Lignes directrices relatives à l accréditation des installations d évaluation et d essais de produits de sécurité des technologies de l information

Dimension: px
Commencer à balayer dès la page:

Download "Lignes directrices relatives à l accréditation des installations d évaluation et d essais de produits de sécurité des technologies de l information"

Transcription

1 Lignes directrices relatives à l accréditation des installations d évaluation et d essais de produits de sécurité des technologies de l information (EEPSTI)

2

3 LIGNES DIRECTRICES RELATIVES À L ACCRÉDITATION DES INSTALLATIONS D ÉVALUATION ET D ESSAIS DE PRODUITS DE SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION GUIDELINES FOR THE ACCREDITATION OF INFORMATION TECHNOLOGY SECURITY EVALUATION AND TESTING FACILITIES (EEPSTI) Copyright Conseil canadien des normes, avril 2010 Tous droits réservés. Aucune partie du présent document ne peut être reproduite, stockée dans un système électronique d extraction, ni transmise, sous quelque forme que ce soit ni par aucun procédé électronique ou mécanique, y compris la photocopie, l enregistrement ou autrement sans le consentement écrit préalable de l éditeur : Conseil canadien des normes 270, rue Albert, bureau 200 Ottawa (Ontario) K1P 6N7 Canada Tél. : (613) Téléc. : (613) Internet :

4 NOTE : On peut obtenir un exemplaire français de ce document en écrivant au : Conseil canadien des normes 270, rue Albert, bureau 200, Ottawa (Ontario), K1P 6N7 Tél. : (613) Télécopieur : (613) Courriel : Site web : NOTE: An English version of this document is available from the: Standards Council of Canada 270 Albert Street, Suite 200 OTTAWA, Ontario K1P 6N7 Tel.: (613) Fax.: (613) Website:

5 TABLE DES MATIÈRES AVANT-PROPOS... II PRÉFACE...III INTRODUCTION... IV EXIGENCES GÉNÉRALES... VI 1. RÉFÉRENCES DÉFINITIONS PORTÉE DES ESSAIS Approche générale en matière d essais STI DÉMONSTRATION DE LA COMPÉTENCE TECHNIQUE Composition de l équipe d évaluation Préparation de l évaluation sur place Essais d aptitude...9 ANNEXE A APPLICATION DES EXIGENCES DU CAN-P-4E AUX INSTALLATIONS D EEPSTI Exigences relatives au management Exigences techniques...12 ANNEXE B PORTÉE D'ACCRÉDITATION DES CENTRES D'ÉVALUATION SELONS LES CRITERES COMMUNS Portée d accréditation...15 Compétences et habiletés requises...16 Essais d aptitude Processus de contrôle technique...17 Conseil canadien des normes, 2010 i

6 AVANT-PROPOS Le Conseil canadien des normes («CCN») est une société d État qui a été constituée en vertu d une loi adoptée par le Parlement en 1970, modifiée en 1996, pour encourager et promouvoir une normalisation volontaire efficiente et efficace au Canada. Bien que financé en partie en vertu d un crédit parlementaire, il est indépendant du gouvernement pour ce qui est de ses politiques et de son fonctionnement. Le CCN est composé de membres provenant du gouvernement et d organismes du secteur privé. Le CCN a pour mission d encourager les Canadiens à participer aux activités relatives à la normalisation volontaire; d encourager la coopération entre les secteurs privé et public en matière de normalisation volontaire au Canada; de coordonner les efforts des personnes et organismes s occupant du Système national de normes et de voir à la bonne marche de leurs activités; d encourager, dans le cadre d activités relatives à la normalisation, la qualité, la performance et l innovation technologique en ce qui touche les produits et les services canadiens; d élaborer des stratégies et de définir des objectifs à long terme en matière de normalisation. Pour l essentiel, le CCN encourage une normalisation efficiente et efficace au Canada lorsque celle-ci ne fait l objet d aucune mesure législative, en vue de faire progresser l économie nationale, de contribuer au développement durable, d améliorer la santé, la sécurité et le bien-être des travailleurs et du public, d aider et de protéger les consommateurs, de faciliter le commerce intérieur et extérieur, et de développer la coopération internationale en matière de normalisation. En outre, le CCN est le point de convergence du gouvernement en ce qui a trait à la normalisation volontaire. Il représente le Canada dans le cadre d activités internationales de normalisation et il établit les politiques et les procédures régissant l élaboration des Normes nationales du Canada ainsi que l accréditation des organismes d élaboration de normes, des organismes de certification de produits, des laboratoires d essais et d étalonnage, des organismes de certification de systèmes de management de la qualité (SMQ) et de management environnemental (SME) et des organismes de certification des auditeurs de SMQ et de SME. Enfin, le CCN se fait le défenseur de la reconnaissance de l accréditation ou de systèmes équivalents en tant que moyen de réduire le nombre d évaluations et d audits, au Canada de même qu entre le Canada et ses partenaires commerciaux. Le présent document fait partie de ceux qui ont été publiés par le Conseil canadien des normes pour définir les politiques, les plans et les méthodes qu il a établis pour l aider à remplir son mandat. Les demandes d éclaircissement, les recommandations de modification et les demandes d exemplaires supplémentaires doivent être envoyées directement à l éditeur. Conseil canadien des normes, 2010 ii

7 PRÉFACE En 1998, le Centre de la sécurité des télécommunications (CST) s est engagé à collaborer avec le gouvernement et l industrie en vue de mettre en place des capacités commerciales d évaluation et d essais de produits de sécurité des technologies de l information (STI) qui puissent être utilisées sur une large échelle au sein des secteurs public et privé. Le CCN a préparé en collaboration avec le CST le présent document, le CAN-P- 1591C, afin qu il serve de cadre pour l accréditation des installations d évaluation et d essais de produits STI (EEPSTI) du Canada. Ce document a été préparé pour la gouverne et à l usage des accréditeurs, du personnel des installations accréditées aux fins de l EEPSTI ou candidates à cette accréditation, des autres systèmes d accréditation de laboratoires, des clients d installations d EEPSTI, de même que des organismes ou des personnes ayant besoin d information sur les exigences liées à l accréditation accordée dans le cadre du programme d accréditation des installations d EEPSTI. Le (EEPSTI) est un document directeur spécifique qui précise le contenu du CAN-P-4E, Exigences générales concernant la compétence des laboratoires d étalonnages et d essais, qui reprend pour mot pour mot, pour le Canada, les termes de la norme ISO/CEI 17025:2005 du même nom. Les exigences techniques y sont expliquées afin d indiquer comment elles s appliquent au Domaine de spécialité de programme (DSP) de l EEPSTI. Toute installation (y compris les laboratoires commerciaux, universitaires, de fabricants et des gouvernements fédéral ou provinciaux) qui applique des méthodes d essais relevant du DSP-EEPSTI peut présenter une demande d accréditation au CCN. L accréditation sera accordée aux installations qui se conforment aux exigences d accréditation définies dans le présent document et à celles du Guide du PALCAN (CAN-P-1570). L accréditation ne fournit pas de garantie quant au rendement des installations et aux résultats d essais des produits; elle reconnaît plutôt la compétence des installations. Conseil canadien des normes, 2010 iii

