Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité, les entités et infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés par la DGSSI. Cette qualification, qui constitue un gage de qualité et de confiance s’appuie sur la vérification des critères attestant, notamment :
Les maîtres d’ouvrage doivent consulter la présente liste pour vérifier le statut des décisions de qualification des PASSI :
Prestataire | Audit Organisationnel et Physique | Audit d'Architecture | Audit de configuration | Tests d’intrusion | Audit du code source | Audit des systèmes industriels | Date de fin de qualification | Classe des SI | Décision de qualification |
---|---|---|---|---|---|---|---|---|---|
En outre, le prestataire d’audit doit, afin de fournir des prestations d’audit de la sécurité des systèmes d’information ayant la classification « CLASSE A », remplir les conditions suivantes :
La qualification se déroule en deux étapes avec l’obligation de valider une phase pour passer à la suivante, comme indiqué ci-après :
Cette étape consiste en l’analyse des éléments constituant le dossier de la demande de qualification. Après s’être assuré que le dossier de la demande comprend tous les documents et informations requis, l’autorité nationale soumet le prestataire d’audit de la sécurité des systèmes d’information, à ses frais, à une évaluation des prestations objet de la demande par l’un des organismes qu’elle désigne à cet effet. L'évaluation précitée s’effectue conformément au référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information.
Consiste en l’évaluation par l’organisme évaluateur désigné par la DGSSI :
Ces évaluation sont effectuées sous la supervision de la DGSSI.
Au vu des résultats des évaluations précitées la DGSSI délivre la décision de qualification en indiquant notamment :
Conformément à l’article 25 du décret n° 2-21-406 pour l’application de la loi 05.20 relative à la cybersécurité, tout prestataire d’audit de la sécurité des systèmes d’information (PASSI) informe, sans délai, l’autorité nationale (DGSSI) de toute modification intervenue dans l’un des éléments sur la base desquels la qualification a été délivrée. A cet effet, le formulaire de déclaration de modification doit être déposé par le PASSI auprès de la DGSSI, accompagné d’un dossier comportant les documents suivants, selon les cas :
Il sied de préciser que, suite au changement d’adresse du siège sociale, l’évaluation de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par la DGSSI.
Il sied de préciser que, suite à l’ajout d’un nouveau domaine d’audit, l’évaluation des processus et de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par ladite direction. Par ailleurs, l’octroi de la qualification dans le(s) domaine(s) sollicitée(s) reste tributaire de la réussite des auditeurs candidats dans les examens d’évaluation dans ce(s) domaine(s).
وفقا لأحكام المرسوم رقم 406-21-2 لتطبيق القانون رقم 20-05 المتعلق بالأمن السيبراني، يتعين على الهيئات والبنيات التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة أن تجري افتحاصات دورية لنظمها من طرف متعهدي افتحاص أمن نظم المعلومات المؤهلين من قبل المديرية العامة لأمن نظم المعلومات. ويستند هذا التأهيل، الذي يضمن الجودة والثقة، إلى التحقق من عدة معايير من بينها:
يجب على أصحاب المشاريع الاطلاع على القائمة أدناه للتحقق من قرارات تأهيل متعهدي افتحاص أمن نظم المعلومات:
مقدمي الخدمة | المراجعة التنظيمية | مراجعة البنى | مراجعة التكوينات | اختبارات الاختراق | مراجعة الرموز المصدرية | مراجعة النظم الصناعية | تاريخ انتهاء التأهيل | فئة معلومات النظام | قرار التأهيل |
---|---|---|---|---|---|---|---|---|---|
بالإضافة إلى ذلك، يجب على متعهدي الإفتحاص الراغبين في تقديم خدمات إفتحاص أمن نظم المعلومات ذات التصنيف "فئة أ"، استيفاء الشروط التالية:
يتم التأهيل على مرحلتين مع الالتزام بإنهاء المرحلة الأولى بنجاح قبل الانتقال إلى المرحلة الموالية، كما هو موضح أدناه:
تتمثل هذه المرحلة في تحليل عناصر ملف طلب التأهيل. بعد التأكد من أن ملف الطلب يتضمن جميع المستندات والمعلومات المطلوبة، تقوم السلطة الوطنية للأمن السيبراني وعلى نفقتها الخاصة، بإخضاع متعهد افتحاص أمن نظم المعلومات صاحب الطلب لتقييم الخدمات المتعلقة بطلبه من طرف إحدى المؤسسات التي تحددها لهذا الغرض. يتم إجراء التقييم المذكور أعلاه وفقا لمعيار شروط أهلية مقدمي خدمات افتحاص أمن نظم المعلومات.
