SI-07 - Intégrité des logiciels, des micrologiciels et de l’information (-M-)
Énoncés :
a. Employer des outils de vérification pour détecter les changements non autorisés qui sont apportés aux logiciels, aux micrologiciels et à l’information suivants : [Affectation : logiciels, micrologiciels et information désignés par l’organisation]
b. Prendre les mesures suivantes lorsque des changements non autorisés sont détectés dans les logiciels, les micrologiciels et l’information : [Affectation : actions définies par l’organisation]
Les changements non autorisés apportés aux logiciels, aux micrologiciels et à l’information peuvent être dus à des erreurs ou à des activités malveillantes. Les logiciels comprennent les systèmes d’exploitation (y compris les composants internes comme les noyaux ou les pilotes), les intergiciels et les applications. Les interfaces de micrologiciel comprennent l’interface micrologicielle extensible unifiée (UEFI pour Unified Extensible Firmware Interface) et le système de base d’entrée/sortie (BIOS pour Basic Input/Output System). L’information comprend les renseignements personnels et les métadonnées qui contiennent les attributs de sécurité et de protection de la vie privée associés à l’information. Les mécanismes de vérification de l’intégrité – y compris les vérifications de la parité, les vérifications cycliques de la redondance, les hachages cryptographiques et les outils connexes – peuvent automatiquement surveiller l’intégrité des systèmes et des applications hébergées.