Référentiel général de sécurité Processus de qualification d un produit de sécurité - niveau élémentaire - version 1.0

Documents pareils
Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Rapport de certification PP/0002

Rapport de certification PP/0101

Avancement du projet de création de l institut national de formation. Instance Nationale de Concertation 16 avril 2015

MEMENTO Version

Mise en œuvre de la radioprotection dans les entreprises: Certification d'entreprise et formation du personnel.

Référentiel Général de Sécurité

EXIGENCES COMPLÉMENTAIRES POUR L ATTRIBUTION ET LE SUIVI D'UNE QUALIFICATION PROFESSIONNELLE D'ENTREPRISE DANS L ACTIVITÉ :

ASSOCIATION DES USAGERS DES BANQUES ET ETABLISSEMENTS FINANCIERS DE COTE D'IVOIRE (A.U.B.E.F C.I)

REFERENTIEL DU CQPM. TITRE DU CQPM : Electricien maintenancier process 1 OBJECTIF PROFESSIONNEL DU CQPM

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

Préambule. Définitions. Tableau récapitulatif. Liste des annexes

BTS ASSISTANT DE GESTION PME À RÉFÉRENTIEL EUROPÉEN

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Catalogue de services standard Référence : CAT-SERVICES-2010-A

Autorité de certification

INTERNET ET SANTÉ. Proposition de titre : La certification : un moyen d améliorer la qualité des sites dédiés à la santé

OBJET : GERER LES CESSIONS ET LES OPPOSITIONS DANS BFC

Management de la sécurité des technologies de l information

BULLETIN OFFICIEL DES ARMEES. Edition Chronologique n 20 du 3 mai 2013 TEXTE SIGNALE

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Evaluation, Certification Axes de R&D en protection

Maîtrise des Fournisseurs. La CAEAR. Commission d Acceptation des Entreprises en Assainissement Radioactif

Signature électronique. Romain Kolb 31/10/2008

Programme de formation " ITIL Foundation "

Le ministre de l'intérieur, de la sécurité intérieure et des libertés locales

CERTIFICAT DE SITUATION RELATIVE AUX COTISATIONS

Marquage CE des Granulats

METIERS DE L INFORMATIQUE

LA SIGNATURE ELECTRONIQUE

Ill. Commentaire des articles p. S IV. Fiche financiere p.s v. Fiche d' impact p. 6

PROCEDURE DE CERTIFICATION IIW MCS SELON EN ISO 3834

LE CHAMP D APPLICATION

DATE D'APPLICATION Octobre 2008

Current challenges for Audit Authorities and Groups of Auditors in ETC and IPA programmes and perspectives for the future

Compte Rendu Club Utilisateurs. Marseille 08/10/2014 GINTAO CU 2. Page 1 de 9

DIVISION DE CAEN Hérouville-Saint-Clair, le 15 octobre 2013

ITIL V3. Objectifs et principes-clés de la conception des services

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Loi concernant l inspection environnementale des véhicules automobiles

Fafiec au 1 er mars 2011

Rapport de certification

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12

Expérience professionnelle / stages en entreprise. Langues étrangères. Attestation sur l honneur

Décret du 25 Avril 2002 modifié pris pour l application de la loi du 4 Janvier 2002 relative aux musées de France

Programme national «très haut débit»

Conduire les entretiens annuels d évaluation

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

CAHIER DES CHARGES DE LA FORMATION OUVERTURE D ACTION. Certificat de Qualification Professionnelle des Services de l Automobile

Certificat de Qualification Professionnel d Agent de Prévention et de Sécurité (CQP APS)

Rapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5.

Le diplôme universitaire de musicien intervenant. Le certificat d'aptitude aux fonctions de professeur de musique

Rectorat de Grenoble

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

ITIL V2. Historique et présentation générale

- CertimétiersArtisanat

NOGENT PERCHE HABITAT Office Public de l Habitat

La Validation des Acquis de l Expérience. avec l IFPASS.

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4

TABLE DE MATIERES. Pourquoi les Organisations doivent-elles être accréditées?...

