CM-02 - Configuration de référence (-F-) (Obligatoire)
Énoncés :
a. Élaborer, consigner et tenir à jour, dans le cadre du contrôle des configurations, une configuration de référence du système
b. Passer en revue et mettre à jour la configuration de référence du système :
1. [Affectation : fréquence définie par l’organisation]
2. le cas échéant, selon [Affectation : circonstances définies par l’organisation]
3. lorsque des composants du système sont installés ou modifiés
b.
1. au minimum 1 fois par année
b.
2. les circonstances suivantes: dès que survient une modification significative aux actifs informationnels concernés, lorsqu'instruit par les autorités gouvernementales
aaQC. :
- Infrastructure réseautique : un diagramme de réseau; les connexités (ex. : fournisseur d’accès Internet, passerelle réseau, WIFI, etc.); les segmentations réseau (ex : micro-segmentation, VLAN, sous-réseau, etc.); le matériel de sécurité réseau (ex : IPS, Pare-feu, WAF, etc.); la technologie de sécurité utilisée (ex : NAC, WPA3, etc.).
- Serveurs exposés sur Internet : les adresses IP publiques et privées; les systèmes d’exploitation (recommandé); les principaux services installés (ex. : serveur web, VPN, etc.).
- Serveurs non exposés sur Internet (recommandé) : les adresses IP; les systèmes d’exploitation; les principaux services installés.
- Plan des bâtiments : l'emplacement des prises réseau et leur rattachement à un appareil de télécommunication (recommandé); la correspondance entre les prises réseau et un port spécifique sur un appareil de télécommunication (recommandé).
- Coordonnées des contacts d’urgence internes ou externes qui peuvent intervenir en cas d’incident de sécurité.
Les configurations de référence pour les systèmes et les composants de systèmes incluent les éléments associés à la connectivité, à l’utilisation et aux communications. Les configurations de référence sont des spécifications des systèmes et des éléments de configuration connexes documentés dont on a convenu et qui font officiellement l’objet d’examens. Les versions, les publications ou les changements à venir concernant les systèmes reposent sur les configurations de référence. Elles comprennent des mises en oeuvre des contrôles de sécurité et de protection de la vie privée, des procédures opérationnelles, de l’information sur les composants de système, la topologie de réseau et la disposition logique des composants au sein de l’architecture du système. La tenue à jour de ces configurations requiert la création de nouvelles bases de référence à mesure que les systèmes organisationnels évoluent. Les configurations de référence des systèmes sont conformes à l’architecture d’entreprise. Si le système facilite la collecte ou l’utilisation de renseignements personnels, les configurations de référence devraient inclure un énoncé de confidentialité fourni aux utilisatrices et utilisateurs.