تتمثل هذه المرحلة في تقييم ما يلي وذلك من طرف هيئة تقييم معيَّنة من قبل المديرية العامة لأمن نظم المعلومات :
في ضوء نتائج التقييمات المذكورة أعلاه، تصدر المديرية العامة لأمن نظم المعلومات قرار التأهيل بالإشارة الى :
وفقا لمقتضيات المادة 25 من المرسوم رقم 406-21-2 لتطبيق القانون 20-05 المتعلق بالأمن السيبراني، يقوم متعهد افتحاص أمن نظم المعلومات بإخبار السلطة الوطنية، فورا، بكل تغيير يطرأ على أحد العناصر التي تم على أساسها منح التأهيل. تحقيقا لهذه الغاية، يجب على متعهد الإفتحاص تقديم استمارة الإبلاغ عن التعديل لدى المديرية العامة لأمن نظم المعلومات، مصحوبة بملف يحتوي على المستندات التالية، حسب الحالة :
توضيح: بعد تغيير عنوان المقر الرئيسي، يشترط تقييم الأمن المادي لمباني الشركة لتحديث قرار التأهيل. وذلك من طرف هيئة تقييم يتم تعيينها من قبل المديرية العامة لأمن نظم المعلومات .
يظل منح التأهيل في المجال (المجالات) المطلوب (ة) مرهون بنجاح المفتحصين المرشحين في امتحانات التقييم في هذا(ه) المجال (المجالات).
In accordance with the provisions of Decree No. 2-21-406 for the implementation of Law No. 05-20 on cybersecurity, entities and critical infrastructure with sensitive information systems are required to undergo periodic audits of their systems by audit service providers qualified by the DGSSI. This qualification, which serves as a guarantee of quality and trust, is based on the verification of criteria attesting to, notably:
The project owners must refer to this list to verify the status of decisions PASSI qualification:
Service Provider | Organizational and Physical Audit | Architecture Audit | Configuration Audit | Intrusion Testing | Source Code Audit | Industrial Systems Audit | End Date of Qualification | Information Systems Class | Qualification Decision |
---|---|---|---|---|---|---|---|---|---|
Additionally, to provide information systems security audit services classified as "CLASS A," the audit service provider must meet the following conditions:
The qualification process consists of two stages, with the obligation to validate one phase to proceed to the next, as indicated below:
This stage involves analyzing the elements comprising the qualification application dossier. After ensuring that the application dossier includes all required documents and information, the national authority submits the information security audit provider, at their expense, to an evaluation of the services specified in the application by one of the designated organizations. The aforementioned evaluation is conducted in accordance with the requirements framework relating to the qualification of information security systems audit providers..
This involves evaluation by the evaluator designated by the DGSSI:
These evaluations are conducted under the supervision of the DGSSI.
Based on the results of the aforementioned evaluations, the DGSSI issues the qualification decision, indicating:
According to Article 25 of Decree No. 2-21-406 implementing Law 05.20 on cybersecurity, any provider of information systems security audit services (PASSI) shall promptly inform the national authority (DGSSI) of any changes that have occurred in any of the elements upon which the qualification was granted. To this end, the modification declaration form must be submitted by the PASSI to the DGSSI, accompanied by a dossier containing the following documents, as applicable:
It should be noted that, following the change in the registered office address, an assessment of the physical security of the company's premises is required to update the qualification decision. This assessment will be conducted by an evaluator appointed by the DGSSI.
It should be noted that, following the addition of a new audit domain, the evaluation of the company's processes and physical security of its premises is required to update the qualification decision. This evaluation will be carried out by an evaluating body designated by the DGSSI. Furthermore, the granting of qualification in the requested domain(s) is contingent upon the success of the candidate auditors in the evaluation exams in this domain(s).
According to Articles 8 and 17 of Law 43-20, the DGSSI is responsible for issuing certificates of conformity for qualified devices intended for the creation of electronic signatures or electronic seals. These certificates attest to the compliance of such devices with the requirements listed in the aforementioned articles of Law 43-20.
According to Article 46 of Law 43-20 on trust services for electronic transactions, the import, export, and provision of cryptographic means, as well as the provision of cryptographic services, are subject, as appropriate, to prior declaration or authorization from the national authority.
Some cryptographic means and services are exempt from the aforementioned formalities. The list of these means and services is defined in Annex 6 of Decree No. 2-22-687 issued for the implementation of Law No. 43-20.
According to Article 34 of Decree No. 2-22-687 implementing Law No. 43-20, prior authorizations for the import, export, provision, operation, or use of cryptographic means or services issued in accordance with the provisions of Decree No. 2-08-518 implementing Law No. 53-05 remain valid until their expiration
To report any criminal digital content, including threats to the security of individuals and groups, praise or incitement of terrorism, and violations of the rights and freedoms of children, please use the following platform : www.e-blagh.ma
DGSSI2024 All rights reserved