MEILLEURES PRATIQUES POUR LA



Documents pareils
Expression des Besoins et Identification des Objectifs de Sécurité EBIOS SECTION 3 TECHNIQUES. Version 2 5 février 2004

Rapport de certification PP/0101

Rapport de certification PP/0002

Qu'est-ce que la normalisation?

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Profil de Protection pour services bancaires et / ou financiers sur Internet. Version : V7 Date : 4 août 2004

Prestations d audit et de conseil 2015

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD

THEORIE ET CAS PRATIQUES

curité des TI : Comment accroître votre niveau de curité

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

La politique de sécurité

Systèmes de transport public guidés urbains de personnes

DES GOUVERNEMENTS DES ETATS MEMBRES Secrétariat CONF 3980/96

SOUTIEN INFORMATIQUE DEP 5229

Rapport de certification

Décompresser, créer une archive au format «ZIP»

Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification

Annexe sur la maîtrise de la qualité

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Maintenance/évolution d'un système d'information

Rapport de certification

À l'intention des parents

Chapitre 1 : Introduction aux bases de données

de la commune organisatrice ou bénéficiaire, ci-après dénommée «société de transports en commun bénéficiaire». Par dérogation aux dispositions de

Corporate Modeler Guide d'installation

NC 06 Norme comptable relative aux Immobilisations incorporelles

DECLARATION ISO/CEI SUR LA PARTICIPATION DES CONSOMMATEURS AUX TRAVAUX DE NORMALISATION

Instruction n du 17 Octobre 1999 relative à la tenue de la comptabilité des titres par les intermédiaires en opérations de bourse

Partie IV. Identifier les carences informationnelles d'une PME / PMI

ACT3284 Modèles en assurance IARD Examen Final - 14 décembre 2011

Cours n 2. UE706: Veille et intelligence économique EC3: Intelligence Économique et réseaux. Promo. Master : SIC. Documentation numérique

NÉGOCIER LES ACHATS. durée 2x2 jours

LEXIQUE. Extraits du document AFNOR (Association Française de Normalisation) NF EN ISO 9000 octobre 2005

Principes de management de la qualité

Dossier d'étude technique

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

La sécurité applicative

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Faire le grand saut de la virtualisation

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Jeudi 17 janvier. 17h30 19h30 à GAP

Contenus détaillés des habiletés du Profil TIC des étudiants du collégial

Les enjeux de la dématérialisation en assurance

POLITIQUE DE BIOSÉCURITÉ

Gestion de parc et qualité de service

L'écoute des conversations VoIP

CONCEPTION Support de cours n 3 DE BASES DE DONNEES

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation

Etablissement et dépôt des comptes consolidés et du rapport de gestion consolidé

Proposition de la Commission sur les allégations nutritionnelles et de santé en vue de mieux informer les consommateurs et d'harmoniser le marché

Mise en œuvre de la certification ISO 27001

G. Méthodes de déploiement alternatives

1 la loi: la loi du 4 août 1996 relative au bien-être des travailleurs lors de l'exécution de leur travail;


GESTION DE PROJET SÉANCE 2 : LES CYCLE DE VIE D'UN PROJET

Province du Nouveau Brunswick

"! "#$ $ $ ""! %#& """! '& ( ")! )*+

Sage CRM. 7.2 Guide de Portail Client

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal Cédric Blancher

Méthodes de développement. Analyse des exigences (spécification)

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

INF2015 Développement de logiciels dans un environnement Agile. Examen intra 20 février :30 à 20:30

Chapitre 9 : Informatique décisionnelle

Gestion des incidents

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

P2A POLITIQUE ET PRATIQUES D'ARCHIVAGE (SPHÈRE PUBLIQUE)

Professeur superviseur Alain April

Profil de Protection Application de création de signature électronique

Peregrine. AssetCenter. Product Documentation. Solution Asset Tracking. Part No. DAC-441-FR38. Build 49

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

HP Data Protector Express Software - Tutoriel 4. Utilisation de Quick Access Control (Windows uniquement)

Certified Information System Security Professional (CISSP)

CONTRAT LOGICIEL CERTIFICATION

Destinataires d'exécution

Baccalauréat technologique

ORGANISATION MONDIALE

Il n'existe pas de contrat "type", mais des types de contrat. Nous pouvons instruire ensemble ces différents types de contrat.

