NOTE D APPLICATION METHODOLOGIE POUR L'EVALUATION D'UNE GAMME DE PRODUITS

Documents pareils
Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4

Rapport de certification DCSSI-PP 2008/01 du profil de protection «Pare-feu personnel» (ref : PP-PFP, version 1.7)

Rapport de certification PP/0101

Maintenance/évolution d'un système d'information

Rapport de certification PP/0002

Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection «Java Card System Closed Configuration» (PP-JCS-Closed-v2.

Rapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4

Rapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0

Rapport de certification ANSSI-CC-2013/64

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS)

Rapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5.

INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier UPMC

Rapport de certification ANSSI-CC-2015/07. Xaica-AlphaPLUS Version 0116 (PQV) / 0100 (SPI )

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version

PROCEDURE DE CERTIFICATION IIW MCS SELON EN ISO 3834

Rapport de certification 2007/05

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Règlement de la consultation

Appel à Manifestation d'intérêt

MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES. VILLE DE CAUDEBEC EN CAUX Avenue Winston Churchill CAUDEBEC EN CAUX

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» REGLEMENT DE CONSULTATION

REGLEMENT DE CONSULTATION (R.C.)

MODELE D AVIS D APPEL PUBLIC A LA CONCURRENCE

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

REGLEMENT DU CONCOURS

CERTIFICATION CERTIPHYTO

DEMANDE D INFORMATION RFI (Request for information) Projet SERADIUS Nouveau Serveur Radius

Rapport de certification ANSSI-CC-2011/48. Logiciel FAST360, version 5.0/22

Culture scientifique et technologique

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

COMITE DEPARTEMENTAL DU TOURISME DES PYRENEES ORIENTALES

I.G.R.E.T.E.C. Boulevard Mayence,1 Localité/Ville: Charleroi Code postal: 6000

Programme conjoint de bourses universitaires Japon/Banque mondiale (JJ/WBGSP) MODALITÉS DE DÉPÔT DES CANDIDATURES AU TITRE DE L'ANNÉE 2015

REGLEMENT DE LA CONSULTATION (RC)

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

Procédure ouverte avec Publicité Evaluation de projets innovants pour une pré-maturation et Formation à une méthode d analyse de projets innovants.

Règlement de la Consultation

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

MICRO-INFORMATIQUE DÉFINITION DU DOMAINE D'EXAMEN BASE DE DONNÉES CONSULTATION INF

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 33 du 4 juillet PARTIE PERMANENTE Administration Centrale. Texte 2

Objet de la consultation

CONDITIONS GENERALES D ACHAT

TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS?

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

RECUEIL POLITIQUE DES

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

MARCHE PUBLIC DE TRAVAUX REGLEMENT DE CONSULTATION. R.C. n ENSAG/2014/2 CENTRALES DE TRAITEMENT D AIR

DATE LIMITE DE RECEPTION DES OFFRES

Luxembourg-Luxembourg: Services de traduction AMI14/AR-RU 2014/S Appel de manifestations d'intérêt

Pour la gestion du personnel Norme simplifiée n 46

Travaux de nettoyage des bâtiments intercommunaux Marché public n

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Règlement de la Consultation

Nomination, en JUIN. Contacter l'équipe de l'école. Rencontre avec le futur ancien directeur

BTS Assistant de gestion de PME-PMI à référentiel commun européen

PROGICIEL DE GESTION COMPTABLE ET FINANCIERE, DE GESTION DES RESSOURCES HUMAINES, DE GESTION ELECTORALE

Modalités de candidature et de certification. Niveau 1. Certification de personnes Expert méthode HACCP/SMSDA

CADRE OBLIGATOIRE DU MEMOIRE JUSTIFICATIF

ACTEURS DE LA DÉFENSE ET FACTEURS DE SÉCURITÉ

Groupe Eyrolles, 2006, ISBN :

Télésurveillance des établissements de la Ville de Tourlaville REGLEMENT DE CONSULTATION

CENTRE HOSPITALIER DU GERS 10 Rue Michelet BP AUCH Cédex 8 MARCHE PUBLIC DE TRAVAUX REGLEMENT DE LA CONSULTATION

Le 18/09/2015 à 12h00 à Pessac en Gironde (voir article 6 du présent règlement)