8 INTRODUCTION Le présent document a pour objet de préciser, lorsqu il y a lieu, les critères techniques et organisationnels généraux énoncés dans ISO/CEI 17025:2005 (CAN-P-4E) en vue de l accréditation par le CCN d installations susceptibles d évaluer et de mettre à l essai des produits STI. Dans leurs domaines d approbation STI respectifs, les autorités compétentes en matière de STI peuvent reconnaître l accréditation des installations pour la conduite des activités énumérées ci-dessous, cette liste n étant toutefois pas exhaustive : évaluation de produits et de systèmes en vertu des Critères communs; évaluation de modules et d algorithmes cryptographiques (si l accréditation se rapporte également au CAN-P-1621, Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques); examen de produits STI; évaluation d applications de commerce électronique sûr; évaluation de dispositifs biométriques; évaluation de la vulnérabilité et essais de pénétration; évaluation de dispositifs de sécurité commerciaux à fonctions spécialisées. Év aluatio n et certification selon les Critères com muns CAN-P-1621 Essais de modules et d algorithm es cryptographiques Examen de pr od uits Essais et approbation de comme rce électr oniqu e sûr Autres do main es d'approbation STI : Ligne s directrices re lative s à l'accréd itation des installations d'évaluation et d'essais de produits ST I Autres domaines de spécialité du PALCAN CAN-P-4E: Exigences générales concernant la compétence des laboratoires d'étalonnages et d'essais : ISO/CEI 17025:2005 Figure 1 : Ce diagramme illustre les domaines d approbation particuliers et généraux compris dans le champ de la STI Conseil canadien des normes, 2010 iv

9 Le Conseil canadien des normes accrédite des laboratoires pour l exécution d essais objectifs. Le contrôle de ces essais sera assuré de la manière suivante : constitution d une documentation sur les essais menés, y compris sur les modalités appliquées; validation des essais; vérification de la formation et des titres de compétences des membres du personnel, et de leur autorisation; entretien du matériel et des laboratoires. Et, lorsqu il y a lieu : étalonnage du matériel; emploi de matériaux de référence appropriés; prestation de conseils en matière d interprétation; vérification des résultats; évaluation des compétences du personnel; consignation de la performance du matériel et des résultats des essais. Conseil canadien des normes, 2010 v

10 EXIGENCES GÉNÉRALES Le présent document fournit des renseignements d ordre général à l intention des installations d EEPSTI, quelle que soit leur spécialité STI. Des exigences particulières seront élaborées et publiées pour chaque spécialité qui sera définie, au fur et à mesure que la demande le justifiera. D autres domaines de spécialité pourront s ajouter à la liste à mesure que la STI se diversifiera. Les critères liés à une spécialité donnée pourront venir préciser les critères généraux lorsqu il y aura lieu. À cet égard, chaque domaine de spécialité lié à l EEPSTI aura ses critères de performance particuliers précisant ce qui est nécessaire pour assurer le maintien des compétences d une installation d EEPSTI, selon les informations recueillies par l intermédiaire des programmes d assurance de la qualité, lorsque ces programmes existent et qu ils font partie des exigences liées à l accréditation. La mise à l essai des modules et des algorithmes cryptographiques constitue l une des spécialités STI pour lesquelles il a fallu mettre à jour les exigences de la norme et rédiger un nouveau document de procédure, le CAN-P-1621, intitulé Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques. Les installations qui souhaitent effectuer des essais de modules et d algorithmes cryptographiques doivent se conformer aux exigences du CAN-P-1621 en plus de satisfaire à celles du présent document. Les installations qui seront accréditées par le CCN recevront un certificat d accréditation pour l évaluation et l essai de produits STI ainsi qu un document précisant la portée de leur accréditation, c est-à-dire la gamme d essais pour lesquels l accréditation leur a été accordée. Les installations accréditées pourront en outre conclure des ententes avec le CCN concernant l utilisation de son logo conformément à l accord de licence de marque du CCN. Conseil canadien des normes, 2010 vi

11 1. RÉFÉRENCES i. CAN-P-4E, Exigences générales concernant la compétence des laboratoires d étalonnages et d essais, Conseil canadien des normes. ii. iii. ISO/CEI 17025: 2005, Exigences générales concernant la compétence des laboratoires d étalonnages et d essais. Guide ISO/CEI 28: 2004, Évaluation de la conformité Lignes directrices pour un système type de certification des produits par une tierce partie. iv. ISO/CEI 15408: 2005 et 2006, Critères d évaluation pour la sécurité TI Partie 1 : Introduction et modèle général; Partie 2 : Exigences fonctionnelles de sécurité; et Partie 3 : Exigences d assurance de sécurité. v. Vocabulaire international des termes fondamentaux et généraux de métrologie (VIM) : 2004, publié par l ISO. vi. vii. viii. ix. ISO/CEI 17000:2004, Évaluation de la conformité Vocabulaire et principes généraux. Guide ISO/CEI 2: 2004, Normalisation et activités connexes Vocabulaire général. CAN-P-15CA, Exigences et procédures du programme d accréditation des organismes d évaluation de la conformité du CCN relatives à la suspension et au retrait de l accréditation et au règlement des plaintes, des différends et des appels, septembre Guide du PALCAN (CAN-P-1570), Programme d accréditation des laboratoires (PALCAN), Conseil canadien des normes. x. NIST Handbook 150, NVLAP, Procedures and General Requirements, National Institute of Standards and Technology/National Voluntary Laboratory Accreditation Program (NIST/NVLAP), Gaithersburg, MD USA. xi. xii. xiii. NIST Handbook Checklist, Information Technology Security Testing Common Criteria. ISO/CEI 17011: 2005, Évaluation de la conformité Exigences générales pour les organismes d accréditation procédant à l accréditation d organismes d évaluation de la conformité. Lignes directrices à l intention des évaluateurs techniques effectuant des visites, Conseil canadien des normes. 1

12 xiv. Évaluation Guide de cotation à utiliser avec le CAN-P-4E (ISO/CEI :2005) «Exigences générales concernant la compétence des laboratoires d étalonnage et d essais», F0410, septembre 2009, Conseil canadien des normes. 2. DÉFINITIONS 2.1 Les définitions applicables aux fins du présent document englobent toutes les définitions du CAN-P-4E (c.-à-d. laboratoire, laboratoire d essais, laboratoire d étalonnage, étalonnage, essai, méthode d étalonnage, méthode d essai, vérification, système qualité, manuel qualité, étalon de référence, matériau de référence, matériau de référence certifié, traçabilité, essai d aptitude, exigences relatives à l accréditation), les définitions pertinentes d ISO (p. ex., assurance de la qualité, maîtrise de la qualité) et les définitions énoncées cidessous qui sont particulières au présent document : Accréditation d une installation : Reconnaissance officielle du fait qu une installation répond aux exigences d accréditation en matière d EEPSTI. L accréditation d une installation établit que l installation possède les compétences et les capacités voulues pour exécuter des évaluations et des essais de produits et de systèmes STI conformément aux exigences en matière d EEPSTI. (Facility Accreditation) Approbation : Détermination par une autorité en matière de sécurité de l information du fait qu une installation possède dans un domaine d activité précis les compétences techniques voulues pour effectuer l évaluation et l essai de produits STI; autorisation officielle habilitant l installation à mener des essais dans le contexte de l EEPSTI. (Approval) Autorité compétente reconnue en matière de STI : Organisation qui exerce un rôle directeur, une autorité formelle ou une influence directe sur un domaine d approbation STI afin de vérifier l application des normes et des pratiques exemplaires appropriées en matière d évaluation et d essai dans le domaine de compétence visé pour s assurer de la conformité à ces normes et pratiques. Cette organisation est responsable de l approbation des installations d EEPSTI accréditées pour la conduite d activités spécialisées d évaluations et d essais en vue de l approbation ou de la certification des résultats relatifs aux produits dans les domaines d approbation visés. (Recognized ITS Competent Authority) Conception fonctionnelle : Caractéristiques conceptuelles de la structure et caractéristiques de fonctionnement du produit STI. (Architectural Design) Domaine d approbation STI : Domaine spécialisé de la STI pour lequel il existe une autorité compétente reconnue, et pour lequel : 2

