les billets d incidents liés à [la slutin de DSE] u à l équipe qui en est respnsable au chef u à l équipe d interventin qui sera respnsable d examiner chaque billet et les dcuments à l appui pur vérifier si un incident a bel et bien eu lieu Le chef u l équipe d interventin dit classer tus les incidents liés à [la slutin de DSE] qui nt réellement eu lieu en fnctin de leur gravité (vir l annexe A intitulée Ctes de gravité et de pririté des incidents pur tute l infrmatin sur les ctes de gravité) Le chef u l équipe d interventin dit entreprendre un rapprt d incident lié à [la slutin de DSE] u à l équipe qui en est respnsable (vir l annexe B intitulée Cntenu du rapprt d incident) Les DRS divent veiller à ce que leur prcessus de gestin des incidents exige que le chef u l équipe d interventin avise l équipe respnsable de la cnfidentialité et de la sécurité pur [la slutin de DSE] par curriel u téléphne et tut DRS tuché au plus tard à la fin du jur uvrable suivant les incidents cnfirmés au premier u au deuxième degré de gravité cnfrmément à l annexe A intitulée Ctes de gravité et de pririté des incidents. L avis dit cntenir au minimum les éléments suivants : l heure et la date de l incident signalé; le nm et les crdnnées du mandataire et du furnisseur de services électrniques qui a signalé l incident; l infrmatin relative à l incident signalé (type et mde de détectin, par exemple); tutes les cnséquences cnnues u supçnnées de l incident signalé; tute mesure adptée pur limiter l incident sit par le mandataire u le furnisseur de services électrniques qui a signalé l incident, sit par le pint de cntact, sit par le chef u l équipe d interventin Si un incident qui prvient d un DRS tuche plus d un DRS u [la slutin de DSE], l équipe de [la slutin de DSE] peut diriger les activités de gestin des incidents L équipe qui dirige les activités de gestin des incidents (le DRS u l équipe de [la slutin de DSE]) dit aviser le cmité CnnexinSécurité et l rganisme de surveillance cmpétent dans les délais suivants : dans les 72 heures suivant l avis pur tut incident lié à [la slutin de DSE] de niveau de gravité 1; dans la semaine suivant l avis pur tut incident lié à [la slutin de DSE] de niveau de gravité Les DRS devraient mettre en pririté les incidents liés à [la slutin de DSE] cnfrmément à leur cte de gravité. Interventin Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 5

8 1.14. Le chef u l équipe d interventin dit prendre les mesures nécessaires pur limiter la prtée et l ampleur d un incident. Les activités d atténuatin u de cnfinement peuvent être les suivantes : effectuer une cpie de sauvegarde du système d infrmatin; cesser les activités; mdifier les mts de passe u les listes de cntrôle d accès du système d infrmatin cmprmis; restreindre la cnnexin. NOTA : Seln la gravité de l incident, il peut être nécessaire de mettre en œuvre les plans de cntinuité des activités de l rganisatin. Rétablissement Les DRS divent rétablir les systèmes d infrmatin tuchés de manière à ce qu ils retruvent un état de fnctinnement nrmal. Les activités de rétablissement peuvent être les suivantes : Suivi éliminer la cause de l incident (suppressin d un prgramme malveillant, par exemple); restaurer les systèmes d infrmatin et en valider l état; décider du mment de la reprise des activités; surveiller les systèmes d infrmatin pur vir s ils fnctinnent bien et cnfirmer qu il n y a plus de dnnées u de systèmes cmprmis Les DRS divent faire enquête à la suite d incidents liés à [la slutin de DSE] pur en déterminer la cause (par analyse par arbre de défaillances, par exemple) Une fis un incident lié à [la slutin de DSE] u à l équipe qui en est respnsable réslu (c est-àdire que tutes les activités de rétablissement nt été mises en œuvre et que les technlgies de l infrmatin et les systèmes d infrmatin tuchés snt revenus à leur état nrmal), le chef u l équipe d interventin dit rédiger le rapprt d incident. Dans le cas des lngues enquêtes menées par les DRS, l équipe de [la slutin de DSE] u les DRS tuchés divent demander qu n fasse le pint sur l enquête pendant le dérulement de cette dernière Les DRS divent archiver leurs rapprts d incident liés à [la slutin de DSE] pur au mins 24 mis Les DRS divent furnir au bureau de l équipe de [la slutin de DSE] et aux DRS tuchés un rapprt d incident lié à [la slutin de DSE] dans les 72 heures suivant la demande du rapprt Les versins définitives des rapprts d incident divent être évaluées par le cmité CnnexinSécurité et, au besin, par l rganisme de surveillance cmpétent. Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 6