Retrospect 7.7 Addendum au Guide d'utilisation

Onglet sécurité de Windows XP Pro et XP Home

Rapport de certification

ASSEMBLÉE NATIONALE 17 mars 2015 AMENDEMENT

COMMISSION DES NORMES COMPTABLES. Avis CNC 138/5 Logiciels

DES RÉFÉRENTIELS RENTIELS DE BACCALAUREATS PROFESSIONNELS

Comité sectoriel du Registre national. Avis RN n 01/2013 du 11 décembre 2013

ISO la norme de la sécurité de l'information

Actualité AssurtourS.fr Formalisme et juridisme des régimes de prévoyance santé et retraite des salariés dans les entreprises

Profil de fonction 3.3. Magasinier

Code de la publicité écologique

LE PLAN DE PREVENTION

Sont assimilées à un établissement, les installations exploitées par un employeur;

LE PROGRAMME DÉTAILLÉ

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

NOTE Secrétariat général délégations Feuilles de route concernant la stabilité des marchés financiers

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Aide en ligne du portail

Rapport de certification

Bourse de Casablanca. Arrêtés relatifs aux titres de créance n é g o c i a b l e s

Transcription:

PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la des systèmes d information Sous-direction des opérations Bureau conseil MEILLEURES PRATIQUES POUR LA GESTION DES RISQUES SSI Utilisation de la méthode EBIOS pour rédiger une cible de de produit Version du 10 novembre 2004 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tél 01 71 75 84 15 - Fax 01 71 75 84 00

Qu'est-ce qu'une cible de de produit? Une cible de (ST Security Target), au sens de la norme ISO 15408 critères communs pour l'évaluation de la des technologies de l'information, est "un ensemble d exigences de et de spécifications à utiliser comme base pour l évaluation d une TOE identifiée" (la TOE Target Of Evaluation est la cible d'évaluation, c'est-à-dire le produit étudié). Il s'agit d'un document au contenu normé, qui peut servir de cahier des charges raffinant le contenu d'un profil de protection (PP) et qui peut aussi être évalué. Cette ST propose notamment un raffinement justifié des exigences de formalisées dans le PP. Elle permet à l'utilisateur de la TOE de se rendre compte de l'adéquation de la TOE à ses besoins. Hors du contexte de l'évaluation technique (évaluation de produit certifiée par la DCSSI), il est possible de rédiger des cahiers des charges SSI sous la forme de ST, essentiellement dans le but d'utiliser un canevas et une terminologie reconnus. Quels sont les avantages de la méthode EBIOS pour la rédaction d'une ST de produit? Une ST de produit doit être parfaitement complète et cohérente. Sa rédaction nécessite donc un travail rigoureux, mais la norme ne propose aucune méthode pour le réaliser. EBIOS permet de fournir tous les éléments nécessaires à la rédaction d'une ST, tout en garantissant leur cohérence. Elle offre de surcroît plusieurs avantages : - la pertinence des objectifs de couvrant des menaces, hypothèses, règles de politique de et exigences de, - la justification des objectifs et des exigences à l'aide de l'appréciation des risques SSI, - l'exhaustivité de l'étude grâce à sa démarche structurée, - l'implication des parties prenantes (Direction, maîtrise d'ouvrage, maîtrise d'œuvre, utilisateurs ). Comment rédiger une ST de produit en utilisant EBIOS? Une solution efficace pour rédiger une ST consiste à : - réaliser une étude EBIOS (sur un périmètre qui sera celui de la ST) en raffinant les exigences de, - rédiger un PP et le faire valider sur la base de l'étude, - extraire les données nécessaires dans l'étude (une grande partie de l'étude), - rédiger l'introduction (identification de la ST et vue d'ensemble), - réorganiser les objectifs de (à classer selon leur portée), - réorganiser les exigences de (à classer selon leur portée), - rédiger les annonces de conformité au PP. Page 2 sur 6

Pour cela, les activités de la méthode EBIOS sont utilisées de la manière suivante : Activités EBIOS ÉTAPE 1 Étude du contexte 1.1 Étude de l organisme 1.2 Étude du système-cible 1.3 Détermination de la cible de l étude de ÉTAPE 2 Expression des besoins de 2.1 Réalisation des fiches de besoins 2.2 Synthèse des besoins de Mise en œuvre dans le but de rédiger une ST de produit En résumé : l'étude du contexte n'est axée que sur les informations nécessaires à la rédaction d'une cible de Il peut être utile de décrire les organismes ou types d'organismes dans lesquels le produit de est voué à être utilisé afin de définir des hypothèses d'environnement. Néanmoins, cette activité n'est généralement pas utilisée. L'accent est mis sur le recueil des éléments nécessaires à la rédaction d'une ST : - présentation de la TOE et description fonctionnelle, - liste des éléments essentiels, - liste des hypothèses, - liste des règles de. Les autres éléments de cette activité ne devraient être étudiés que s'ils enrichissent la liste précédente. Cette activité doit être détaillée et complète, bien qu'on ne s'intéresse généralement qu'aux entités techniques de types logiciels, matériels et réseaux. En résumé : les besoins de sont déterminés selon une échelle de besoins simple Les critères de, l'échelle de besoins et les impacts choisis doivent être simples, par exemple en définissant : - les trois critères de habituels (disponibilité, intégrité et confidentialité), - éventuellement un ou deux impacts (essentiellement liés à la perte de fiabilité des mécanismes), - une échelle binaire. La synthèse des besoins de peut être réalisée directement sans passer par les fiches de besoins de unitaires. Page 3 sur 6