13 a) il existe (ou seront élaborées) des normes pour la conduite d activités spécialisées d évaluation et d essais STI; b) il existe un besoin en matière d évaluation de produits ou de services STI; c) il existe une reconnaissance des compétences individuelles ou organisationnelles nécessaires pour mener à bien les évaluations et les essais de sécurité spécialisés; d) il existe une exigence de maîtrise et de surveillance d une gamme précise d essais et d évaluation de produits STI; e) il existe un besoin en matière de révision et d approbation des résultats des évaluations et des essais; f) il existe une ou des installations d EEPSTI accréditées par le CCN. (ITS Approval Domain). Enregistrements : Données étayées, conservées pour référence ultérieure, au sujet d une intervention, d une analyse, d un résultat ou d un événement particulier ou de toute autre activité particulière se rapportant à l évaluation et à l essai de produits STI. Les enregistrements devraient être conservés sous une forme appropriée (électronique ou autre) et permanente pour leur durée de vie utile telle que définie par l autorité compétente reconnue en matière de STI. (Records) Essai d aptitude : Démonstration par une installation de sa capacité d effectuer des essais et des évaluations applicables à sa portée d accréditation. Dans le cadre de l EEPSTI, les installations seront tenues de démontrer leurs compétences théoriques et pratiques en matière d exécution d évaluations et d essais de produits STI. (Proficiency Testing) Évaluation : Analyse et essai de conformité menés en fonction de critères nationaux et internationaux d évaluation de la sécurité (p. ex., les Critères communs). Ce terme est l équivalent de la notion d «essai» pour le CCN. (Evaluation) Évaluation sur place : Examen sur place d une installation en vue d évaluer sa conformité aux conditions et aux critères d accréditation en matière d EEPSTI. (On-site Assessment) Examen technique : Processus par lequel une équipe d évaluation rattachée à une installation d EEPSTI acquiert une connaissance suffisante d un produit pour pouvoir porter un jugement technique sur sa capacité de satisfaire à une exigence de sécurité particulière. (Technical Review) 3

14 Exigences de sécurité : Spécifications relatives à la fonctionnalité ou aux caractéristiques conceptuelles d un produit de technologie de l information qui, lorsqu elles sont intégrées au produit, contribuent à assurer la sécurité. (Security Requirements) Installation : Organisme qui procède à des évaluations et à des essais de sécurité. Lorsque l installation fait partie d une organisation ayant des activités supplémentaires autres que l évaluation et les essais, le terme «installation» se rapporte exclusivement aux éléments de ladite organisation qui interviennent dans le processus d évaluation et d essai. (Facility) Installation d évaluation et d essais de produits STI (EEPSTI) : Installation accréditée par le CCN, selon les normes relatives à l EEPSTI, pour mener des évaluations et des essais de produits STI. (Information Technology Security Evaluation and Testing (ITSET) Facility) Module cryptographique : L ensemble du matériel, du logiciel, du microprogramme ou d une combinaison quelconque de ces éléments qui met en place une logique ou des processus cryptographiques, y compris des algorithmes de chiffrement et des processus de gestion des clés, et qui est contenu dans le périmètre cryptographique. (Cryptographic Module) Outils d essai : Désigne tout l équipement, y compris le matériel, le logiciel, les utilitaires et les procédures connexes, employé à l appui des activités d évaluation et d essais de produits de sécurité. L équipement devrait convenir aux emplois prévus et être géré, utilisé et entretenu conformément aux exigences du fabricant et à toutes autres pratiques appropriées. (Testing Tools) Personnel technique clé : Personnel de l installation détenant l autorité voulue pour prendre les décisions techniques importantes en matière d évaluation. Le «chef», le «responsable» et le «chef d équipe» chargé des évaluations en constituent des exemples. (Key Technical Personnel) Produit : Toute technologie de sécurité TI destinée à assurer la protection des biens et qui fait l objet d activités d évaluation et d essais en matière de sécurité. Ces technologies peuvent comprendre aussi bien des composants matériels ou logiciels autonomes que des systèmes entièrement intégrés, et peuvent englober toutes les procédures qui assurent l utilisation sûre de ces technologies dans l environnement auquel elles sont destinées. (Product) Sécurité des technologies de l information : Tout ce qui se rapporte à la définition, à la mise en œuvre et à la préservation de la confidentialité, de l intégrité, de la disponibilité, de l imputabilité et du contrôle d accès. (Information Technology Security) 4

15 Signataires approuvés : Personnes qualifiées et autorisées à signer le rapport d essai ou le certificat d étalonnage avant sa remise au client. (Approved Signatories) Validation : La validation d un outil ou d une procédure d essai est le processus qui consiste à vérifier, dans la mesure où cela est possible, que l outil fonctionnera adéquatement ou que la procédure produira des résultats conformes aux spécifications des séries d essais pertinentes, des normes pertinentes ou de versions antérieurement validées d outils d essais. (Validation) 5

16 3. PORTÉE DES ESSAIS 3.1 Les activités d EEPSTI englobent aussi bien des essais menant à des résultats catégoriques, comme les essais de pénétration de garde-barrières, les vérifications de résistance des mots de passe ou les taux de fausse acceptation des dispositifs biométriques, que des activités pouvant comporter une bonne part d interprétation, comme l évaluation de la robustesse des fonctions et des caractéristiques de sécurité d un produit logiciel ou matériel STI. 3.2 L EEPSTI consiste en l analyse des caractéristiques d un produit logiciel ou matériel STI qui visent à assurer les services de sécurité suivants : confidentialité de l information; intégrité de l information; disponibilité; imputabilité. 3.3 Les caractéristiques de sécurité précises qui peuvent être mises à l essai englobent, sans s y limiter, les aspects suivants : fonctions d identification et d authentification; audits de sécurité (constitution et stockage sécurisé de pistes d audit, analyse des événements relatifs à la sécurité); fonctions de non-répudiation; fonctions cryptographiques (opérations cryptographiques, gestion des clés cryptographiques); transmission sécuritaire de données (implantation et application du contrôle de l accès ou des règles ou politiques de flux de données); intégrité des données stockées; gestion des fonctions de sécurité, des données relatives à la sécurité et des rôles de gestion de la sécurité; protection des fonctions de sécurité, y compris l impossibilité de contournement et l isolation de domaines; utilisation des ressources (résilience, priorité de service, attribution des ressources); fonctions à sécurité intégrée; fonctions d autotest; protection physique (détection/prévention des sabotages). 3.4 Les techniques employées pour évaluer les caractéristiques de sécurité englobent, sans s y limiter, les aspects suivants : autoexamen avec résultats connus; analyse de la vulnérabilité afin de s assurer que le client a envisagé toutes les vulnérabilités éventuelles du produit STI évalué; 6

17 examen des codes logiciels; analyse approfondie de l environnement de conception et de la documentation connexe en vue de déterminer l efficacité du système de gestion des configurations applicable au produit STI évalué; examen approfondi de la documentation de livraison pour établir si elle décrit bien toutes les procédures requises pour préserver l intégrité du produit STI évalué; examen et mise à l essai des procédures d installation, de génération et de démarrage pour déterminer si elles sont complètes et assez détaillées pour permettre une configuration sécurisée du produit STI évalué; analyse approfondie de la documentation de conception, notamment les spécifications fonctionnelles, la conception de haut niveau et la conception de bas niveau, afin de confirmer qu elle instancie correctement toutes les interfaces et toutes les fonctions de sécurité inhérentes au produit évalué; analyse approfondie des guides d utilisation et d administration afin d établir s ils expliquent bien et sans ambiguïté comment se servir du produit et l administrer de manière sécuritaire et s ils sont conformes à toute autre documentation fournie aux fins de l évaluation; examen et évaluation, dans le cadre de visites sur place, des procédures de sécurité à l égard de la conception afin de déterminer si elles exposent de manière assez précise les mesures nécessaires dans l environnement de conception pour assurer la confidentialité et l intégrité du concept et de l implantation du produit STI; analyse des essais des clients en vue d en établir la couverture et la profondeur, et réalisation d essais de fonctionnement et de pénétration indépendants; mise en correspondance des politiques de sécurité; traçage des exigences de sécurité. 3.5 Approche générale en matière d essais STI La méthodologie appliquée distingue quatre principaux volets dans la planification et l exécution des essais liés à l évaluation de la sécurité d installations d EEPSTI : l analyse de la couverture des essais, les plans d essais, les procédures d essais et les résultats d essais L analyse de la couverture des essais met habituellement en correspondance les caractéristiques de sécurité et les résultats des essais qui démontrent le fonctionnement adéquat des fonctions de sécurité. Elle peut servir à prouver que toutes les caractéristiques de sécurité ont été mises à l essai. 7