9 1.21. Les DRS devraient prévir une méthde pur passer en revue leurs incidents liés à [la slutin de DSE] au mins une fis par mis pur déterminer les tendances et chercher à savir s il est pssible de prendre des mesures de préventin pur réduire les risques d incidents similaires à l avenir. Cllecte d éléments de preuve Les DRS devraient mettre en place des prcédures pur recueillir des éléments de preuve dans le but d intenter des pursuites judiciaires u d impser des mesures disciplinaires cntre les mandataires u les furnisseurs de services électrniques. Ces prcédures devraient exiger les éléments suivants : la réalisatin de travaux médic-légaux sur des cpies des éléments de preuve; le recurs à un témin lrs de la créatin de cpies; la jurnalisatin de l infrmatin relative à la créatin des cpies, ntamment : le mment et l endrit ù les activités de cpie nt eu lieu; la persnne ayant effectué les activités de cpie; les utils u prgrammes utilisés pur les activités de cpie; la prtectin de l intégrité de tus les éléments de preuve. 2. Exigences pur l équipe de [la slutin de DSE] 2.1. L équipe de [la slutin de DSE] dit mettre en place un prcessus de gestin des incidents de sécurité de l infrmatin (les «incidents») qui traite de tutes les phases du prcessus de gestin des incidents : détectin/triage; interventin; rétablissement; suivi Si, à tut mment au curs du prcessus de gestin des incidents, l équipe de [la slutin de DSE] se rend cmpte qu il y a eu atteinte à la vie privée par suite de l incident, ce dernier dit être traité cnfrmément à la Plitique de gestin des atteintes à la vie privée. Détectin/triage 2.3. L équipe de [la slutin de DSE] dit établir un pint de cntact auquel sernt signalés les incidents qui nt lieu u dnt n supçnne l existence. Le plus suvent, c est le sutien technique qui fait ffice de pint de cntact. Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 7

10 2.4. L équipe de [la slutin de DSE] dit veiller à ce que ses mandataires et ses furnisseurs de services électrniques sachent qu ils divent signaler sur-le-champ les incidents qui nt lieu u dnt n supçnne l existence Le pint de cntact dit créer un billet d incident pur tut incident signalé. Il est recmmandé d utiliser un système de gestin autmatisée des incidents pur cnsigner ces derniers. Le billet d incident dit cntenir les éléments suivants : l heure et la date de l incident signalé; le nm et les crdnnées du mandataire et du furnisseur de services électrniques qui a signalé l incident; l infrmatin relative à l incident signalé (type et mde de détectin, par exemple); tutes les cnséquences de l incident signalé; tute mesure adptée pur limiter l incident sit par le mandataire u le furnisseur de services électrniques qui a signalé l incident, sit par le pint de cntact L équipe de [la slutin de DSE] dit nmmer un chef u une équipe respnsable d effectuer les activités de triage, d interventin, de rétablissement et de suivi de tus les incidents. Le chef u l équipe d interventin peut être la même persnne u la même équipe faisant ffice de pint de cntact Le pint de cntact dit envyer immédiatement tus les billets d incident au chef u à l équipe d interventin Le chef u l équipe d interventin dit examiner le billet d incident et tute l infrmatin cnnexe pur déterminer s il y a réellement eu incident Le chef u l équipe d interventin dit classer tus les incidents qui nt réellement eu lieu en fnctin de leur gravité (vir l annexe A intitulée Ctes de gravité et de pririté des incidents pur tute l infrmatin sur les ctes de gravité) Le chef u l équipe d interventin dit créer un rapprt d incident (vir l annexe B intitulée Cntenu du rapprt d incident) Tus les rapprts d incident cmplets u partiels divent être traités au minimum cnfrmément aux exigences de prtectin de l infrmatin cnsidérée cmme cnfidentielle Si un incident qui prvient d un DRS tuche plus d un DRS u [la slutin de DSE], l équipe de [la slutin de DSE] peut diriger les activités de gestin des incidents L équipe de [la slutin de DSE] dit veiller à ce que sn prcessus de gestin des incidents exige que le chef u l équipe d interventin avise tut DRS tuché par curriel au plus tard à la fin du jur uvrable suivant tut incident classé de niveau 1 u 2 par l équipe de [la slutin de DSE]. L avis dit cntenir au minimum les éléments suivants : l heure et la date de l incident signalé; Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 8