SERVICES INFORMATIQUES AUX ORGANISATIONS

Décret du 25 Avril 2002 modifié pris pour l application de la loi du 4 Janvier 2002 relative aux musées de France

Règlement de Fonctionnement

UNIVERSITE DE TOULON UFR FACULTE DE DROIT REGLEMENT D EXAMEN ANNEE 2012/2017 LICENCE DROIT MENTION DROIT GENERAL

Année propédeutique santé Présentation générale du programme

ANNEXE V DÉFINITION DES ÉPREUVES

Formation Méthode MDM. Architecture et procédés de modélisation des données de référence

IPMA 1. Le référentiel 2. Les processus de certification

Quels apprentissages info-documentaires au collège?

REFERENTIEL DE CERTIFICATION

Maîtrise des Fournisseurs. La CAEAR. Commission d Acceptation des Entreprises en Assainissement Radioactif

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

PROTOCOLE DES TESTS D ENTREE EN FORMATION DU BP JEPS AGFF

REGLEMENT DE LA CONSULTATION

Audit de la stratégie Webmarketing par rapport aux dispositifs web en ligne

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

M Études et développement informatique

PRESTATIONS DE NETTOYAGE DES LOCAUX, NETTOYAGE DES VITRES, FOURNITURES de PRODUITS CONSOMMABLES et ADAPTES

OPAH - RU de CASTELNAUDARY DOSSIER D'INFORMATION PROPRIETAIRES OCCUPANTS

Règlement de la Consultation

Loi n du 14 juin 2013 relative à la sécurisation de l emploi

NOGENT PERCHE HABITAT Office Public de l Habitat

REGLEMENT DE LA CONSULTATION

CONDITIONS GÉNÉRALES DE VENTE

Règlement de la Consultation

CHAPITRE V SELECTION DES CONSULTANTS ET D AUTRES PRESTATAIRES DE SERVICES

Tableau de Bord. Clas 1.1 Conduite d'un projet de communication

MARCHE PUBLIC DE PRESTATIONS INTELLECTUELLES Code des marchés publics (décret du 1er août 2006)

ASSOCIATION DE FINANCEMENT DU PARTI NOUS CITOYENS STATUTS

Chambre Régionale d'agriculture de Midi-Pyrénées - Consultation. le nettoyage des locaux. Règlement de consultation

STATUTS DE L ASSOCIATION AIRSOFT CONTACT

Transcription:

P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 1 er février 2017 N 560/ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-NOTE- 21/1.0 NOTE D APPLICATION METHODOLOGIE POUR L'EVALUATION D'UNE GAMME DE PRODUITS Application : Dès son approbation Diffusion : Publique Le directeur général de l agence nationale de la sécurité des systèmes d'information P/O Vincent STRUBEL Sous-directeur Expertise [ORIGINAL SIGNE] 5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P

Suivi des modifications Editions Date Modifications 1 01/02/2017 Création En application du décret n 2002-535 du 18 avril 2002 modifié, la note d application a été soumise au comité directeur de la certification, qui a donné un avis favorable. La présente note d application est disponible en ligne sur le site institutionnel de l'anssi (www.ssi.gouv.fr). 2 / 7 A N S S I - C C - N O T E - 2 1 / 1. 0

TABLE DES MATIERES 1. OBJET DE LA PROCEDURE... 4 2. REFERENCES... 4 3. TERMINOLOGIE... 4 4. PREREQUIS... 4 4.1. Analyse d impact différentielle... 4 4.2. Choix du produit de référence... 4 4.3. Stratégie de réutilisation... 5 4.4. Fournitures... 5 5. APPLICATION DE LA METHODOLOGIE D EVALUATION... 5 5.1. Aux Critères Communs... 5 5.2. A la certification de sécurité de premier niveau... 6 A N S S I - C C - N O T E - 2 1 / 1. 0 3 / 7