18 3.5.3 Le plan d essai précise la mesure dans laquelle chaque caractéristique de sécurité sera mise à l essai, l approche adoptée à cette fin ainsi que les ressources nécessaires, notamment en fait d équipement, de personnel et de temps, pour réaliser les essais de la façon indiquée La procédure d essai décrit la marche à suivre, conformément au plan d essai, pour mettre en place le contexte nécessaire à la conduite des essais, réunir les conditions voulues, procéder aux essais et documenter les résultats projetés. Elle doit être consignée de façon suffisamment détaillée pour éviter toute ambiguïté au cours des essais et pour permettre à d autres évaluateurs de la reprendre ultérieurement et d obtenir les mêmes résultats Les résultats d un essai documentent les résultats réels observés au cours d un essai et doivent être consignés de façon suffisamment détaillée pour permettre la comparaison avec les résultats projetés et pour faciliter les comparaisons si le même essai est répété ultérieurement. Les résultats réels obtenus permettent de prendre une décision concernant la protection assurée. 8

19 4. DÉMONSTRATION DE LA COMPÉTENCE TECHNIQUE 4.1 Composition de l équipe d évaluation L accréditation établit que l installation dispose des compétences et des capacités voulues pour procéder à des évaluations et à des essais de produits et de systèmes STI conformément aux normes définies. Le CCN offre l accréditation aux installations d EEPSTI en collaboration avec le CST. Le CCN fournit l évaluateur principal pour chaque accréditation ou réévaluation et le CST, un ou plus d un évaluateur technique pour les évaluations sur place et les essais d aptitude. 4.2 Préparation de l évaluation sur place L évaluation sur place vise à faciliter la démonstration de la conformité du fonctionnement d une installation au document CAN-P-4E. Le CCN remettra les lignes directrices relatives à la conduite des visites aux évaluateurs techniques du CST afin qu ils s y réfèrent pour effectuer les évaluations sur place Avant de procéder à l évaluation sur place, les évaluateurs examineront le manuel qualité de l installation et le curriculum vitæ des membres du personnel. Si d autres documents sont nécessaires à l appui d un essai d aptitude, l installation devrait en être informée avant l évaluation afin qu elle puisse les soumettre. 4.3 Essais d aptitude Les installations sont tenues de participer à des essais d aptitude pour les méthodes d essais indiquées. Dans le cadre de l EEPSTI, les installations devront démontrer leurs compétences théoriques et pratiques en matière d exécution d évaluations et d essais de produits STI. La réussite de l essai d aptitude est un préalable à l obtention de l accréditation initiale et à son renouvellement périodique. Les installations qui désirent renouveler leur accréditation devraient avoir réussi de façon satisfaisante tous les essais d aptitude requis durant la période d accréditation précédente ou avoir apporté les améliorations nécessaires pour remédier aux lacunes signalées. Pour permettre une évaluation adéquate d une installation, un essai d aptitude peut englober les méthodes suivantes : évaluation de la formation et de l expérience du personnel technique de l installation à l égard des exigences précisées à l article de l Annexe A ainsi que des habiletés et des compétences requises mentionnées à l Annexe B; 9

20 évaluation de la capacité de l installation à mettre en œuvre les critères et les méthodes d évaluation applicables correctement et toujours de la même manière par l examen des enregistrements des activités d évaluation et de tout document complémentaire; observation de l expertise du personnel de l installation en matière de sécurité des TI (p. ex., assister à la réalisation des essais relatifs au fonctionnement, à la vulnérabilité et à la pénétration) et des processus techniques en vigueur au sein de l installation. Lorsque la portée d accréditation inclut un programme faisant l objet d un contrôle technique 1 constant (p. ex., Programme des Critères communs), l installation aura eu l occasion par le passé de démontrer sa compétence en exécution d évaluations et d essais de produits et de systèmes STI. Le cas échéant, les résultats du contrôle technique seront utilisés dans le cadre des essais d aptitude. 1 Le processus de contrôle technique est exposé à l Annexe B. 10

21 ANNEXE A APPLICATION DES EXIGENCES DU CAN-P-4E AUX INSTALLATIONS D EEPSTI La présente annexe doit être utilisée avec le F0410. Chaque application vise à préciser les exigences générales énoncées dans le CAN-P-4E pour lesquelles les critères d essais et d évaluation expressément applicables à l EEPSTI seront utilisés. Le tableau ci-dessous indique les numéros des clauses du CAN-P-4E visées par chaque application. 4. Exigences relatives au management CAN-P-4E (ISO/CEI 17025: 2005, article n o ) Notes du CCN à l intention des installations d EEPSTI concernant l application des exigences 4.1 Organisation b) L installation d EEPSTI est tenue de mettre en place des politiques et des procédures assurant l impartialité et l intégrité des essais EEPSTI, en particulier : lorsque l installation peut, à la discrétion de l autorité compétente en matière de STI, concevoir des produits STI; lorsque l installation peut, à la discrétion de l autorité compétente en matière de STI, fournir des services de consultation en vue d essais STI d un tel produit et participer à ces essais h) et Au moins un membre du personnel technique de l installation est tenu d assumer des fonctions de gestion et doit être un professionnel STI qualifié satisfaisant aux exigences fondamentales en matière de formation (5.2.1) et possédant une vaste expérience de la STI. En ce qui concerne les installations qui sont des Centres d évaluation selon les Critères communs, la formation et l expérience en STI du personnel seront passées en revue et analysées en fonction d une grille de compétences prédéfinie élaborée par l autorité compétente reconnue en matière de STI/le CST. 4.2 Système de management Le manuel qualité doit comprendre la portée des étalonnages ou des essais effectués par l installation qui est publiée sur le site web du CCN. 4.4 Revue des demandes, appels d offres et contrats a) L installation d EEPSTI et son client sont tenus de s entendre par écrit sur ce qui constitue la cible des essais et l environnement dans lequel la cible sera testée, y compris la cible précise des essais, la configuration adoptée aux fins des essais et l environnement externe dans lequel ceux-ci se dérouleront. L installation d EEPSTI et le client sont tenus de s entendre par écrit sur les éléments suivants : cible précise des essais; configuration adoptée aux fins des essais; 11

22 lieux où seront effectués les essais ou l évaluation; toute assistance à la préparation de l environnement d évaluation fournie par le client, comme l envoi d équipement particulier sur les lieux des essais et l installation d un système d exploitation ou de bases de données particuliers, etc.; documents à livrer par le client; documents à livrer par l installation; approche adoptée par l installation relativement aux essais. Les rapports d essais définitifs doivent être conservés par l installation pour la période prévue par le client ou l autorité compétente en matière de STI, ou par les deux Maîtrise des enregistrements L installation est tenue d utiliser et de garder fonctionnel un système de maîtrise des enregistrements afin d assurer le suivi des activités liées aux essais pour chaque évaluation de produit de sécurité. Les enregistrements associés aux activités d évaluation doivent être traçables aux normes et aux méthodes reconnues de l industrie, s il y a lieu. 5. Exigences techniques Les enregistrements doivent être facilement accessibles et contenir des données suffisantes pour permettre à une entité indépendante de déterminer quel travail d évaluation a été effectivement accompli et de souscrire au verdict. L installation d EEPSTI est également tenue de conserver des enregistrements sur les éléments suivants : établissement et modification de procédures et de méthodologies d évaluation; approbation ou rejet de produits soumis à une évaluation; suivi complet des multiples versions des données d évaluation et des rapports techniques d évaluation; suivi complet des activités d évaluation, y compris l analyse initiale, les verdicts et tout changement subséquent à ces derniers (p. ex., à la suite de la modification de preuves ou d une analyse additionnelle); renseignements nécessaires pour reproduire tout essai mené durant une évaluation; configuration de tout équipement d essai employé durant une évaluation et analyse de cet équipement visant à confirmer son adéquation pour ce qui est de l exécution des essais voulus. L installation est tenue de conserver, divulguer et détruire ses enregistrements conformément à sa politique à l égard des renseignements exclusifs de nature confidentielle ainsi qu aux engagements contractuels conclus avec ses clients. CAN-P-4E (ISO/CEI 17025: 2005, article n o ) Notes du CCN à l intention des installations d EEPSTI concernant l application des exigences 5.2 Personnel L installation est tenue de compter, parmi son personnel technique, au moins 12