11 le nm et les crdnnées du mandataire et du furnisseur de services électrniques qui a signalé l incident; l infrmatin relative à l incident signalé (type et mde de détectin, par exemple); tutes les cnséquences de l incident signalé; tute mesure adptée pur limiter l incident sit par le mandataire u le furnisseur de services électrniques qui a signalé l incident, sit par le pint de cntact, sit par le chef u l équipe d interventin L équipe de [la slutin de DSE] dit aviser le cmité CnnexinSécurité et l rganisme de surveillance cmpétent : dans les 72 heures suivant l avis pur tut incident de niveau de gravité 1; dans la semaine suivant l avis pur tut incident de niveau de gravité L équipe de [la slutin de DSE] dit établir la pririté de tus les incidents cnfrmément à leur cte de gravité et de pririté. Interventin Le chef u l équipe d interventin dit prendre les mesures nécessaires pur limiter la prtée et l ampleur d un incident. Les activités d atténuatin u de cnfinement peuvent être les suivantes : effectuer une cpie de sauvegarde du système d infrmatin; cesser les activités; mdifier les mts de passe u les listes de cntrôle d accès du système d infrmatin cmprmis; restreindre la cnnexin. NOTA : Seln la gravité de l incident, il peut être nécessaire de mettre en œuvre les plans de cntinuité des activités de l équipe de [la slutin de DSE] L équipe de [la slutin de DSE] devrait élabrer des stratégies de cnfinement pur chaque type d incident majeur avec des critères clairs pur faciliter la prise de décisins. Les critères suivis pur élabrer ces stratégies peuvent être les suivants : les risques de bris u de vl de ressurces; la nécessité de cnserver les éléments de preuve; l accessibilité des services (cnnectivité du réseau, services fferts à des parties externes); le temps et les ressurces nécessaires pur mettre les stratégies en œuvre; l efficacité des stratégies (cnfinement partiel u intégral, par exemple); Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 9

12 la durée de la slutin (slutin de rechange en cas d urgence à retirer dans quatre heures, slutin de rechange tempraire à retirer dans deux semaines u slutin permanente, par exemple). NOTA : Seln la gravité de l incident et le type d incident, il peut être nécessaire de mettre en œuvre les plans de cntinuité des activités de l équipe de [la slutin de DSE]. Des critères devraient dnc être définis pur rienter le travail du chef u de l équipe d interventin quant au mment ù aviser le persnnel respnsable de la cntinuité des activités. Rétablissement L équipe de [la slutin de DSE] dit rétablir les systèmes d infrmatin tuchés de manière à ce qu ils retruvent un état de fnctinnement nrmal. Les activités de rétablissement peuvent être les suivantes : éliminer la cause de l incident (suppressin d un prgramme malveillant, par exemple); restaurer les systèmes d infrmatin et en valider l état; décider du mment de la reprise des activités; surveiller les systèmes d infrmatin pur vir s ils fnctinnent bien et cnfirmer qu il n y a plus de dnnées u de systèmes cmprmis Tutes les activités de rétablissement de [la slutin de DSE] divent respecter les exigences du tableau suivant : Respnsable de l apprbatin Cmité CnnexinSécurité et l rganisme de surveillance cmpétent Classificatin de l incident Niveau de gravité 1 Cmité CnnexinSécurité Niveau de gravité 2 Chef de la sécurité de l infrmatin de l équipe de [la slutin de DSE] Niveaux de gravité 3 et 4 Suivi L équipe de [la slutin de DSE] dit faire enquête à la suite de tus les incidents pur en déterminer la cause (par analyse par arbre de défaillances, par exemple) Une fis un incident réslu (c est-à-dire que tutes les activités de rétablissement nt été mises en œuvre et que les technlgies de l infrmatin et les systèmes d infrmatin tuchés snt revenus à leur état nrmal), le chef u l équipe d interventin dit rédiger le rapprt d incident. Dans le cas des lngues enquêtes, les DRS tuchés divent demander qu n fasse le pint sur l enquête pendant le dérulement de cette dernière L équipe de [la slutin de DSE] dit archiver tus ses rapprts d incident pur au mins 24 mis. Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 10

