PROCEDURE CERTIFICATION DE PROFILS DE PROTECTION



Documents pareils
Rapport de certification PP/0101

Rapport de certification PP/0002

Rapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5.

Rapport de certification DCSSI-PP 2008/01 du profil de protection «Pare-feu personnel» (ref : PP-PFP, version 1.7)

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS)

Rapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection «Java Card System Closed Configuration» (PP-JCS-Closed-v2.

Rapport de certification ANSSI-CC-2011/48. Logiciel FAST360, version 5.0/22


Rapport de certification 2007/05

Rapport de certification

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version

MEMENTO Version

Rapport de certification

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

La politique de sécurité

Rapport de certification ANSSI-CC-2013/64

Rapport de certification

Rapport de certification

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription

Certified Information System Security Professional (CISSP)

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Rapport de certification

Rapport de certification

Rapport de certification

Rapport de certification

Rapport de certification 2002/08

Rapport de certification ANSSI-CC-2015/07. Xaica-AlphaPLUS Version 0116 (PQV) / 0100 (SPI )

D ITIL à D ISO 20000, une démarche complémentaire

TOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour Yann Berson

Rapport de certification

Rapport de certification

Travaux de nettoyage des bâtiments intercommunaux Marché public n

Vérification des véhicules de transport pour les usagers

Rapport d'audit étape 2

Rapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0

CONTEXTE DRSI Paris V Site de Necker. CCTP portant sur l acquisition d une solution de stockage de type SAN sur le site de Necker SUJET

Introduction à l ISO/IEC 17025:2005

CATALOGUE Expertise ITIL - ISO Lean IT

[ Associations & Entreprises mandataires ] Guide Pratique.

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

certification Notice technique la certification professionnelle du ministère chargé de l emploi notice technique

1. Créer un compte sur mon.service-public.fr/ Direction Régionale de l Alimentation, de l Agriculture et de la Forêt DRAAF/DAAF XXXXXXXXXX

Rapport de certification

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Options de déploiement de Seagate Instant Secure Erase

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Cloud Computing Foundation Certification Exin

RECUEIL POLITIQUE DES

Téléprocédure pour les Vins sans indication géographique avec mention de cépage et/ou de millésime (VSIG cépage / millésime) Manuel utilisateur

Section 3 : Préparation à l inspection et gestion des documents. 3.3 Enregistrement des demandes d inspection et des certificats d inspection

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

dossier de demande de subvention "association loi 1901" ANNEE 2009

MODALITES D'APPLICATION DE LA KEYMARK. "Refroidisseurs de lait en vrac à la ferme "

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

EDC FAST CONTRAT LA DÉMATÉRIALISATION DES CONTRATS: ASSURANCE, BAIL, INTERIM,

ITSMby Diademys. Business plan. Présentation

CERTIFICATION CERTIPHYTO

Quels montages juridiques pour les projets citoyens d énergies renouvelables? AIX-EN-PROVENCE 23 avril 2015

LA DEMANDE EN LIGNE et LE SERVICE INSTRUCTEUR

Démarches de sécurité & certification : atouts, limitations et avenir

L 92/28 Journal officiel de l Union européenne

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

Vector Security Consulting S.A

Rapport de certification

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

Questionnaire aux entreprises

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

Rapport de certification

Texte de l'arrêté "Site e-business"

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Gestion des incidents

Politique de certification et procédures de l autorité de certification CNRS

La procédure V.E.I. (Véhicules Economiquement Irréparables) Renforcer la sécurité routière en empêchant un véhicule ayant subi des dommages importants

Organisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS

Démarches en ligne Inscription sur les Listes Electorales et Recensement Citoyen Obligatoire. Août 2011

Pour révoquer un Gestionnaire des Certificats : le Représentant Légal utilise la fiche n 2A en cochant la case appropriée.

Conditions Générales de Vente du site

AVANT-PROJET DE RÈGLEMENT PORTANT SUR L INSCRIPTION ET COMMENTAIRES

Organisation des Nations Unies pour l éducation, la science et la culture

PROCEDURE DE CERTIFICATION IIW MCS SELON EN ISO 3834

1 ère agence d Annonces Légales en France. Toutes vos annonces légales, tous les journaux habilités Un seul interlocuteur

POLITIQUE ET PROCÉDURES DE GESTION DOCUMENTAIRE

La prestation de compensation du handicap (PCH)

Les démarches fiscales en ligne. Jeudi 4 avril Auditorium CCI

CHARTE FOURNISSEUR INERIS. Préambule : 1 - QUALITE & TECHNOLOGIE QUALITE DE LA SOURCE

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

Mise en œuvre de la certification ISO 27001

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

AEO: CONFIANCE ET EFFICIENCE

CONVENTION-TYPE. le Groupement d intérêt public «Agence nationale de la recherche» (ci-après l ANR), situé 1 rue Descartes, Paris (75005) ;

L'opérateur Économique Agréé

REGLEMENT DE LA CONSULTATION (RC)

Transcription:

PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 19 janvier 2004 000097/SGDN/DCSSI/SDR Référence : CPP/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE CERTIFICATION DE PROFILS DE PROTECTION Objet : Certification de profils de protection Application : A compter du 1 er février 2004 Diffusion : Publique Vérifié par Validé par Le sous-directeur "Régulation" Vu l'avis du comité directeur Approuvé par Le Directeur central de la sécurité des systèmes d'information Le responsable qualité Le chef du centre de certification 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP

Suivi des modifications Révision Date Modifications 1 08/08/2003 Création 2/5 CPP/P/01.1