23 trois employés ayant une formation appropriée (diplôme universitaire ou collégial en informatique, en génie ou dans une discipline connexe, ou certification professionnelle) et une expérience pertinente en conception, en essai ou en évaluation de produits de sécurité. En outre, son personnel doit avoir les connaissances ou l expérience requises relativement à tout produit spécifique à évaluer Le système de management doit contenir des renseignements sur les politiques et les procédures (programme de formation) qui régissent la vérification périodique des compétences de tout le personnel prenant part à la conduite et à l évaluation des essais. S il y a seulement un membre du personnel de l installation qui possède les compétences voulues pour se charger d un aspect spécifique des essais, les audits doivent au moins comprendre une revue de la documentation et des instructions ainsi qu une vérification du respect des procédures et des instructions, et de la documentation présentant les résultats d essais. 5.3 Installations et conditions ambiantes L espace dont dispose l installation pour les évaluations STI doit être entretenu de manière à permettre ces évaluations. Cela inclut des locaux aménagés pour l évaluation et l essai de produits de sécurité, la formation du personnel, la tenue des enregistrements et la conservation des documents et des logiciels et matériel informatique. L installation est tenue de mettre à jour tous les systèmes d essais et d évaluation régulièrement pour les protéger contre les virus et autres logiciels malveillants. L installation doit être dotée d un système de sauvegarde efficace afin de pouvoir récupérer toute donnée d évaluation (enregistrements compris) éventuellement perdue. Lorsque des essais sont menés dans les locaux d un client ou à tout autre endroit qu à l installation, toutes les exigences d EEPSTI applicables à l équipement, aux aménagements et à l environnement s appliqueront Des processus et des procédures doivent être instaurés pour préserver le cloisonnement des divers produits évalués simultanément, ce qui inclut à la fois les produits mêmes et toutes les données connexes découlant des essais et des évaluations Un système doit être instauré pour protéger le matériel informatique, les logiciels, les documents d évaluation livrables et les enregistrements électroniques et papier propres aux clients. Ce système doit protéger contre tout accès non autorisé le matériel et l information qui appartiennent en propre aux clients. Des mesures de protection technique (garde-barrière, système de détection d intrusion, etc.) doivent être implantées afin de protéger les systèmes internes associés aux essais et aux évaluations STI contre les entités externes non fiables. 5.5 Équipement Pour les besoins de la portée d accréditation, l installation est tenue de disposer de l équipement matériel et logiciel et des installations informatiques appropriés pour mener des évaluations et des essais de produits STI. Elle doit être pourvue sur place de systèmes à l appui des évaluations de sécurité qui sont appropriés et qui sont adaptés aux essais visés par la demande d accréditation. 13

24 L installation doit avoir ou être en mesure de fournir, sur préavis raisonnable, l infrastructure de TI nécessaire aux fonctions suivantes : traitement de textes pour la production de rapports; communication sécurisée par courriel avec les clients, l autorité compétente en matière de STI, etc.; accès à Internet; utilisation de tout outil spécialisé requis dans le cadre du travail d évaluation Aux fins de l EEPSTI, le terme «équipement» désigne les produits matériels et logiciels et tout autre mécanisme d évaluation utilisés par l installation à l appui de l évaluation et de l essai d un produit STI. L installation doit être dotée sur place des systèmes appropriés à l appui d évaluations et d essais de produits STI. L équipement utilisé pour les essais doit être employé et entretenu : conformément aux recommandations du fabricant; tel qu il est indiqué dans la méthode d essai; tel qu il est indiqué dans les exigences détaillées propres au domaine de spécialité EEPSTI. L installation est tenue d avoir des procédures garantissant la configuration appropriée de tout l équipement d essai. Elle est tenue de conserver les enregistrements de cette configuration et de toute analyse visant à confirmer que cet équipement convient aux essais voulus. L installation est tenue d avoir des procédures visant à assurer la conservation, l élimination ou le retour appropriés des logiciels et du matériel informatique après la conclusion de l évaluation. 5.8 Manutention des objets d essai et d étalonnage Le manuel qualité doit comprendre les procédures qui se rapportent à ce qui suit : manipulation et intégrité des produits; manipulation et intégrité des outils et logiciels d essais; exécution d essais sur place Rapport sur les résultats L installation d EEPSTI est tenue de publier des rapports d essais qui présentent de façon exacte, claire et non ambiguë les conditions d essais, la configuration d essais, les résultats des essais et toute l information requise Les rapports d essais doivent comporter une mention indiquant qu ils ne peuvent être reproduits qu en totalité sauf autorisation écrite de l installation à cet effet e) Chaque rapport d essai doit indiquer les types d essais standard effectués ou fournir une description des essais. 14

25 ANNEXE B PORTÉE D'ACCRÉDITATION DES CENTRES D'ÉVALUATION SELONS LES CRITERES COMMUNS Introduction L accréditation établit qu une installation dispose des compétences et des capacités voulues pour exécuter des évaluations et des essais de produits et de systèmes de sécurité des technologies de l information (STI). La présente annexe expose en détail les méthodes d évaluation et d essais précises que les installations peuvent employer aux termes de la norme ISO/CEI (aussi appelée Critères communs, ou CC) à l aide du document méthodologique ISO/CEI (aussi appelé méthodologie d évaluation commune, ou CEM). Le Centre de la sécurité des télécommunications (CST) gère l organisme de certification (OC) du Schéma canadien d évaluation et de certification selon les Critères communs (SCCC). Le SCCC est un partenariat gouvernement-industrie en vertu duquel des installations commerciales d évaluation évaluent selon les CC des produits STI d une part et le CST assure le contrôle technique et la certification des résultats des évaluations d autre part. Le CST est également chargé d approuver les Centres d évaluation selon les CC (CECC) et il s appuie à cette fin sur le domaine de spécialité de programme de l EEPSTI pour établir leur compétence technique. Les installations d évaluation dont les compétences sont ainsi reconnues reçoivent un document contenant la portée d accréditation ci-dessous, qui est propre à la norme des CC. La présente annexe précise par ailleurs les compétences et les habiletés exigées du personnel des installations de même que les techniques relatives aux essais d aptitude qui sont propres aux CCEC. Portée d accréditation Conformément aux normes suivantes : ISO/CEI : Technologies de l information Techniques de sécurité Critères d évaluation pour la sécurité TI Partie 1 : Introduction et modèle général; Partie 2 : Exigences fonctionnelles de sécurité; Partie 3 : Exigences d assurance de sécurité; ISO/CEI : Technologies de l information Techniques de sécurité Méthodologie pour l évaluation de sécurité TI, la portée d accréditation inclut les activités d évaluation et d essais ci-dessous : APE : évaluation de profils de protection; ASE : évaluation d une cible de sécurité; EAL1 : premier niveau d assurance de l évaluation; 15