13 2.23. L équipe de [la slutin de DSE] dit furnir au DRS participant tut rapprt d incident relatif à [la slutin de DSE] dans les 72 heures suivant la demande Les versins définitives des rapprts d incident divent être évaluées par le cmité CnnexinSécurité et de sécurité et, au besin, par l rganisme de surveillance cmpétent L équipe de [la slutin de DSE] dit prévir une méthde pur passer en revue tus ses incidents au mins une fis par mis pur déterminer les tendances et chercher à savir s il est pssible de prendre des mesures de préventin pur réduire les risques d incidents similaires à l avenir. Cllecte d éléments de preuve L équipe de [la slutin de DSE] devrait mettre en place des prcédures pur recueillir des éléments de preuve dans le but d intenter des pursuites judiciaires u d impser des mesures disciplinaires cntre les mandataires u les furnisseurs de services électrniques. Ces prcédures devraient exiger les éléments suivants : la réalisatin de travaux médic-légaux sur des cpies des éléments de preuve; le recurs à un témin lrs de la créatin de cpies; la jurnalisatin de l infrmatin relative à la créatin des cpies, ntamment : le mment et l endrit ù les activités de cpie nt eu lieu; la persnne ayant effectué les activités de cpie; les utils u prgrammes utilisés pur les activités de cpie; la prtectin de l intégrité de tus les éléments de preuve. Exceptins Tute exceptin à la plitique dit être appruvée par l rganisme de surveillance cmpétent, lequel n autrisera d exceptins que lrsque la situatin le justifie et au degré minimal nécessaire pur la justificatin apprtée. Cnsultez à cet effet l annexe A intitulée Demandes de dérgatin aux exigences en matière de sécurité de l infrmatin dans la Plitique de sécurité de l infrmatin. Applicatin Tus les cas de nn-respect sernt examinés par l rganisme de surveillance cmptent. L rganisme de surveillance cmpétent a le puvir d impser les sanctins apprpriées, ce qui peut inclure la cessatin des ententes avec le DRS u le furnisseur de services électrniques u la cessatin des privilèges d accès des mandataires, et de demander des mesures crrectives. Références Lis LPRPS Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 11

14 O. Reg. 329/04, art. 6 Nrmes internatinales ISO/IEC 27001:2005 Technlgies de l infrmatin Techniques de sécurité Systèmes de management de la sécurité de l infrmatin Exigences ISO/IEC 27002:2005 Technlgies de l infrmatin Techniques de sécurité Cde de bnne pratique pur le management de la sécurité de l infrmatin ISO/IEC 27005:2008 Technlgies de l infrmatin Techniques de sécurité Gestin des risques en sécurité de l infrmatin ISO 27799:2008 Infrmatique de santé Management de la sécurité de l infrmatin relative à la santé en utilisant l ISO/CEI Dcuments de plitiques sur les DSE de cybersanté Ontari Plitique de sécurité de l infrmatin Plitique d utilisatin acceptable des dnnées et des technlgies de l infrmatin Plitique sur le cntrôle de l accès aux systèmes et les prcessus de gestin d identité cnnexes Plitique sur les pratiques de l autrité lcale d enregistrement Nrme sur la fédératin d identités (en anglais) Plitique sur la cntinuité des activités Plitique sur la cryptgraphie Plitique sur les furnisseurs de services électrniques Plitique sur la gestin des incidents de sécurité de l infrmatin Plitique sur la gestin de l infrmatin et des éléments d actif Plitique sur les réseaux et les pératins Plitique sur la jurnalisatin de sécurité et la surveillance Plitique sur le cycle de dévelppement de systèmes Plitique sur la sécurité matérielle Plitique sur la gestin des menaces et des risques Plitiques harmnisées sur la prtectin de la vie privée (en anglais) Référence à Infrute Santé du Canada Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 12

