ecf Evaluation et Certifica tion Française L'évaluation et la certification
Organisme de certification Comité directeur de la certification des T.I. Organisme d'accréditation COFRAC Organisme de certification : S.C.S.S.I. Centre de certification de la sécurité des T.I. Accréditation Agrément Certification CESTI CESTI CESTI Centre d'evaluation de la Sécurité des T.I. Certificat
Les centres d'évaluation Centres d'évaluation commerciaux Opérationnels En cours de formation AQL CNET Caen SMC International (PSTI Evaluation) SERMA Technologies CEACI (CNES-SOREP) CR2A-DI Centres d'évaluation étatiques SCSSI/CEISTI CELAR/CASSI
Processus d'évaluation : les grandes étapes Rapport de Certification Certificat Maintenance Rapport technique d'évaluation RTE Certification Approbation du RTE Dossier d'évaluation Evaluation Cibles Préparation à l'évaluation
Les références (1/2) ITSEC CC Critères ITSEC v1.2, Juin 1991 Méthodologie ITSEM v1.0, Septembre 1993 Bibliothèque d'interprétation commune JIL v1.0, Juillet 1996 Critères Communs v2.0, May 1998 Méthodologie CEM (en cours) Quality Normes NF EN 45001 et NF EN 45011
Les références (2/2) ECF ECF 00 Glossaire ECF 01 Présentation du schéma ECF 02 Agrément des centres d'évaluation ECF 03 Procédures d'évaluation et de certification ECF 04 Formats des rapports et certificats ECF 06 Catalogues ECF 11 Procédure d'enregistrement des profils de protection Guides GARDE Guide d'aide à la Rédaction de la Documentation pour l'evaluation (pour les niveaux E1 à E3 des critères ITSEC)
Les Critères Communs
Harmonisation des critères existants ITSEC CTCPEC CC TCSEC FC
Expression des exigences Modèle général Partie 1 Catalogue Exigences fonctionnelles de sécurité Partie 2 Catalogue Exigences d assurance de sécurité Partie 3
Expression hiérarchique des exigences Classe Composants Famille 1 2 3 2 Famille 1 3... 4 s applique à la fois aux exigences fonctionnelles ou d assurance.
Utilisation des catalogues Composants fonctionnels Composants d assurance Niveaux d assurance (EAL) Profil de protection Cible de sécurité Cible d'évaluation
Echelle d assurance : 7 niveaux EAL 7 conception formelle vérifiée et produit testé E6 EAL 6 conception semi-formelle vérifiée et produit testé E5 EAL 5 produit conçu de façon semi-formelle et testé E4 EAL 4 produit conçu, testé, revu de façon méthodique E3 EAL 3 produit testé et vérifié de façon méthodique E2 EAL 2 produit testé structurellement E1 EAL 1 produit testé fonctionnellement --- CC ITSEC
Profil de protection : structure Profil de protection Introduction Description de la TOE Environnement de sécurité Objectifs de sécurité Exigences de sécurité des TI Exigences de sécurité de la TOE Justificatif
Utilisation des profils de protection Profil de protection Profil de protection Profil de protection Profil de protection Cible de sécurité Cible de sécurité Cible de sécurité Cible de sécurité
Enregistrement des profils de protection Registres des profils de protection Catalogue des profils de protection non évalués Catalogue des profils de protection évalués Les procédures d'enregistrement sont définies dans le guide technique ECF 11
PP Cartes à puce Développement du logiciel applicatif Développement du logiciel dédié (optionnel) PP Masque PP/9809 PP Billetique PP PME Conception du circuit intégré Production PP Circuit intégré PP/9806 Encartage PP Encartage Personnalisation PP Personnalisation Utilisation et fin de vie
PP Terminaux PP Automates bancaires Bull Dassault A.T. IBM NCR Siemens Nixdorf Wang Global PP Lecteur transactionnel de cartes à puce
PP Messagerie électronique Ressource cryptographique PP Outil de sécurisation des messages PP/9804 (EAL 5+) Infrastructure de gestion de clés PP Infrastructure de gestion de clés PP/9805 (EAL 4) Tierces parties de confiance PP Tierces parties de confiance PP/9705 (EAL 5+)
PP Firewalls PP Passerelle filtrante de sécurité configurable PP/9701 (EAL 5) INTERNET PP Firewall à exigences élevées Firewall PP Firewall à exigences réduites
PP Echanges de données informatisées PP Transactions portant sur des données non confidentielles PP/9802 PP Transactions portant sur des données confidentielles PP/9803
Reconnaissance mutuelle Mars 1998 Accord SOGIS Accord entre 13 pays européens Evaluation ITSEC E1 à E6 Organismes de certification qualifiés Devrait être étendu aux Critères Communs EAL1 à EAL7
Reconnaissance mutuelle Mars 1998 Octobre 1998 Accord provisoire EAL1 à EAL3 Arrangement EAL1 à EAL4
Et bientôt une norme internationale ISO/IEC JTC 1/SC27 Technologies de l'information - Techniques de sécurité Octobre 1998 Final Draft International Standard SC27 N2161 Partie 1 Introduction et modèle général SC27 N2162 Partie 2 Exigences de sécurité fonctionnelles SC27 N2163 Partie 3 Exigences de sécurité d'assurance Avril 1999 Normalisation des Critères Communs
Coordonnées @ Service Central de la Sécurité des Systèmes d'information Centre de certification de la sécurité des technologies de l'information 18, rue du Docteur Zamenhof 92131 ISSY LES MOULINEAUX CEDEX tél : 01.41.46.37.84 fax : 01.41.46.37.01 Mél : ssi20@calva.net