26 EAL2 : deuxième niveau d assurance de l évaluation; EAL3 : troisième niveau d assurance de l évaluation; EAL4 : quatrième niveau d assurance de l évaluation; ALC_FLR : correction d anomalies. Compétences et habiletés requises Pour les besoins de la portée d accréditation, présentée ci-dessus, le personnel de l installation est tenu d avoir une connaissance fonctionnelle des normes ISO/CEI et ISO/CEI et de posséder les compétences et les habiletés nécessaires pour accomplir les activités suivantes en conformité avec les exigences des deux normes : évaluer un profil de protection; évaluer une cible de sécurité; effectuer une analyse approfondie de l environnement de conception du client et de la documentation connexe en vue de déterminer l efficacité du système de gestion des configurations du client; effectuer un examen approfondi de la documentation de livraison du client afin d établir si cette dernière décrit bien toutes les procédures requises pour préserver l intégrité du produit STI évalué; examiner et mettre à l essai les procédures d installation, de génération et de démarrage pour déterminer si elles sont complètes et assez détaillées pour permettre une configuration sécurisée du produit STI évalué; effectuer une analyse approfondie de la documentation de conception, notamment les spécifications fonctionnelles, la conception de haut niveau et la conception de bas niveau, afin de confirmer qu elle instancie correctement toutes les interfaces et toutes les fonctions de sécurité inhérentes au produit évalué; analyser en profondeur les guides d utilisation et d administration afin d établir s ils expliquent bien et sans ambiguïté comment se servir du produit et l administrer de manière sécuritaire et s ils sont conformes à toute autre documentation fournie aux fins de l évaluation; examiner et évaluer, au cours de visites sur place, les procédures de sécurité à l égard de la conception afin de déterminer si elles font une description suffisamment détaillée des mesures de sécurité nécessaires dans l environnement de conception pour assurer la confidentialité et l intégrité du concept et de l implantation du produit STI; faire une analyse de la vulnérabilité pour vérifier si le client a envisagé toutes les vulnérabilités éventuelles du produit STI évalué; évaluer les essais conçus par des clients en vue d en établir la couverture et la profondeur, et mener des essais de fonctionnement et de pénétration indépendants; passer en revue le plan d essai, l approche d essai, les procédures d essais et les résultats d essais du client, et étudier les données d essais afin de démontrer que les fonctions de sécurité sont conformes aux spécifications et ont été éprouvées de manière systématique par rapport aux spécifications fonctionnelles et à la conception de haut niveau; 16

27 concevoir des essais de fonctionnement par suite de l analyse de la documentation de conception, des guides et de la documentation des essais du client, de l exécution d un vaste échantillon des scénarios d essais du client et de la création de scénarios d essais complémentaires; concevoir des essais de pénétration fondés sur une analyse de la vulnérabilité, les spécifications fonctionnelles, la conception de haut niveau, la conception de bas niveau et les guides d installation; produire des rapports d observation, d évaluation et d essais conformément aux exigences du SCCC. Essais d aptitude Processus de contrôle technique Ainsi qu il a été mentionné précédemment, il incombe à l OC d assurer la surveillance technique des travaux d évaluation selon les CC réalisés par les CCEC. Grâce à ce processus, l OC peut déterminer si un CECC réalise des évaluations de qualité ou si celui-ci doit prendre des mesures correctives. Pour satisfaire aux exigences de surveillance technique du SCCC, une installation doit être en mesure de : préparer un plan de travail pour l évaluation (PTE) et un calendrier d évaluation qui prévoient l assignation de ressources appropriées et les activités pertinentes; présenter une version bien développée de la cible de sécurité (obtenue du développeur) et la liste des documents à livrer; effectuer les activités d évaluation conformément aux exigences des CC et de la CEM, et produire les données d évaluation pour l OC pendant l évaluation proprement dite; répondre aux rapports d observation formulés par l OC; préparer un rapport technique d évaluation (RTE) et un rapport de certification préliminaire (RCP) dans lesquels seront consignées les constatations; travailler de façon coordonnée en équipe afin de réussir l évaluation. L OC peut choisir d observer certaines activités d évaluation plus en détail ou de répéter plus d activités d évaluation que ce qui serait normalement le cas dans d autres évaluations selon les CC, afin de vérifier que les analyses et les procédures appropriées sont appliquées. Les résultats du processus de surveillance technique décrit ci-dessus peuvent servir aux fins des essais d aptitude. Outre le processus de surveillance technique, l OC évalue, met à l essai et approuve les candidats aux postes d évaluateur selon les CC. Pour participer aux activités d évaluation à ce titre, les membres du personnel doivent faire la preuve qu ils ont reçu la formation et acquis l expérience pertinentes en STI, et réussir un examen de l OC qui met à l épreuve leurs connaissances et leurs habiletés dans l application des CC et de la CEM. L OC remet aux personnes ayant satisfait à ces deux exigences un certificat d évaluateur qui précise le niveau EAL maximal en vertu duquel elles sont qualifiées pour travailler dans le cadre du SCCC. 17

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit EMC RecoverPoint version 3.4 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques

Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques EXIGENCES RELATIVES À L ACCRÉDITATION DES INSTALLATIONS D ESSAIS DE MODULES ET D ALGORITHMES

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du système d exploitation Data Domain version 5.2.1.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Lignes directrices du PALCAN relatives à l utilisation des logos de l organisme d accréditation et aux déclarations concernant le statut d organisme

Lignes directrices du PALCAN relatives à l utilisation des logos de l organisme d accréditation et aux déclarations concernant le statut d organisme Lignes directrices du PALCAN relatives à l utilisation des logos de l organisme d accréditation et aux déclarations concernant le statut d organisme accrédité (ILAC-G14:2000) CAN-P-1631 LIGNES DIRECTRICES

Plus en détail

juin 2003 Programmes d accréditation des Systèmes de management de la qualité (PASMQ)

juin 2003 Programmes d accréditation des Systèmes de management de la qualité (PASMQ) Guide du SCECIM Politique et méthode relatives à la qualification sectorielle dans le cadre du système canadien d évaluation de la conformité des instruments médicaux (SCECIM) juin 2003 Programmes d accréditation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetIQ Secure Configuration Manager 5.9.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Trustwave AppDetectivePRO Version 8.3.1 préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit RSA Archer egrc Platform v5.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Symantec Security Information Manager 4.8.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Memory Arrays avec Memory Gateways Version 5.5.2 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetScout ngeniusone Unified Performance Management Platform V5.2.1 and ngenius InfiniStream V5.2.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Commutateur de services photonique 1830 Photonic Service Switch (PSS) R7.0 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Symantec Network Access Control Version 12.1.2 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit McAfee Enterprise Mobility Management 9.7 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit Symantec Risk Automation Suite 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les critères

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetApp Data ONTAP v8.1.1 7-Mode Préparé par : le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit EMC Symmetrix VMAX Series with Enginuity Operating Environment 5875, Solutions Enabler 7.2.0 and Symmetrix Management Console 7.2.0 Préparé par :

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Triumfant Resolution Manager 4.2 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetApp Data ONTAP, version 8.2.1 7-Mode Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification McAfee Enterprise Mobility Management 12.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit Trustwave SIEM Operations Edition Version 5.9.0 and Trustwave SIEM LP Software Version 1.2.1 Préparé par : Le Centre de la sécurité des télécommunications

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4 + du produit WatchGuard XTM Firewalls and Fireware XTM Operating System v11.5.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Series Appliances with HYPERMAX OS 5977 Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit de Préparé par : Le Centre de la sécurité des télécommunications, à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification McAfee Management for Optimized Virtual Environments Antivirus version 3.0.0 with epolicy Orchestrator version 5.1.1 Préparé par Le Centre de la sécurité des télécommunications

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4 + du produit VMware ESX 4.0 Update 1 and vcenter Server 4.0 Update 1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation du Standard Protection Profile for Enterprise Security Management Access Control Version 2.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit McAfee Application Control v5.0, Change Control v5.0, and Integrity Monitor v5.0 with McAfee Agent v4.5 and epolicy Orchestrator v4.5 Préparé par