TABLE DES MATIERES 1. OBJET DE LA PROCEDURE...4 2. CONTEXTE...4 3. REFERENCES...4 4. DESCRIPTION DE LA PROCEDURE...4 4.1. Demande de certification d un profil de protection...4 4.2. Traitement de la demande...4 4.3. Évaluation du profil de protection...4 4.4. Validation du rapport d évaluation...5 4.5. Décision de certification...5 4.5.1. Préparation de la décision... 5 4.5.2. Décision de certification... 5 4.6. Publication du rapport de certification...5 CPP/P/01.1 3/5

1. Objet de la procédure Ce document décrit l'ensemble du processus de certification de profils de protection. 2. Contexte Le décret 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information définit le cadre réglementaire du schéma français d évaluation et de certification. Ce schéma définit l'organisation nécessaire à la conduite d'une évaluation par une tierce partie et à son contrôle, conduisant à la délivrance de certificats attestant qu un produit ou un système répond aux exigences de sécurité listés dans sa cible de sécurité. Le centre de certification s appuie sur cette organisation pour certifier la conformité des profils de protection aux exigences de la classe APE définie dans les critères communs. 3. Références CC : Common Criteria for Information Technology Security Evaluation ; CEM : Common Methodology for Information Technology Security Evaluation ; Norme internationale ISO/IEC 15408 : Information technology - Security techniques - Evaluation criteria for IT security. 4. Description de la procédure 4.1. Demande de certification d un profil de protection Le commanditaire de la certification doit envoyer à la DCSSI une demande officielle de certification du profil de protection. La demande doit mentionner le profil de protection à évaluer et le nom du centre d évaluation sélectionné pour mener les travaux d évaluation. Le profil de protection, dans sa version d évaluation, doit être livré avec la demande. 4.2. Traitement de la demande Lorsque la demande de certification du profil de protection et le profil de protection ont été réceptionnés par le centre de certification, ce dernier analyse leur contenu en vue d enregistrer officiellement la demande de certification du profil de protection. Si le contenu de la demande est satisfaisant, un chargé d affaire est nommé pour suivre l évaluation et une lettre d enregistrement CER-F-03 Lettre d'enregistrement est envoyée au commanditaire. Le chargé d affaire en charge du projet contacte le commanditaire et le centre d évaluation pour une réunion de démarrage de l évaluation du profil de protection. La réunion est actée dans un compte rendu, rédigé par le chargé d affaire, qui est envoyé au commanditaire et au centre d évaluation. 4.3. Évaluation du profil de protection Le centre d évaluation mène les travaux d évaluation conformément à la classe APE des critères communs. Ces travaux doivent également respecter les dispositions du système qualité ISO 17025 du centre d évaluation. Les éléments de preuve de la réalisation des travaux sont consignés dans un rapport d évaluation du profil de protection. Ce rapport est intégré au système qualité du centre d évaluation. Au cours de l évaluation, des réunions techniques ou particulières peuvent être initiées par chacune des parties. Lorsque les travaux sont terminés ou si le commanditaire le demande, le rapport d évaluation du profil de protection est transmis au chargé d affaire et au commanditaire. 4/5 CPP/P/01.1

4.4. Validation du rapport d évaluation Le chargé d affaire analyse le rapport conformément à l instruction interne CER-I-02 Revue des rapports d'évaluation. Pour réaliser cette analyse, il peut demander au centre d évaluation ou au commanditaire, à avoir accès à tout élément qu il juge nécessaire. Les conclusions de cette analyse sont consignées dans une fiche de revue du rapport CER-F-06 Fiche de revue de rapport qui est envoyée au centre d évaluation. Ce dernier peut avoir à ré-émettre une nouvelle version du rapport ou à réaliser des travaux complémentaires si des anomalies ont été détectées par le chargé d affaire. Si les conclusions du rapport impliquent des changements dans le profil de protection, le commanditaire devra fournir une nouvelle version qui sera à nouveau évaluée. 4.5. Décision de certification 4.5.1. Préparation de la décision Lorsque le rapport d évaluation du profil de protection est validé par le chargé d affaire, la procédure de décision de certification est amorcée. La préparation de la décision de certification est détaillée dans l instruction interne CER-I-03 Préparation de la décision de certification. Le certificateur constitue un dossier qui comprend notamment : la demande de certification ; la version finale du profil de protection ; le rapport d évaluation du profil de protection ; une proposition de rapport de certification. Ce rapport, qui précise les caractéristiques des objectifs de sécurité proposés, conclut soit à la délivrance d'un certificat, soit au refus de la certification. Il peut comporter tout avertissement que ses rédacteurs estiment utile de mentionner pour des raisons de sécurité [art. 7 du décret 2002-535]. Ce dossier est revu par le responsable technique puis validé par le chef du centre de certification avant sa transmission pour la décision de certification. 4.5.2. Décision de certification Le Directeur central de la sécurité des systèmes d information, par délégation du Premier ministre, décide d'accorder ou de refuser la certification. Il signe alors le rapport de certification. Une fois signé, un exemplaire du rapport de certification est envoyé au commanditaire par recommandé avec accusé de réception. La liste officielle des profils de protection certifiés CER-L-05 Liste des PP certifiés est mise à jour par le responsable qualité. 4.6. Publication du rapport de certification Le commanditaire peut demander, par le formulaire CER-F-13 Demande de publication du rapport de certification : que le profil de protection et son rapport de certification restent confidentiels ; que le profil de protection et son rapport de certification soit publiés sur le site internet de la DCSSI : www.ssi.gouv.fr. Dans ce cas, le responsable qualité est chargé de transmettre la demande de publication au responsable du site internet. CPP/P/01.1 5/5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back