Ordonnance sur les services de certification électronique

Règlement de la Consultation

V 8.2. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

Appel d offres ouvert N 01/2015

I. - LES FAITS NÉCESSITANT LA MISE EN ŒUVRE DE LA PROCÉDURE SPÉCIFIQUE D URGENCE A.

REGLEMENT DE CONSULTATION Réf

Les mesures compensatoires des atteintes à la biodiversité en France

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

CERTIFICATS ELECTRONIQUES SUR CLÉ USB CERTIGREFFE

CIRSEE POLE INFORMATIQUE TECHNIQUE. Support et service après vente.

UNIVERSITE DE TOULON UFR FACULTE DE DROIT REGLEMENT D EXAMEN ANNEE 2012/2017 LICENCE DROIT MENTION DROIT GENERAL

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version

EXIGENCES COMPLÉMENTAIRES POUR L ATTRIBUTION ET LE SUIVI D UNE QUALIFICATION PROFESSIONNELLE D ENTREPRISE DANS L ACTIVITÉ :

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS)

ARRANGEMENT EN VUE DE LA RECONNAISSANCE MUTUELLE DES QUALIFICATIONS PROFESSIONNELLES ENTRE LE BARREAU DU QUÉBEC LE CONSEIL NATIONAL DES BARREAUX

Le compte épargne temps

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

GUIDE sur le bon usage

Les frais d accès au réseau et de recours à la signature électronique sont à la charge de chaque candidat.

REGLEMENT DE CONSULTATION (RC)

Marchés publics de fournitures et services EMISSION DE CARTES D ACHATS ET PRESTATIONS ANNEXES CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

LA FORMATION DES AGENTS DE LA FONCTION PUBLIQUE TERRITORIALE

SERVICES TECHNIQUES CENTRE HOSPITALIER. d AURILLAC. 1er congrès de l AFGRIS

ISO conformité, oui. Certification?

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 31 du 9 juillet PARTIE PERMANENTE Administration Centrale. Texte 3

Rapport de certification

CAP Serrurier-métallier REFERENTIEL D ACTIVITES PROFESSIONNELLES PRESENTATION DES ACTIVITES ET TACHES

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

Gestion des Clés Publiques (PKI)

Le Dossier Médical Personnel et la sécurité

Loi n 0005/2008 du 11 juillet 2008 portant création, organisation et fonctionnement de l Agence Nationale de l Aviation civile

Transcription:

PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le N /SGDN/DCSSI/SDR Référentiel général de sécurité Processus de qualification d un produit de sécurité - niveau élémentaire - version 1.0 Version version 1.0 Modifications Première version applicable conformément au Référentiel général de sécurité. 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP - Tél 01.71.75.82.65 - Fax 01.71.75.84.00

Sommaire 1. Introduction...3 1.1. Objectif de la qualification au niveau élémentaire...3 1.2. Objectif du document...3 2. Documentation applicable...4 3. Organisation et jalons...5 3.1. J0 : acceptation du projet de qualification...5 3.2. J1 : certification de sécurité de premier niveau des technologies de l information...5 3.3. J2 : notification de la qualification...5 3.4. Suivi de la qualification...6 4. Référentiels applicables...6 4.1. En matière de cryptographie...6 4.2. En matière d évaluation du produit...6 4.3. Documentation...6 5. Protection, publication et exploitation des résultats...6 5.1. Protection des développements et des résultats des évaluations...6 5.2. Publication des qualifications...7 5.3. Exploitation des résultats...7 Version 1.0 2

1. Introduction 1.1. Objectif de la qualification au niveau élémentaire La sécurisation des systèmes d information repose en partie sur la mise en œuvre de fonctions techniques, logicielles et matérielles, fournies dans de nombreux cas par des produits de sécurité. Conformément au [RGS], pour apprécier la robustesse de ces produits dans le cadre de la sécurisation de l administration électronique, la DCSSI procède à leur qualification, selon trois niveaux : élémentaire, standard et renforcé. Le niveau de robustesse élémentaire, objet du présent processus, a pour objectif de vérifier que le produit est conforme à ses spécifications de sécurité, de coter ses mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie et de soumettre le produit à des tests visant à contourner ses fonctions de sécurité. Le processus et les exigences définies dans ce processus s appliquent également, le cas échéant, à des sous-systèmes ou briques techniques de sécurité qui ne sont pas à proprement parler des produits, mais dont les enjeux de sécurité sont identiques, et pour lesquels le niveau de robustesse doit être attesté par le présent processus de qualification. 1.2. Objectif du document Ce document définit le processus conduisant à la qualification au niveau élémentaire d un produit. Il est principalement destiné aux acteurs participant à la procédure de qualification (commanditaires de la qualification, développeurs, évaluateurs, ). Il présente également les exigences générales applicables à la conception et à l évaluation des produits visant une qualification au niveau élémentaire. Il concerne de même les maîtrises d ouvrage et maîtrises d œuvre de systèmes ayant recours à des produits qualifiés au niveau élémentaire, ainsi que les acheteurs de tels produits. Version 1.0 3

