Guide de Kiteworks sur la conformité au Qatar National Information Assurance Standard
Sécuriser les données sensibles avec NIAS 2.1
Introduction
La norme nationale d’assurance de l’information du Qatar (NIAS) Version 2.1 est un cadre conçu pour réguler et gouverner l’assurance et la sécurité des données dans les organisations au sein de l’État du Qatar. Développée par l’Agence nationale de cybersécurité (NCSA), cette norme vise à fournir aux organisations les bases et les outils nécessaires pour mettre en œuvre un système de gestion de la sécurité de l’information robuste. La NIAS impacte toutes les organisations opérant au Qatar, en particulier celles qui traitent des informations sensibles ou classifiées, les agences gouvernementales, les opérateurs d’infrastructures critiques, les institutions financières, les prestataires de soins de santé, et toute organisation traitant des données personnelles ou des informations cruciales pour la sécurité nationale doit être conforme.
La norme repose sur la politique nationale de classification des données et couvre un large éventail de domaines de sécurité, y compris, mais sans s’y limiter : la gouvernance de la sécurité, la gestion des risques, la gestion de la sécurité des tiers, la classification des données, la gestion des changements, la sécurité du personnel, la gestion des incidents, la gestion de la continuité des activités, le contrôle d’accès, la sécurité cryptographique et la sécurité physique. Pour être conforme à la NIAS, les organisations doivent d’abord classer leurs actifs d’information selon la politique nationale de classification des données. Elles doivent ensuite mettre en œuvre des contrôles de sécurité de base tels que spécifiés dans la norme, avec des contrôles supplémentaires nécessaires pour les actifs classés à des niveaux de sensibilité plus élevés.
La NIAS est appliquée par la NCSA, et les organisations doivent obtenir une certification pour prouver leur conformité. La norme est entrée en vigueur lors de sa publication en mai 2023, coïncidant avec la sortie de la politique nationale de classification des données v3.0. La norme d’assurance maintient que les organisations sont entièrement responsables de l’adoption et de la mise en œuvre de la norme, et que la NCSA ne prend pas la responsabilité des dommages liés à des décisions non informées dans l’adoption et la mise en œuvre de la norme ou des actions en dehors de son champ d’application. Étant donné la nature de la norme et son alignement avec la stratégie de cybersécurité du Qatar, la non-conformité pourrait potentiellement entraîner des conséquences significatives, notamment des pénalités réglementaires, la perte de contrats gouvernementaux, des dommages à la réputation et une vulnérabilité accrue aux cybermenaces. De plus, en cas de violation de la sécurité, les organisations non conformes peuvent faire face à des répercussions légales et financières plus sévères. Les organisations cherchant des exceptions ou des dérogations à la norme doivent communiquer avec la NCSA par correspondance officielle, en fournissant des justifications, des évaluations des risques et des plans de gestion. La NCSA, en coordination avec les régulateurs sectoriels le cas échéant, évaluera ces demandes d’exception.
Ce guide montre comment Kiteworks peut soutenir les organisations mondiales cherchant à être conformes à la norme nationale d’assurance de l’information du Qatar.
La plateforme de partage sécurisé de fichiers et de gouvernance de Kiteworks
Le Réseau de contenu privé de Kiteworks permet aux organisations de partager du contenu sensible avec des parties de confiance par e-mail, partage de fichiers, transfert de fichiers et d’autres canaux aux plus hauts niveaux de sécurité, de gouvernance et de conformité tout en maintenant une visibilité et un contrôle complets sur leurs activités de partage de fichiers. La plateforme Kiteworks offre :
Protection des données non structurées
Kiteworks offre une protection pour les données non structurées grâce à son pare-feu de contenu avancé et ses capacités de partage de fichiers zéro-trust qui garantissent que les données non structurées sensibles restent sécurisées tout au long de leur cycle de vie, qu’elles soient au repos ou en transit à travers divers canaux de communication.
Gouvernance et conformité
Kiteworks réduit le risque de non-conformité et les coûts en consolidant des fonctions avancées de gouvernance de contenu en une seule plateforme. Que les employés envoient et reçoivent du contenu par e-mail, partage de fichiers, transfert de fichiers automatisé, API ou formulaires web, tout est couvert.
Simplicité et facilité d’utilisation
Kiteworks propose une interface conviviale qui simplifie le partage sécurisé de fichiers et la collaboration, permettant aux utilisateurs d’envoyer, de recevoir et de gérer facilement du contenu sensible sans compromettre la sécurité. Le design intuitif de la plateforme et son intégration fluide avec les flux de travail existants assurent des taux d’adoption élevés par les utilisateurs et minimisent la courbe d’apprentissage pour les organisations mettant en œuvre des mesures de protection des données robustes.