15 Exigences en matière de prtectin de la cnfidentialité et de sécurité d Infrute Santé du Canada (versin 1.1 révisée le 7 février 2005) Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 13

16 Annexe A : Ctes de gravité et de pririté des incidents Ctes de gravité Gravité Catégrie et descriptin Durée maximale recmmandée Triage Cnfinement Rétablissement 1 Critique Nmbreux sites u sites essentiels hrs fnctin Perte de services qui entraîne des risques très imprtants pur les DRS participants Cnstitue un risque en matière de santé publique, de prtectin des renseignements persnnels u de sécurité A de graves répercussins sur bn nmbre de systèmes internes u externes, par exemple l intrusin à grande échelle d un prgramme malveillant 30 min 6 h 72 h Interventin et restauratin immédiates : tut le mnde met la main à la pâte 2 Élevé Un seul site imprtant hrs de fnctin Perte d un service nn essentiel pur la missin de l rganisatin Sutien technique nn accessible Échec du rétablissement Détériratin des services pur les DRS 2 h 12 h 24 h Interventin et restauratin le plus rapidement pssible (dans le jur uvrable) Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 14

17 Gravité Catégrie et descriptin Durée maximale recmmandée Triage Cnfinement Rétablissement 3 Myen Ralentissement d applicatins u de cmpsants matériels Ennuis techniques mineurs Panne d une applicatin u d un cmpsant qui ne tuche qu un client 4 h 36 h 48 h Restauratin au curs des prchains jurs uvrables 4 Faible Répercussins minimales, aucun ralentissement u présence d une slutin de rechange 24 h 36 h 15 jurs Restauratin dans la semaine Ctes de pririté Type d incident Cte de pririté P2 P1 Cntrôle de l accès : Pur les incidents de sécurité relatifs à une mesure de cntrôle de l accès cmprmise. Cmpte avec privilèges cmprmis Par exemple, un identifiant avec privilèges (pur les administrateurs de système, les administrateurs de base de dnnées u les administrateurs de pare-feu) est asscié à des activités inhabituelles (uvertures de sessin inexpliquées u accès étranges à des fichiers, par exemple). Détectin d une attaque par hameçnnage visant des utilisateurs avec privilèges Par exemple, de nmbreux curriels suspects ciblant des utilisateurs ayant un accès avec privilèges. X X Sécurité des éléments d actif : Pur les pertes u les vls d éléments d actif et les attaques prtées cntre un élément d actif entraînant une interruptin de services. Perte de dispsitifs de stckage nn chiffrés Par exemple, la perte d une clé USB nn chiffrée cntenant des dnnées sensibles. Détectin d une attaque par déni de service cntre un élément d actif essentiel Par exemple, une attaque par déni de service a eu lieu cntre un serveur hébergeant des applicatins essentielles. X X Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 15

18 Sécurité des dnnées : Pur les menaces à la cnfidentialité des dnnées. Vlume inhabituellement élevé de dnnées à laquelle n a accès sur un serveur hébergeant des dnnées sensibles u des applicatins qui traitent u stckent des dnnées sensibles Par exemple, une alarme de système est déclenchée lrsqu il y a un vlume élevé de dnnées transférées hrs des heures d uverture (utre les sauvegardes de dnnées). Détectin d une infectin à un prgramme malveillant u à un virus avec cnséquences imprtantes Par exemple, une alarme est déclenchée lrsqu il y a détectin d un virus. X X Intégrité des dnnées et des systèmes : Pur les cmprmissins ptentielles de l intégrité de dnnées et de systèmes. Atteinte majeure à la prtectin des dnnées ayant attiré l attentin des médias Par exemple, une atteinte majeure à la prtectin des dnnées ayant attiré l attentin des médias. X Panne de la sauvegarde sur bande pur une certaine péride Par exemple, la sauvegarde sur bande n a pas fnctinné pur les cinq dernières sessins. X Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 16