2. Documentation applicable [ORDONNANCE] : ordonnance n 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. [DECRETCERTIF] : décret n 2002-535 du 18 avril 2002, relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information. [DECRETRGS] : ce décret relatif à la sécurité des informations échangées par voie électronique est pris pour l application des articles 9, 10 et 12 de l [ORDONNANCE]. Ce texte est encore à l état de projet. [RGS] : référentiel général de sécurité, et notamment ses annexes : [RÉFÉRENTIELS] : - Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques, version 1.11 du 24 octobre 2008. - Règles et recommandations concernant la gestion des clés utilisées dans des mécanismes cryptographiques, version 1.10 du 24 octobre 2008. [CC] : critères Communs, version 2.3 d août 2005 et version 3.1 release 2 de septembre 2007. [SURVEILLANCE] : procédure de surveillance des produits certifiés, SUR/P/01.2, n 3172/SGDN/DCSSI/SDR du 16 novembre 2005. [CONTINUITÉ] : procédure de continuité d assurance, MAI/P/01, n 417/SGDN/DCSSI/SDR du 4 février 2005. [FOURNITURES CRYPTO] : fournitures nécessaires à l analyse de mécanismes cryptographiques, version 1.2 du 6 novembre 2006, n 2336/SGDN/DCSSI/SDS. Ces documents sont accessibles sur http://www.ssi.gouv.fr. Version 1.0 4

3. Organisation et jalons La qualification au niveau élémentaire d un produit s appuie sur la certification de sécurité de premier niveau des technologies de l information [CSPN] du produit. Elle s organise de la manière suivante : - jalon J0 : acceptation du projet de qualification, - jalon J1 : certification de sécurité de premier niveau des technologies de l information [CSPN] du produit, - jalon J2 : qualification du produit. Puis la qualification fait l objet d un suivi. 3.1. J0 : acceptation du projet de qualification Fournitures attendues : Le commanditaire sollicite la DCSSI pour le lancement du processus de qualification, en lui fournissant les informations suivantes : - les fonctions de sécurité que le produit offre parmi celles définies dans [RGS], - le calendrier prévisionnel du projet de qualification, - une première analyse de la problématique de sécurité, en termes de services à rendre par le produit, d hypothèses d emploi et de menaces prises en compte par le produit pour protéger ses biens sensibles. Franchissement du jalon J0 : Lors de son analyse de la demande, la DCSSI examine notamment la cohérence entre le niveau visé pour le produit, les besoins de l administration et les exigences établies dans [RGS]. La décision d acceptation du projet est prononcée par la DCSSI. En cas d acceptation, l organisation du projet de qualification est définie en concertation avec les acteurs du projet. La DCSSI peut ne pas accepter le projet pour les raisons fixées dans le [DECRETRGS]. Dans le cas où le produit à qualifier fait l objet d un marché de développement et de qualification, le jalon J0 doit être de préférence franchi préalablement à la notification du marché. 3.2. J1 : certification de sécurité de premier niveau des technologies de l information Fournitures attendues : Le rapport d évaluation, établi conformément à [CSPN]. Franchissement du jalon J1 : Au terme des travaux décrits dans [CSPN], la DCSSI délivre le rapport de certification de sécurité de premier niveau. 3.3. J2 : qualification du produit Fournitures attendues : Le rapport de certification de sécurité de premier niveau. Elle repose sur l engagement du commanditaire à conduire les opérations de maintenance, tels que décrits au 3.4. Franchissement du jalon J2 : Version 1.0 5

