Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

SA-05 - Documentation relative aux systèmes   (PaFF)


Énoncés :


a. Obtenir ou élaborer la documentation à l’intention des administratrices et administrateurs d’un système, d’un composant du système ou du service qui s’y rapporte, qui décrit :
1. la configuration, l’installation et l’exploitation sécurisées du système, du composant ou du service
2. l’utilisation et la maintenance efficaces des fonctions et mécanismes de sécurité et de protection de la vie privée
3. les vulnérabilités connues associées à la configuration et à l’utilisation des fonctions administratives et privilégiées
b. Obtenir ou élaborer la documentation des utilisatrices et utilisateurs d’un système, d’un composant du système ou du service qui s’y rapporte, laquelle décrit :
1. les fonctions et mécanismes de sécurité et de protection de la vie privée accessibles aux utilisatrices et utilisateurs, et la façon d’utiliser efficacement ces fonctions et mécanismes
2. les méthodes d’interaction utilisateur qui permettent aux utilisatrices et utilisateurs d’utiliser le système, le composant ou le service de façon plus sécurisée et de protéger leur vie privée
3. les responsabilités des utilisatrices ou utilisateurs concernant le maintien de la sécurité du système, de ses composants ou des services qui s’y rapportent, et de la vie privée de ces personnes
c. Documenter les tentatives visant à obtenir des documents sur le système, ses composants ou les services qui s’y rapportent, qui n’existent pas ou qui ne sont pas disponibles, et réagir en [Affectation : mesures définies par l’organisation]
d. Distribuer la documentation à [Affectation : personnel ou rôles définis par l’organisation]

Paramètres :

Responsable : Aucun

Discussion :

La documentation et les artéfacts créés par la développeuse ou le développeur aident le personnel à comprendre la mise en œuvre et le fonctionnement des contrôles. Les organisations envisagent d’établir des mesures particulières afin de définir le degré de qualité et d’achèvement du contenu fourni. La documentation relative aux systèmes peut être utilisée pour déterminer les rôles, les responsabilités et les attentes de la développeuse, du développeur et de l’organisation, et pour soutenir la gestion des risques liés à la chaîne d’approvisionnement, le processus d’intervention en cas d’incident et d’autres fonctions. Le personnel ou les rôles qui ont besoin de la documentation comprennent les propriétaires de systèmes, les responsables de la sécurité des systèmes et les administratrices et administrateurs de systèmes. Les tentatives d’obtenir la documentation consistent à communiquer avec les fabricants ou les fournisseurs, et à procéder à des recherches en ligne. L’incapacité d’obtenir la documentation peut survenir en raison de la désuétude d’un système ou d’un composant, ou d’un manque de soutien de la part des développeuses, des développeurs, des entrepreneures et des entrepreneurs. S’il est impossible d’obtenir la documentation, les organisations pourraient devoir recréer une partie de la documentation, si celle-ci s’avère nécessaire à la mise en œuvre ou au fonctionnement efficaces des contrôles. La protection s’appliquant à la documentation est proportionnelle à la catégorie de sécurité ou à la classification du système. La documentation portant sur les vulnérabilités des systèmes pourrait nécessiter un niveau de protection accru. L’exploitation sécurisée d’un système comprend le démarrage initial du système et la reprise sûre des opérations du système après une anomalie.