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification with Premium Encryption Security v8.1 Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Verdasys Préparé par le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les Critères

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 du produit Symantec Mail Security 8300 Series Appliances Version 5.0 Préparé par : Le Centre de la sécurité des télécommunications, à titre d organisme de certification

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Symantec Endpoint Protection Version 12.1.2 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 6 Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 Contrôle technique de la continuité de l assurance d une TOE certifiée Août 2005 ii Version

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification McAfee Network Security Platform v7.1 (capteurs de la série M) Préparé par Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4+ du commutateur KVM DVI sécurisé, du commutateur KM sécurisé et du commutateur KVM de fenêtrage sécurisé Avocent -Cybex Préparé par : Centre de la sécurité des

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit EMC CLARiiON FLARE v4.29 with Navisphere v6.29 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Data ONTAP, version 7.2.5.1 Préparé par : Le Centre de la sécurité des télécommunications Canada, à titre d organisme de certification dans le cadre

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4 du système Check VPN- 1/FireWall-1 Next Generation Feature Pack 1 Préparée par : Le Centre de la sécurité des télécommunications à titre d organisme de certification

Plus en détail

Exigences relatives à l accréditation des laboratoires d analyse environnementale. CAN-P-1585 Décembre 2008

Exigences relatives à l accréditation des laboratoires d analyse environnementale. CAN-P-1585 Décembre 2008 Exigences relatives à l accréditation des laboratoires d analyse environnementale CAN-P-1585 Décembre 2008 Domaines de spécialité de programme Analyse environnementale (DSP-AE) EXIGENCES RELATIVES À L

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du logiciel McAfee Email Gateway (MEG) v7.0.1, tournant sur VMware Server Préparé par : le Centre de la sécurité des télécommunications Canada à titre d organisme

Plus en détail

Administration canadienne de la sûreté du transport aérien

Administration canadienne de la sûreté du transport aérien Administration canadienne de la sûreté du transport aérien Norme relative au système de gestion des fournisseurs de services de contrôle de l ACSTA Octobre 2009 La présente norme est assujettie aux demandes

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification EMC NetWorker v8.0.1.4 Préparé par Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit NetScout ngenius InfiniStream (V4.7 MR2), ngenius Performance Manager (V4.7 MR2), and ngenius K2 (V4.7 MR2) Préparé par : Le Centre de la sécurité

Plus en détail

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302*

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Transports Canada Transport Canada TP 14693F (05/2007) Aviation civile Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Imprimé au Canada Veuillez acheminer vos commentaires, vos commandes

Plus en détail

Règles relatives à la qualification des produits de sécurité par la DCSSI

Règles relatives à la qualification des produits de sécurité par la DCSSI Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits

Plus en détail

Processus et exigences d accréditation. Centre d expertise en analyse environnementale du Québec

Processus et exigences d accréditation. Centre d expertise en analyse environnementale du Québec Centre d expertise en analyse environnementale du Québec Programme d accréditation des établissements d analyse des émissions des véhicules lourds Processus et exigences d accréditation DR-12-PIEVAL-01

Plus en détail

Attribution et maintien de la responsabilité sectorielle principale

Attribution et maintien de la responsabilité sectorielle principale Attribution et maintien de la responsabilité sectorielle principale CAN-P-1006C Novembre 2005 Copyright Conseil canadien des normes, 2006 Tous droits réservés. Aucune partie du présent document ne peut

Plus en détail

I/ PRESENTATION GENERALE DE LA QUALITE : LES CONCEPTS QUALITE EN DIAGNOSTIC

I/ PRESENTATION GENERALE DE LA QUALITE : LES CONCEPTS QUALITE EN DIAGNOSTIC Généralités 3 I/ PRESENTATION GENERALE DE LA QUALITE : LES CONCEPTS QUALITE EN DIAGNOSTIC La multiplicité des acceptations de la notion de Qualité est source de bien de malentendus et de réticences associées

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification, version de base RÉVISION v2.8.2 préparé par le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

GRILLE D AUDIT SYSTÈME QUALITÉ 17025

GRILLE D AUDIT SYSTÈME QUALITÉ 17025 Centre d expertise en analyse environnementale du Québec Programme d accréditation des laboratoires d analyse environnementale Programme d accréditation des laboratoires d analyse agricole GRILLE D AUDIT

Plus en détail

Rapport de certification

Rapport de certification iii Rapport de certification Centrify Suite version 2013.2 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien d évaluation et de certification

Plus en détail

Introduction à l ISO/IEC 17025:2005

Introduction à l ISO/IEC 17025:2005 Introduction à l ISO/IEC 17025:2005 Relation avec d autres normes de Management de la Qualité Formation Assurance Qualité LNCM, Rabat 27-29 Novembre 2007 Marta Miquel, EDQM-CoE 1 Histoire de l ISO/IEC

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2 ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2 ÉCHANGE D EFFETS DE PAIEMENT EN LIGNE ÉLECTRONIQUE AUX FINS DE LA COMPENSATION ET DU RÈGLEMENT 2013 ASSOCIATION CANADIENNE DES

Plus en détail

International Laboratory Accreditation Cooperation. Les avantages de l accréditation. global trust. Testing Calibration Inspection

International Laboratory Accreditation Cooperation. Les avantages de l accréditation. global trust. Testing Calibration Inspection International Laboratory Accreditation Cooperation Les avantages de l accréditation La reconnaissance de la compétence en matière d essais L accréditation représente une reconnaissance officielle pour

Plus en détail

NOTE DE MISE EN ŒUVRE

NOTE DE MISE EN ŒUVRE NOTE DE MISE EN ŒUVRE Objet : Gouvernance et surveillance d'entreprise dans les institutions appliquant l'approche NI Catégorie : Fonds propres N o A-1 Date : Janvier 2006 I. Introduction Le présent document

Plus en détail

Administration canadienne de la sûreté du transport aérien Norme relative au système de gestion des fournisseurs de services de contrôle de l ACSTA

Administration canadienne de la sûreté du transport aérien Norme relative au système de gestion des fournisseurs de services de contrôle de l ACSTA Administration canadienne de la sûreté du transport aérien Norme relative au système de gestion des fournisseurs de services de contrôle de l ACSTA Septembre 2015 La présente norme est assujettie aux demandes

Plus en détail

Ministère des Transports. Lignes directrices pour l aménagement routier lié à l aménagement foncier

Ministère des Transports. Lignes directrices pour l aménagement routier lié à l aménagement foncier Ministère des Transports Lignes directrices pour l aménagement routier lié à l aménagement foncier AVANT-PROPOS Aménagement routier Les travaux d aménagement des voies publiques («aménagements routiers»)

Plus en détail

Guide de travail pour l auto-évaluation:

Guide de travail pour l auto-évaluation: Guide de travail pour l auto-évaluation: Gouvernance d entreprise comité d audit Septembre 2014 This document is also available in English. Conditions d application Le Guide de travail pour l auto évaluation

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Guide de travail pour l auto-évaluation:

Guide de travail pour l auto-évaluation: Guide de travail pour l auto-évaluation: Gouvernance d entreprise comité d audit Mars 2015 This document is also available in English. Conditions d application Le Guide de travail pour l auto-évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit RSA Data Loss Prevention Suite v6.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation conforme au NDPP v1.1 du logiciel McAfee Email Gateway (MEG), v7.0.1 exécutable sur les modèles d'appliances 4000-B, 4500-B, 5000(B, C et C-2U), 5500(B et C), et du

Plus en détail

Guide pour les cours élaborés à l échelon local de la 9 e à la 12 e année

Guide pour les cours élaborés à l échelon local de la 9 e à la 12 e année Ministère de l Éducation Guide pour les cours élaborés à l échelon local de la 9 e à la 12 e année PROCESSUS D ÉLABORATION ET D APPROBATION 2004 Table des matières Introduction 3 Considérations préalables