19 Annexe B : Cntenu du rapprt d incident Les éléments suivants snt bligatires dans le rapprt d incident de sécurité de l infrmatin : 1. Crdnnées du mandataire u du furnisseur de services électrniques qui a signalé l incident ET du chef u de l équipe d interventin Nm Unité (service, divisin u équipe, par exemple) (s il y a lieu) Curriel Numér de téléphne Emplacement (adresse pstale, immeuble et numér de la prte, par exemple) 2. Infrmatin relative à l incident Date et heure auxquelles l incident a été décuvert Date et heure estimées du début de l incident Numér du billet d incident Type d incident (refus de service, prgramme malveillant, accès nn autrisé u utilisatin inapprpriée, par exemple) Emplacement physique de l incident (ville, par exemple) État actuel de l incident (attaque répétée, par exemple) Surce/cause de l incident (si elle est cnnue), y cmpris les nms d hôte et les adresses IP Descriptin de l incident (le mde de détectin et ce qui s est passé, par exemple) Descriptin des ressurces tuchées (réseaux, hôtes, applicatins u dnnées, par exemple), y cmpris les nms d hôte, les adresses IP et la fnctin des systèmes d infrmatin Système d explitatin, versin et dernier crrectif apprté Antivirus installé, activé et à jur (ui/nn) Facteurs d atténuatin Estimatin des répercussins techniques de l incident (dnnées supprimées, arrêt de fnctinnement du système u applicatin nn accessible, par exemple) Actins du mandataire u du furnisseur de services électrniques qui a signalé l incident (mise hrs service de l hôte u décnnexin de l hôte du réseau, par exemple) Autres rganisatins jintes (fabricant du lgiciel, par exemple) Type d infrmatin cmprmis (s il y a lieu) 3. Cmmentaires généraux 1 4. Résumé de l incident 1 Recmmandés, mais nn bligatires. Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 17

20 5. Crdnnées de tutes les parties cncernées 6. Jurnal des actins de cnfinement u d atténuatin de chef u de l équipe d interventin 7. Liste des éléments de preuve recueillis 8. Cause de l incident (applicatin mal cnfigurée u crrectif nn installé sur l hôte, par exemple) 9. Liste des activités de rétablissement recmmandées et mises en œuvre 10. État actuel de l interventin Gestin du dcument Fréquence de révisin : Une fis par année u seln la règle établie par le Cmité CnnexinSécurité. Histrique des apprbatins APPROBATEURS DATE D APPROBATION Cmité CnnexinSécurité Histrique des révisins NUMÉRO DE VERSION DATE RÉSUMÉ DES CHANGEMENTS AUTEUR DES CHANGEMENTS Adptin de la versin de nvembre 2013 du grupe de travail sur la prtectin de la vie privée et la sécurité de CnnexinRGT Révisins en fnctin des cmmentaires reçus des membres du Cmité CnnexinSécurité. Révisin de la sectin de la prtée pur y inclure la mentin «cnsulter, traiter u autrement manipuler des renseignements persnnels sur la santé (RPS)». Révisin des références à l entente de participatin; harmnisatin des pints 1.6 et 2.6 avec d autres sectins de la plitique; révisin du pint 1.10 sur les ptins de cmmunicatin; ajuts au pint 1.12 pur élargir les respnsabilités de signalisatin au cmité de prtectin de la vie privée et de sécurité; ajut de l ptin de demander régulièrement l état d avancement de l enquête au pint 1.17; ajut de l exigence de présenter les rapprts d incident au cmité de prtectin de la vie privée et de sécurité aux pints 1.20 et 2.24; harmnisatin des frmulatins dans les sectins des exceptins et de l applicatin Apprbatin de la plitique à la réunin du 9 septembre 2014 du Cmité CnnexinSécurité. Mark Carter Mark Carter Mark Carter Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 18

21 Harmnisatin du nm de la plitique sur le cntrôle de l accès en fnctin de la décisin définitive du Cmité CnnexinSécurité à l issue de la trisième étape du prcessus de rédactin Mise à jur des plitiques pur refléter le changement de guvernance. Le Cmité directeur a été remplacé par l rganisme de surveillance cmpétent. Le Cmité réginal de prtectin de la vie privée et de sécurité ne participe plus au prcessus de décisin en matière de dérgatin. Mark Carter Mark Carter Plitique de cybersanté Ontari sur les DSE Plitique sur la gestin des incidents de sécurité de l infrmatin 19