A partir du rapport de certification, la DCSSI décide ou non de prononcer la qualification au niveau élémentaire du produit dans sa configuration évaluée. Elle en informe le commanditaire. La qualification fait état des conditions et restrictions fixées dans la certification de sécurité de premier niveau. Elle fait également apparaître la conformité au [RGS] pour un niveau de sécurité donné. La DCSSI assure la publication de certains éléments relatifs à cette qualification, conformément au 5. 3.4. Suivi de la qualification Le but de la qualification est de disposer de produits de confiance dans la durée. La DCSSI peut demander que le commanditaire établisse avec le centre d évaluation un contrat de surveillance du certificat telle que prévue dans [SURVEILLANCE], pour s assurer que le produit, non modifié, conserve ses qualités vis-à-vis de l évolution de l état de l art de la menace. En cas d évolution du produit, il est recommandé que le développeur mette en œuvre le processus de continuité d assurance du certificat tel que prévu dans [CONTINUITÉ] pour s assurer que les modifications apportées ne remettent pas en cause ses qualités. Toute qualification peut être retirée dans les conditions fixées dans le [DECRETRGS]. 4. Référentiels applicables 4.1. Le [RGS], notamment en matière de cryptographie Les mécanismes cryptographiques et la gestion des clés utilisées par ces mécanismes doivent satisfaire les exigences définies dans le référentiel technique cryptographique géré par la DCSSI ([RÉFÉRENTIELS]). Les fournitures requises pour l analyse des mécanismes cryptographiques doivent être conformes à [FOURNITURES CRYPTO]. Elles sont exigibles dans tous les cas, y compris lorsque le développeur s appuie sur une bibliothèque cryptographique ou reprend du code existant. 4.2. En matière d évaluation du produit L évaluation du produit doit être conduite conformément aux exigences de [CSPN]. L utilisation des profils de protection référencés dans le [RGS] est recommandée. 4.3. Documentation La documentation nécessaire à la conduite de la qualification d un produit de sécurité, et en particulier des différentes évaluations, est fournie en langue française. Les rapports d évaluation sont établis en français. 5. Protection, publication et exploitation des résultats 5.1. Protection des développements et des résultats des évaluations La documentation de développement du produit n est pas rendue publique. Version 1.0 6

La documentation d évaluation n est pas rendue publique (dans le respect de l art. 6 du [DECRETCERTIF]). Les vulnérabilités identifiées pendant l évaluation ou en maintenance sont : - soit corrigées, ceci pouvant conduire l évaluateur à demander, en coordination avec la DCSSI, une reprise d évaluation, - soit prises en compte au niveau des restrictions d usage du produit, - soit ignorées car hors cible ou hors objectifs de sécurité (risques résiduels acceptés). La DCSSI juge de l opportunité d informer de ces vulnérabilités les utilisateurs du produit qualifié. 5.2. Publication des qualifications Sauf avis contraire du développeur ou du commanditaire, le certificat obtenu au titre de [DECRETCERTIF] est publié par la DCSSI, avec le rapport de certification, la cible de sécurité, et éventuellement la documentation d accompagnement requise (documentation d installation du produit, ). En complément, la DCSSI gère un catalogue des produits de sécurité qui comprend l ensemble des produits qualifiés ou en cours de qualification. Dans ce catalogue figurent, outre les informations directement liées au processus de qualification (cible de sécurité du produit, rapport de certification, attestation de qualification), des informations relatives : - aux performances des produits (débits, MTBF, dimension, poids, ), - aux coûts des produits (ainsi que de leurs éventuels périphériques ou des équipements requis pour leur mise en œuvre, de leur maintenance, ), - aux délais d approvisionnement, - aux contacts commerciaux du développeur. Il revient aux développeurs de fournir à la DCSSI les informations utiles sur leur produit pour la constitution de ce catalogue et de les tenir à jour. Les produits sont intégrés dans le catalogue dès lors que la réunion de lancement de l évaluation selon [CSPN] a été menée. Le catalogue des produits qualifiés ou en cours de qualification est à la disposition du public sur http://www.ssi.gouv.fr. 5.3. Exploitation des résultats En vue de constituer ou d améliorer les référentiels d exigences techniques de sécurité, la DCSSI se réserve le droit de réutiliser les résultats des qualifications (cibles de sécurité, résultats de travaux d évaluation, ). Version 1.0 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back