La plateforme Kiteworks et la norme nationale d’assurance de l’information du Qatar
Étiquetage des données [DL]
Ce domaine fournit une méthodologie d’étiquetage des données de haut niveau pour toutes les organisations dans le but de comprendre et de gérer les actifs de données et d’informations concernant leur niveau de classification. Le domaine explique la méthodologie et les processus pour un étiquetage efficace des données. La raison de l’étiquetage des actifs d’information selon leurs niveaux de classification est de garantir que l’organisation et les utilisateurs désignés des actifs d’information pourront identifier correctement et allouer adéquatement les ressources pour la protection des actifs d’information.
| Exigences du domaine | Solution Kiteworks |
|---|---|
| DL 1. *Servir d’autorité d’étiquetage pour les données et informations qu’elle collecte ou maintient. DL 2. *Évaluer tous les actifs d’information conformément à [IAP-NAT-DCLS]. Tous les actifs évalués avec une note de confidentialité de C1, C2, C3 ou C4 DOIVENT être marqués de manière appropriée avec l’étiquette de données Interne, Restreint, Secret ou Top Secret respectivement. DL 3. *Par défaut, étiqueter les actifs d’information comme ‘Interne’ à moins qu’ils ne soient spécifiquement destinés à une diffusion ou consommation publique ou évalués à un niveau de confidentialité supérieur. DL 4. Établir le système d’étiquetage des données pour soutenir l’exigence “Besoin de savoir”, afin que l’information soit protégée contre la divulgation et l’utilisation non autorisées. |
Kiteworks soutient la conformité grâce à son cadre de politique de risque basé sur le contenu. Ce système permet aux organisations de classer et de gérer efficacement leurs actifs d’information conformément aux évaluations IAP-NAT-DCLS. Kiteworks permet la configuration de la classification des actifs basée sur divers attributs tels que le chemin du dossier, les étiquettes de sensibilité, le type de fichier et le créateur, en alignement avec les évaluations de confidentialité de C1 à C4 (Interne, Restreint, Secret ou Top Secret). La plateforme peut être configurée pour étiqueter par défaut les actifs d’information comme ‘Interne’, sauf indication contraire, répondant à l’exigence d’étiquetage par défaut de la norme. De plus, les contrôles d’accès basés sur les rôles et les principes de moindre privilège par défaut soutiennent l’exigence “Besoin de savoir”, garantissant que l’information est protégée contre la divulgation et l’utilisation non autorisées. Cette approche de l’étiquetage des données et du contrôle d’accès permet aux organisations de servir d’autorités d’étiquetage efficaces pour leurs données collectées et maintenues. |
Sécurité du personnel [PS]
L’objectif de ce domaine est de s’assurer que le personnel (employés, fournisseurs, sous-traitants et autres) déployé au sein des organisations est conscient de ses responsabilités en matière de sécurité et que des contrôles appropriés sont en place pour atténuer les risques découlant de l’élément humain.
| Exigences du domaine | Solution Kiteworks |
|---|---|
| PS 3. *Obtenir, gérer et conserver les informations relatives au personnel avec soin et diligence, conformément aux exigences de traitement des informations personnelles telles que spécifiées dans la loi sur la protection et la confidentialité des données personnelles. PS 7. S’assurer que des contrôles adéquats sont en place pour empêcher le personnel (employés, fournisseurs, sous-traitants et visiteurs) de divulguer, d’utiliser abusivement ou de corrompre des informations conformément aux politiques de sécurité de l’organisation. PS 8. S’assurer que les droits d’accès des utilisateurs sont restrictifs aux informations dont ils ont besoin pour remplir leurs exigences professionnelles selon les principes de moindre privilège et de besoin d’avoir. PS 12. *S’assurer qu’une demande de changement du département RH est générée lorsqu’un changement de fonctions ou une résiliation de contrat d’un employé, sous-traitant ou tiers se produit. Cela garantit que les employés, sous-traitants et tiers retournent les actifs de l’organisation et que les accès physiques et logiques sont modifiés/supprimés de manière appropriée. |