Plus en détail

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION ~ ~ Superviser la qualité et l intégrité de l information financière de la Banque ~ ~ Principales responsabilités assurer

Plus en détail

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION ~ ~ Superviser la qualité et l intégrité de l information financière de la Banque ~ ~ Principales responsabilités Assurer

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit McAfee Email and Web Security Appliance Version 5.5 Patch 2 Publié par le : Centre de la sécurité des télécommunications Canada Organisme de certification

Plus en détail

Norme ISA 220, Contrôle qualité d un audit d états financiers

Norme ISA 220, Contrôle qualité d un audit d états financiers IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 220, Contrôle qualité d un audit d états financiers Le présent document a été élaboré et approuvé par le Conseil

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Sonus Trunking Suite (GSX/NBS 9000, SGX 4000, PSX, DSI, EMS), Release v09.00 Préparé par : Centre de la sécurité des télécommunications Canada à titre

Plus en détail

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE BELAC 2-003 Rev 1-2014 POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE Les versions des documents du système de management de BELAC telles que disponibles sur le site

Plus en détail

DIRECTIVE DIRECTIVE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE

DIRECTIVE DIRECTIVE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE DIRECTIVE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE DIRECTIVE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE Avis au lecteur sur l accessibilité : Ce document est conforme

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

Formation continue obligatoire

Formation continue obligatoire Formation continue obligatoire POLITIQUE (Organismes) Version décembre 2010 S E R V I C E D U D É V E L O P P E M E N T P R O F E S S I O N N E L Table des matières Section 1 : Information générale 3 1.

Plus en détail

PAMAQC COMPARAISON DES CRITÈRES (2006-2011), DES CRITÈRES (2011-2015) ET DES NORMES (2015)

PAMAQC COMPARAISON DES CRITÈRES (2006-2011), DES CRITÈRES (2011-2015) ET DES NORMES (2015) PAMAQC COMPARAISON DES CRITÈRES (2006-2011), DES CRITÈRES (2011-2015) ET DES NORMES (2015) Normes (2015) Critères (2011-2015) Critères (2006-2011) 1. SYSTÈME DE GESTION DE LA QUALITÉ DES PROGRAMMES 6.

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les critères

Plus en détail

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME Les petits déjeuner du CT M Réunion n 4 du Club de Laboratoires Accrédités Dématérialisation des données Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes

Plus en détail

Norme ISA 402, Facteurs à considérer pour l audit d entités faisant appel à une société de services

Norme ISA 402, Facteurs à considérer pour l audit d entités faisant appel à une société de services IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 402, Facteurs à considérer pour l audit d entités faisant appel à une société de services Le présent document a

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4+ du produit JUNOS-FIPS for SRX Series version 10.4R4 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

La norme NF EN ISO/CEI 17025 Mise en œuvre au CTP. Michèle BOUCLIER 12 octobre 2011

La norme NF EN ISO/CEI 17025 Mise en œuvre au CTP. Michèle BOUCLIER 12 octobre 2011 La norme NF EN ISO/CEI 17025 Mise en œuvre au CTP Michèle BOUCLIER 12 octobre 2011 Centre Technique du Papier CTP Domaine Universitaire - 351, rue de la Papeterie - 38044 Grenoble Cedex 09 - France Tél.

Plus en détail

Projet des affaires électroniques Vérification du système en développement 2004 Réponses de la gestion (plans d action)

Projet des affaires électroniques Vérification du système en développement 2004 Réponses de la gestion (plans d action) Réponses de la gestion préparées par : Christiane Villemure, directrice de l Initiative des En date du : 14 juin 2004 Suivi des évaluations antérieures 3.1 Vérification de suivi de l Initiative des Septembre

Plus en détail

Tâches et fonctions types Tâches et fonctions types Tâches et fonctions types Leadership

Tâches et fonctions types Tâches et fonctions types Tâches et fonctions types Leadership Raison d être Raison d être Raison d être Gérer les aspects scientifiques et opérationnels du fonctionnement d un laboratoire de recherche ou d une installation spécialisée qui offre des services d analyse,

Plus en détail

Commission canadienne des grains

Commission canadienne des grains Commission canadienne des grains Procédure du système qualité Accréditation et surveillance des fournisseurs de services de la CCG PSQ CCG 2.1.0 Copie non contrôlée Commission canadienne des grains Bureau

Plus en détail

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 9 février 2004 000309/SGDN/DCSSI/SDR Référence : CER/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE

Plus en détail

Tremplins de la Qualité. Tome 1

Tremplins de la Qualité. Tome 1 Tome 1 CET OUVRAGE EST UN GUIDE D INTERPRETATION DE LA NORME NF EN ISO 9001 VERSION 2000 AVANT-PROPOS Ce guide d aide à la rédaction du Manuel de Management de la Qualité a été rédigé par la Fédération

Plus en détail

FLEGT Note d Information

FLEGT Note d Information Série 20 Note FLEGT Note APPLICATION DES REGLEMENTATIONS FORESTIERES, GOUVERNANCE ET ECHANGES COMMERCIAUX Directives sur le Contrôle Indépendant INTRODUCTION Le Plan d action de l UE pour l application

Plus en détail

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. BUREAU DU CONSEIL

Plus en détail

LA VERSION ELECTRONIQUE FAIT FOI

LA VERSION ELECTRONIQUE FAIT FOI CONDITIONS D ACCREDITATION D ORGANISMES MULTISITES OU ORGANISES EN RESEAU OU METTANT EN COMMUN DES MOYENS GEN PROC 10 Révision 03 CONDITIONS D ACCREDITATION D ORGANISMES MULTISITES OU ORGANISES EN RESEAU

Plus en détail

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology

Plus en détail

PROCÉDURES DE FONCTIONNEMENT STANDARD APPLICABLES AUX ACHATS (SOP)

PROCÉDURES DE FONCTIONNEMENT STANDARD APPLICABLES AUX ACHATS (SOP) PROCÉDURES DE FONCTIONNEMENT STANDARD APPLICABLES AUX ACHATS (SOP) TABLE DES MATIÈRES 1. LA RESPONSIBILITÉ 1.1 La responsabilité en matière d achats 1.2 La responsabilité en matière de planification des

Plus en détail

La certification des programmes de soin et d utilisation des animaux

La certification des programmes de soin et d utilisation des animaux Canadian Council on Animal Care Conseil canadien de protection des animaux La certification des programmes de soin et d utilisation des animaux Cette politique regroupe et remplace la Politique du CCPA

Plus en détail

Rapport de certification 2001/24

Rapport de certification 2001/24 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Note de mise en œuvre

Note de mise en œuvre Note de mise en œuvre Objet : Tenue des données par les institutions appliquant l approche standard ou une approche de mesure avancée (AMA) Catégorie : Fonds propres N o : A & A-1 Date : Mai 2006 I. Introduction

Plus en détail

à l évaluation de la conformité sont donc au centre d une évolution constante et considérable,

à l évaluation de la conformité sont donc au centre d une évolution constante et considérable, Normes de référence pour l évaluation de la conformité Les questions relatives à l évaluation et à l attestation de la conformité à des exigences techniques sont au centre d une évolution constante et

Plus en détail

Fiche Contenu 11-1 : Vue d ensemble des Normes et de l Accréditation

Fiche Contenu 11-1 : Vue d ensemble des Normes et de l Accréditation Fiche Contenu 11-1 : Vue d ensemble des Normes et de l Accréditation Rôle dans le système de gestion de la qualité Vue d ensemble du processus L évaluation est le moyen de déterminer l efficacité d un

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA

RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA Le présent document a pour but de servir de guide pour ce qui est des rôles et des responsabilités du coordonnateur communautaire

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4+ de Firewall Enterprise v8.2.0 and Firewall Enterprise Control Center v5.2.0 Préparé par le Centre de la sécurité des télécommunications Canada Organisme de certification

Plus en détail