Activités EBIOS ÉTAPE 3 Étude des menaces 3.1 Étude des origines des menaces 3.2 Étude des vulnérabilités 3.3 Formalisation des menaces ÉTAPE 4 Identification des objectifs de 4.1 Confrontation des menaces aux besoins 4.2 Formalisation des objectifs de 4.3 Détermination des niveaux de Mise en œuvre dans le but de rédiger une ST de produit En résumé : l'étude des menaces est détaillée L'activité doit être détaillée et complète. La caractérisation des méthodes d attaque et des éléments menaçants doit être particulièrement claire et précise. Le potentiel d attaque de chaque élément menaçant doit être indiqué, explicité et justifié. La liste justifiée des méthodes d attaque non retenues doit être réalisée. Les vulnérabilités peuvent être issues des bases de connaissances de la méthode EBIOS, mais d'autres référentiels, plus techniques et plus détaillés sont généralement utilisés. La détermination des niveaux de vulnérabilité n'est utile que pour hiérarchiser les menaces dans la suite de l'étude. Cette activité doit être claire (à des fins de communication) et précise. Il est préférable de formuler des menaces unitaires, homogènes, spécifiques (une vulnérabilité par menace) et conformes aux profils de protection et ST existants. En résumé : les risques explicitent les conséquences des menaces, les risques résiduels doivent "disparaître" au profit de modifications du contexte Les risques doivent être identifiés et formulés de manière uniforme sur la base de la formulation des menaces. Ces risques pourront être intégrés dans la ST à la place des menaces (moins précises concernant les conséquences). La rédaction des objectifs de doit être claire, précise et uniforme afin de les justifier par leur contenu. Les objectifs de doivent être classés en deux catégories : - ceux portant sur la TOE, - ceux portant sur l'environnement de la TOE. Les éventuels risques résiduels identifiés doivent faire l'objet de modification du contexte (essentiellement dans l'activité 1.2) de telle sorte qu'il n'y ait plus de risque résiduel à ce niveau de l'étude. La démonstration de couverture des éléments de l'étude par les objectifs de doit être détaillée. Les niveaux de doivent être explicites et dûment justifiés. Page 4 sur 6

Activités EBIOS ÉTAPE 5 Détermination des exigences de 5.1 Détermination des exigences de fonctionnelles 5.2 Détermination des exigences de d assurance Mise en œuvre dans le but de rédiger une ST de produit En résumé :. Les exigences de fonctionnelles devraient être issues de l'iso 15408 ou créées selon les préconisations contenues dans la norme et raffinées pour que les spécifications soient directement applicables. Les éventuels risques résiduels identifiés doivent faire l'objet de modification du contexte (essentiellement dans l'activité 1.2) de telle sorte qu'il n'y ait plus un seul risque résiduel à ce niveau de l'étude. Les exigences de doivent être classées en deux catégories : - celles portant sur la TOE, - éventuellement celles portant sur l'environnement de la TOE. La démonstration de couverture des objectifs de par les exigences de fonctionnelles doit être détaillée. Les exigences de d'assurance devraient être issues de l'iso 15408 ou créées selon les préconisations contenues dans la norme. L'argumentaire relatif aux exigences de d'assurance doit être détaillé. Page 5 sur 6

En résumé, les données exploitables sont les suivantes : EBIOS Étude du contexte Étude de l'organisme Étude du système-cible Détermination de la cible de l'étude Extraction des éléments nécessaires Cible de de produit Introduction Description de la TOE Environnement de de la TOE Hypothèses Expression des besoins de Réalisation des fiches de besoins Synthèse des besoins de Détermination du mode d'exploitation Étude des menaces Étude des origines des menaces Extraction des éléments nécessaires Réorganisation des objectifs de Menaces Politiques de organisationnelles Objectifs de Objectifs de pour la TOE Objectifs de pour l'environnement Étude des vulnérabilités Détermination des menaces Exigences de TI Exigences fonctionnelles de la TOE Identification des objectifs de Confrontation des menaces aux besoins Exigences d'assurance de la TOE Exigences pour l'environnement TI Détermination des objectifs de Détermination des niveaux de Détermination des exigences de Détermination des exigences fonctionnelles Détermination des exigences d'assurance Extraction des éléments nécessaires Réorganisation des exigences de fonctionnelles Spécifications globales de la TOE Annonces de conformité à un PP Argumentaire (pour tout complément d'information : ebios.dcssi@sgdn.pm.gouv.fr) Page 6 sur 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back