Les fonctionnalités robustes de protection des données de Kiteworks, y compris le chiffrement au repos et en transit, les contrôles d’accès et la journalisation d’audit détaillée, garantissent que les informations du personnel sont gérées et conservées en toute sécurité, en conformité avec les lois sur la confidentialité des données. L’approche de sécurité multicouche de la plateforme, avec le visualiseur de fichiers SafeVIEW et l’analyse DLP, empêche efficacement les divulgations non autorisées et l’utilisation abusive des informations. La mise en œuvre de contrôles d’accès basés sur les rôles et le principe de moindre privilège garantit que les droits d’accès des utilisateurs sont strictement limités aux exigences spécifiques à l’emploi, conformément au principe de ‘besoin d’avoir’. Les capacités d’intégration de Kiteworks avec LDAP et Active Directory facilitent la gestion automatique des utilisateurs, y compris les mises à jour rapides des droits d’accès lorsque les rôles changent ou que l’emploi est terminé. Cet ensemble complet de fonctionnalités permet aux organisations de maintenir un contrôle strict sur la sécurité des informations du personnel, atténuant les risques associés à l’élément humain dans la gestion de l’information. |
Gestion des incidents [IM]
Un incident de sécurité de l’information est un événement qui impacte la confidentialité, l’intégrité ou la disponibilité d’un système d’information ou d’un réseau, par un acte qui contrevient à la politique de sécurité prescrite et/ou aux lois ou règlements applicables. Aux fins de cette norme, un incident est défini comme une violation ou une menace imminente de violation des politiques de sécurité informatique, des politiques d’utilisation acceptable ou des pratiques de sécurité standard. Cette norme vise à fournir une référence pour la gestion, l’administration et le personnel technique et opérationnel de l’organisation afin de faciliter le développement de la capacité de gestion des incidents de sécurité de l’information, et d’être utilisée pour la préparation, la détection et la réponse aux incidents de sécurité de l’information.
| Exigences du domaine | Solution Kiteworks |
|---|---|
| IM 2. Établir une capacité de réponse aux incidents de sécurité de l’information, basée sur le [IAP-NAT-DCLS] qui peut effectuer une évaluation périodique des risques (à partir de la menace, de la vulnérabilité et de la valeur des actifs) des données, des processus, des systèmes et des réseaux conformément à cette norme d’assurance de l’information. IM 3. *Définir des procédures pour détecter, évaluer et répondre aux incidents. IM 7. Coordonner avec la NCSA pour créer un référentiel d’incidents dans l’organisation. |
Les capacités de journalisation et de surveillance de Kiteworks, y compris un système de détection d’intrusion (IDS) et la détection d’anomalies, fournissent une base solide pour établir une capacité de réponse efficace aux incidents de sécurité de l’information. Ces fonctionnalités permettent des alertes en temps réel et des journaux d’audit détaillés, facilitant la détection rapide, l’évaluation et la réponse aux incidents potentiels. L’intégration du système avec le SIEM améliore encore les capacités de gestion des incidents, permettant une évaluation rapide des menaces, des vulnérabilités et des valeurs des actifs. Kiteworks ne coordonne pas directement avec la NCSA, cependant, les journaux d’activité standardisés et détaillés peuvent être facilement exportés ou intégrés dans des systèmes externes, soutenant la création d’un référentiel d’incidents organisationnel. Cela aide les organisations à se préparer efficacement, à détecter et à répondre aux incidents de sécurité de l’information en alignement avec le IAP-NAT-DCLS et la norme d’assurance de l’information. |
Journalisation et surveillance de la sécurité [SM]
L’objectif de ce domaine est de fournir des exigences pour la journalisation et la surveillance afin d’identifier les accès non autorisés aux données, aux applications et aux ressources et de détecter les modifications non autorisées ou les abus de privilèges d’accès.