1. Objet de la procédure Dans le cadre des évaluations selon les Critères Communs (CC), ou selon la méthodologie de certification de sécurité de premier niveau (CSPN), un développeur ou commanditaire peut être amené à faire évaluer non pas un produit, mais une gamme de produits. La présente note a pour objectif de préciser les particularités des évaluations CC et CSPN de gammes de produits. 2. Références ANSSI-CSPN-CER-P-01 Procédure de Certification de sécurité de premier niveau des produits des technologies de l'information ; ANSSI-CSPN-MAI-P-01 Maintien de la confiance : continuité de l assurance. ANSSI-CC-CER-P-01 Procédure de Certification de produits. ANSSI-CC-MAI-P-01 Procédure de continuité de l assurance. 3. Terminologie Gamme de produits Produit de référence Produits déclinés Évaluation de référence d un produit Une gamme de produits peut être définie comme un ensemble de produits proposé par un même fabricant, répondant à un besoin de sécurité identique et partageant un socle commun de fonctionnalités, mais qui diffèrent par un certain nombre de caractéristiques (design, hardware, micro-logiciel, logiciel etc.). Ces différences peuvent être liées, par exemple, au matériel ou à la plateforme sous-jacents, ou à des fonctionnalités complémentaires correspondant à des périmètres fonctionnels ou des besoins de performance plus ou moins importants. Le produit choisi par le développeur ou commanditaire comme étant représentatif de la gamme. Il correspond à la principale cible des travaux d évaluation. Tous les produits faisant partie de la «gamme de produits» à l exception du «produit de référence». Les résultats de l évaluation du «produit de référence». 4. Prérequis 4.1. Analyse d impact différentielle Pour définir clairement ce qui distingue chacun des produits de la Gamme, un document appelé Analyse d Impact Différentielle (AID) doit être rédigé par le développeur de la gamme. Ce document doit permettre d identifier les points communs à l ensemble des produits de la gamme ainsi que leurs différences. Ce document se rapproche, par le contenu attendu, du Rapport d Analyse d Impact demandé dans la procédure de continuité de l assurance. 4.2. Choix du produit de référence Le développeur doit sélectionner le produit de référence parmi la gamme de produits. Si un seul produit ne peut représenter toute la gamme, il conviendra de choisir les produits de référence permettant de couvrir toute la gamme, ou à défaut de limiter la portée de la gamme. 4 / 7 A N S S I - C C - N O T E - 2 1 / 1. 0

4.3. Stratégie de réutilisation Le développeur doit fournir un argumentaire décrivant une Stratégie de Réutilisation de tests basée sur l AID. Cette Stratégie de Réutilisation vise à justifier qu un sous-ensemble des tests peut être effectué sur une partie des produits de la gamme pour valider les comportements de tous ou d une partie des produits de la gamme. Dans ce document, le développeur fournit également la justification de son choix du, ou des produits de référence. 4.4. Fournitures Outre le produit de référence, qui fait partie des fournitures, le développeur doit tenir à disposition de l évaluateur l ensemble des produits déclinés. A tout moment lors de l évaluation, le CESTI pourra demander l accès à n importe quel produit décliné. Le CESTI choisit le(s) produit(s) à tester et justifie son choix dans son rapport. 5. Application de la méthodologie d évaluation 5.1. Aux Critères Communs Etape 1: Demande d évaluation d une gamme de produits Le développeur soumet la demande de certification, accompagnée des informations référencées dans le chapitre 4. Le CESTI détermine ensuite la charge de travail pour les classes ATE et AVA, en se basant sur la Stratégie de Réutilisation fournie par le développeur. Les éléments présents dans l AID seront également pris en considération par le CESTI afin de déterminer la charge de travail complémentaire pour les classes ADV, AGD et ALC. Remarque : À tout moment, le CESTI, ou le centre de certification, peut décider que le produit de référence n est pas approprié et demander qu une charge de travail supplémentaire soit allouée pour permettre la réalisation de tests complémentaires sur la gamme. Le commanditaire peut alors décider de restreindre le périmètre de l évaluation au(x) seul(s) produit(s) de référence préalablement identifiés. Etape 2: Evaluation du produit de référence Le centre d évaluation mène les travaux d évaluation sur le(s) produit(s) de référence, conformément aux critères d évaluation sélectionnés et au niveau d assurance visé pour la certification. Etape 3: Evaluation du produit décliné En complément de l évaluation du ou des produits de référence l évaluateur doit réaliser les tâches suivantes : ASE La cible de sécurité doit clairement identifier la gamme de produits et ses composants. ADV L évaluateur doit s assurer que l AID est complet et ne présente pas d erreur. A N S S I - C C - N O T E - 2 1 / 1. 0 5 / 7

