L'évaluation et la certification

Dimension: px

Commencer à balayer dès la page:

Download "L'évaluation et la certification"

André Laurent
il y a 7 ans
Total affichages :

1 ecf Evaluation et Certifica tion Française L'évaluation et la certification

2 Organisme de certification Comité directeur de la certification des T.I. Organisme d'accréditation COFRAC Organisme de certification : S.C.S.S.I. Centre de certification de la sécurité des T.I. Accréditation Agrément Certification CESTI CESTI CESTI Centre d'evaluation de la Sécurité des T.I. Certificat

3 Les centres d'évaluation Centres d'évaluation commerciaux Opérationnels En cours de formation AQL CNET Caen SMC International (PSTI Evaluation) SERMA Technologies CEACI (CNES-SOREP) CR2A-DI Centres d'évaluation étatiques SCSSI/CEISTI CELAR/CASSI

4 Processus d'évaluation : les grandes étapes Rapport de Certification Certificat Maintenance Rapport technique d'évaluation RTE Certification Approbation du RTE Dossier d'évaluation Evaluation Cibles Préparation à l'évaluation

5 Les références (1/2) ITSEC CC Critères ITSEC v1.2, Juin 1991 Méthodologie ITSEM v1.0, Septembre 1993 Bibliothèque d'interprétation commune JIL v1.0, Juillet 1996 Critères Communs v2.0, May 1998 Méthodologie CEM (en cours) Quality Normes NF EN et NF EN 45011

6 Les références (2/2) ECF ECF 00 Glossaire ECF 01 Présentation du schéma ECF 02 Agrément des centres d'évaluation ECF 03 Procédures d'évaluation et de certification ECF 04 Formats des rapports et certificats ECF 06 Catalogues ECF 11 Procédure d'enregistrement des profils de protection Guides GARDE Guide d'aide à la Rédaction de la Documentation pour l'evaluation (pour les niveaux E1 à E3 des critères ITSEC)

7 Les Critères Communs

8 Harmonisation des critères existants ITSEC CTCPEC CC TCSEC FC

9 Expression des exigences Modèle général Partie 1 Catalogue Exigences fonctionnelles de sécurité Partie 2 Catalogue Exigences d assurance de sécurité Partie 3

10 Expression hiérarchique des exigences Classe Composants Famille Famille s applique à la fois aux exigences fonctionnelles ou d assurance.

11 Utilisation des catalogues Composants fonctionnels Composants d assurance Niveaux d assurance (EAL) Profil de protection Cible de sécurité Cible d'évaluation

12 Echelle d assurance : 7 niveaux EAL 7 conception formelle vérifiée et produit testé E6 EAL 6 conception semi-formelle vérifiée et produit testé E5 EAL 5 produit conçu de façon semi-formelle et testé E4 EAL 4 produit conçu, testé, revu de façon méthodique E3 EAL 3 produit testé et vérifié de façon méthodique E2 EAL 2 produit testé structurellement E1 EAL 1 produit testé fonctionnellement --- CC ITSEC

13 Profil de protection : structure Profil de protection Introduction Description de la TOE Environnement de sécurité Objectifs de sécurité Exigences de sécurité des TI Exigences de sécurité de la TOE Justificatif

14 Utilisation des profils de protection Profil de protection Profil de protection Profil de protection Profil de protection Cible de sécurité Cible de sécurité Cible de sécurité Cible de sécurité

15 Enregistrement des profils de protection Registres des profils de protection Catalogue des profils de protection non évalués Catalogue des profils de protection évalués Les procédures d'enregistrement sont définies dans le guide technique ECF 11

16 PP Cartes à puce Développement du logiciel applicatif Développement du logiciel dédié (optionnel) PP Masque PP/9809 PP Billetique PP PME Conception du circuit intégré Production PP Circuit intégré PP/9806 Encartage PP Encartage Personnalisation PP Personnalisation Utilisation et fin de vie

17 PP Terminaux PP Automates bancaires Bull Dassault A.T. IBM NCR Siemens Nixdorf Wang Global PP Lecteur transactionnel de cartes à puce

18 PP Messagerie électronique Ressource cryptographique PP Outil de sécurisation des messages PP/9804 (EAL 5+) Infrastructure de gestion de clés PP Infrastructure de gestion de clés PP/9805 (EAL 4) Tierces parties de confiance PP Tierces parties de confiance PP/9705 (EAL 5+)

19 PP Firewalls PP Passerelle filtrante de sécurité configurable PP/9701 (EAL 5) INTERNET PP Firewall à exigences élevées Firewall PP Firewall à exigences réduites

20 PP Echanges de données informatisées PP Transactions portant sur des données non confidentielles PP/9802 PP Transactions portant sur des données confidentielles PP/9803

21 Reconnaissance mutuelle Mars 1998 Accord SOGIS Accord entre 13 pays européens Evaluation ITSEC E1 à E6 Organismes de certification qualifiés Devrait être étendu aux Critères Communs EAL1 à EAL7

22 Reconnaissance mutuelle Mars 1998 Octobre 1998 Accord provisoire EAL1 à EAL3 Arrangement EAL1 à EAL4

23 Et bientôt une norme internationale ISO/IEC JTC 1/SC27 Technologies de l'information - Techniques de sécurité Octobre 1998 Final Draft International Standard SC27 N2161 Partie 1 Introduction et modèle général SC27 N2162 Partie 2 Exigences de sécurité fonctionnelles SC27 N2163 Partie 3 Exigences de sécurité d'assurance Avril 1999 Normalisation des Critères Communs

24 Service Central de la Sécurité des Systèmes d'information Centre de certification de la sécurité des technologies de l'information 18, rue du Docteur Zamenhof ISSY LES MOULINEAUX CEDEX tél : fax : Mél : ssi20@calva.net

Documents pareils

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Organisme de certification Comité directeur de la certification des T.I.