| Exigences du domaine | Solution Kiteworks |
|---|---|
| SM 1. *Un ensemble adéquat de mises en œuvre de contrôles techniques, ou de processus existe pour la journalisation, l’identification et la surveillance continue de l’accès, des modifications, de l’exécution des commandes à, tout/tous les actifs d’information pour la protection des informations sensibles de l’entreprise. SM 2. *Les pratiques de surveillance sont établies en fonction de la criticité de l’infrastructure, des données et des applications. Il est RECOMMANDÉ de fournir une surveillance 7/24 pour les infrastructures classées C3, I3 et A3 et de s’assurer que les responsabilités de surveillance sont allouées comme spécifié dans la clause PS 9, section 4-6, Sécurité du personnel [PS]. SM 4. *Ils activent la journalisation sur toute l’infrastructure et les équipements de traitement des données, et les applications associées à l’accès, la transmission, le traitement, la sécurité, le stockage et/ou la gestion des informations classées avec une note de confidentialité de C2 et au-dessus. SM 5. Ils classifient tous les journaux de sécurité avec une note de confidentialité de C3, tandis que les journaux d’application et de système DOIVENT être classés conformément à la note de confidentialité du système. SM 6. Les journaux contenant des informations personnelles ont des mesures de protection de la vie privée appropriées en place, conformément à la législation proposée sur la protection et la confidentialité des informations. SM 7. *Ces journaux sont conservés pour un minimum de cent vingt (120) jours et un maximum en fonction des évaluations de criticité et des lois et règlements spécifiques au secteur. SM 8. Les organisations DOIVENT activer la journalisation d’audit ou la capture de journaux, pour enregistrer la date, l’heure, l’activité d’authentification avec des identifiants utilisateur et système uniques, y compris toutes les actions d’échec ou de changement, incluant en outre les commandes émises et les sorties générées pour fournir suffisamment d’informations pour permettre la reconstruction des incidents et ramener le système à son état d’origine. |
Les capacités de journalisation et de surveillance de Kiteworks fournissent une base solide pour identifier les accès non autorisés et détecter les abus de privilèges. Le système maintient des journaux d’audit détaillés de toutes les activités, prend en charge la surveillance en temps réel via le tableau de bord RSSI, et s’intègre aux systèmes SIEM pour une surveillance continue, 24/7, des infrastructures critiques et des données sensibles. Kiteworks journalise toutes les interactions système, indépendamment de la classification des données, assurant une couverture complète pour les informations classées C2 et au-dessus. Bien qu’il ne classe pas explicitement les journaux comme C3, Kiteworks traite tous les journaux comme hautement sensibles, les protégeant avec un chiffrement fort et des contrôles d’accès stricts. Les périodes de rétention des journaux configurables du système, avec la capacité de conserver les journaux pendant 120 jours ou plus, soutiennent les exigences réglementaires. De plus, les journaux d’audit détaillés capturent tous les détails d’activité essentiels, fournissant les informations nécessaires pour la reconstruction des incidents et l’analyse médico-légale. Cette approche de la journalisation et de la surveillance permet aux organisations de protéger efficacement leurs actifs d’information sensibles et de maintenir la conformité avec les exigences de la norme. |
Rétention et archivage des données [DR]
L’objectif du domaine est de fournir des directives sur la mise en place de la période de rétention des informations et les contrôles de sécurité nécessaires pour protéger les informations tout au long de leur durée de vie.
| Exigences du domaine | Solution Kiteworks |
|---|---|
| DR 2. *Les données qui doivent être conservées sont stockées en garantissant la confidentialité, l’intégrité et la disponibilité et qu’elles peuvent être accessibles à des fins futures définies. DR 4. Les processus de sauvegarde, d’archivage et de récupération des données ont des procédures correspondantes qui garantissent que l’intégrité et la confidentialité des données sont conservées. DR 5. *Les données archivées conservent leurs marquages de classification et sont sécurisées en conséquence. DR 6. La technologie d’archivage déployée est régulièrement revue pour s’assurer qu’elle ne souffre pas d’obsolescence et que les données archivées sont maintenues dans un état qui permet une récupération réussie. |
La plateforme utilise un double chiffrement (au niveau des fichiers et des disques) pour les données au repos, ainsi que le chiffrement en transit et des contrôles d’accès stricts, garantissant la confidentialité, l’intégrité et la disponibilité des données conservées. Ces mesures de sécurité s’étendent aux processus de sauvegarde et de récupération, maintenant la protection des données tout au long de leur cycle de vie. Le cadre de politique de risque basé sur le contenu permet la rétention des classifications de données même à l’état archivé, avec des mesures de sécurité appliquées de manière cohérente en fonction de ces classifications. Kiteworks soutient les pratiques modernes d’archivage grâce à ses fonctionnalités avancées de gestion des données. Les mises à jour régulières du système garantissent que les capacités de stockage et de récupération des données restent actuelles et efficaces, atténuant le risque d’obsolescence technologique. Cette approche de la rétention et de l’archivage des données permet aux organisations de maintenir en toute sécurité leurs actifs d’information pour des fins futures définies. |
Les informations fournies dans ce guide ne constituent pas et ne sont pas destinées à constituer un conseil juridique ; au contraire, toutes les informations, contenus et matériaux disponibles dans ce guide sont à des fins d’information générale uniquement. Les informations contenues dans ce guide peuvent ne pas constituer les informations juridiques ou autres les plus à jour. Les options supplémentaires sont incluses dans ce guide et sont nécessaires pour soutenir la conformité.