AGD L évaluateur doit vérifier que les classes AGD_OPE et AGD_PRE prennent en compte la gamme de produits. ALC Chaque produit de la gamme de produits doit être identifié de façon unique. Les références de chacun des produits de la gamme doivent être décrites avec précision. L évaluateur doit vérifier que le cycle de vie du produit de référence s applique ou non aux produits déclinés. Toute différence dans le périmètre du cycle de vie devra être évaluée. ATE FUN, COV, DPT L évaluateur s assure que le ou les produit(s) de référence, choisi(s) par le développeur, est (sont) un (des) bon(s) candidat(s) pour l évaluation en s appuyant sur la justification fournie par le développeur. L évaluateur vérifie la Stratégie de réutilisation définie par le développeur et donne son accord. Il doit être montré que tous les sous-systèmes et modules de la TSF, les TSFIs, et les SFR enforcing ayant une adhérence aux caractéristiques distinguant les produits de la gamme ont été testés indépendamment. ATE_IND La vérification de la conformité par le CESTI doit également bénéficier de la Stratégie de réutilisation qu'il a validée. Des tests, identifiés comme non requis par le développeur dans la Stratégie de réutilisation, peuvent toutefois se révéler nécessaires afin de confirmer la complétude et la pertinence de l Analyse d impact différentielle. Si des différences de comportements sont observées, la pertinence de l Analyse d impact différentielle peut être remise en cause. AVA La Stratégie de réutilisation, validée par le CESTI, doit permettre à ce dernier d optimiser la charge concernant les tests de pénétration : seuls les tests ayant une adhérence aux caractéristiques distinguant les produits de la gamme devront être joués par le CESTI sur les produits déclinés. Etape 4: Certification Afin d éviter de multiples certificats, un unique certificat sera émis pour une gamme de produits. 5.2. A la certification de sécurité de premier niveau Etape 1: Demande d évaluation d une gamme de produits Le développeur prépare les éléments prérequis, référencés dans le chapitre 4. Le CESTI détermine ensuite la charge de travail complémentaire pour couvrir la gamme en se basant sur la Stratégie de réutilisation. Les éléments présents dans l AID seront également pris en considération par le CESTI afin de déterminer la charge de travail complémentaire pour l analyse de la conformité. Le développeur peut ensuite soumettre la demande de certification. Remarque : À tout moment, le CESTI, ou le centre de certification, peut décider que le produit de référence n est pas approprié et demander qu une charge de travail supplémentaire soit allouée pour permettre l'évaluation de la gamme de produits. 6 / 7 A N S S I - C C - N O T E - 2 1 / 1. 0

Le commanditaire peut alors décider de restreindre le périmètre de l évaluation au(x) seul(s) produit(s) de référence préalablement identifiés. Etape 2: Evaluation du produit de référence Le centre d évaluation mène les travaux d évaluation sur le produit de référence, conformément à la procédure d évaluation. Etape 3: Evaluation du produit décliné L évaluateur doit s assurer que l AID est complet et ne présente pas d erreur. Chaque produit de la gamme de produits doit être identifié de façon unique. Les références de chacun des produits de la gamme doivent être décrites avec précision par le développeur. La Stratégie de réutilisation, validée par le CESTI, doit permettre à ce dernier d optimiser la charge concernant les tests de pénétration : seuls les tests ayant une adhérence aux caractéristiques distinguant les produits de la gamme devront être joués par le CESTI sur les produits déclinés. Etape 4: Certification Afin d éviter de multiples certificats, un unique certificat sera émis pour une gamme de produits. A N S S I - C C - N O T E - 2 1 / 1. 0 7 / 7

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back