PROCEDURE EXPERIMENTALE

Documents pareils
PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

LE DELEGUE INTERMINISTERIEL A LA SECURITE ROUTIERE A MESDAMES ET MESSIEURS LES PREFETS MONSIEUR LE PREFET DE POLICE

CERTIFICATION CERTIPHYTO

Règlement de la Consultation

PROCEDURE DE CERTIFICATION IIW MCS SELON EN ISO 3834

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» REGLEMENT DE CONSULTATION

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

Le 18/09/2015 à 12h00 à Pessac en Gironde (voir article 6 du présent règlement)

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

Procédure ouverte avec Publicité Evaluation de projets innovants pour une pré-maturation et Formation à une méthode d analyse de projets innovants.

RECUEIL DE LEGISLATION. S o m m a i r e INTERMEDIAIRES D ASSURANCES ET DE REASSURANCES

MARCHE PUBLIC DE PRESTATIONS INTELLECTUELLES Code des marchés publics (décret du 1er août 2006)

Luxembourg-Luxembourg: Services de traduction AMI14/AR-RU 2014/S Appel de manifestations d'intérêt

7.2 - Le traitement administratif des accidents de service, de travail et des maladies professionnelles

REGLEMENT DE CONSULTATION. MAPA SEPDE - DéGéOM

Consultation publique PARL OMPI EXPERTS PRESENTATION ET ETAT D AVANCEMENT DU PROJET PARL OMPI EXPERTS

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

inaptitude quelles sont les obligations?

REGLEMENT DE CONSULTATION

MARCHE PUBLIC DE TRAVAUX REGLEMENT DE LA CONSULTATION R.C. Mairie de FENOUILLET Département de la Haute Garonne

Télésurveillance des établissements de la Ville de Tourlaville REGLEMENT DE CONSULTATION

CENTRE HOSPITALIER DU GERS 10 Rue Michelet BP AUCH Cédex 8 MARCHE PUBLIC DE TRAVAUX REGLEMENT DE LA CONSULTATION

«INNOVATION PEDAGOGIQUE PAR LA MISE EN PLACE D UNE UNITE DE PHARMACIE EXPERIMENTALE POUR AMELIORER LA QUALITE DE LA FORMATION PROFESSIONNALISANTE»

Règlement de la Consultation

MANUEL DES PROCEDURES D ATTRIBUTION, DE CONTRÔLE ET DE RENOUVELLEMENT DES QUALIFICATIONS ET ATTESTATIONS D IDENTIFICATION

REGLEMENT DE LA CONSULTATION (R.C.)

Marquage CE des Granulats

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

Règlement de la consultation

Les motifs de saisine de la commission de réforme

REGLEMENT DE CONSULTATION

Modalités de candidature et de certification. Niveau 1. Certification de personnes Expert méthode HACCP/SMSDA

MARCHE PUBLIC DE TRAVAUX- REGLEMENT DE LA CONSULTATION ( RC)

Règlement de la Consultation

CONDITIONS GENERALES D ACHAT

LICENCE PROFESSIONNELLE ASSURANCE BANQUE - FINANCE

CAHIER DES CHARGES DE LA FORMATION OUVERTURE D ACTION. Certificat de Qualification Professionnelle des Services de l Automobile

Règlement de la Consultation

STRATÉGIE DE SURVEILLANCE

RÈGLEMENT DE CONSULTATION

SOMMAIRE. Page 2 sur 8

COMITE DEPARTEMENTAL DU TOURISME DES PYRENEES ORIENTALES

REGLES GENERALES DE CERTIFICATION HACCP

R E G L E M E N T G E N E R I Q U E DES F O R M A T I O N S E P D E S S P E C I A L I S E E S E N S O I N S

VERIFICATION MAINTENANCE ET RENOUVELLEMENT DES SYSTEMES DE DETECTION INTRUSION ET TELESURVEILLANCE DES BATIMENTS COMMUNAUX

TRAVAIL EMPLOI FORMATION

Marché public de services REGLEMENT DE CONSULTATION

REGLEMENT DE CERTIFICATION

Dossier de Consultation

REFERENTIEL DE CERTIFICATION

Nomination et renouvellement de MCF et PR associé à temps plein

Travaux de Serrurerie

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Fourniture de repas en liaison froide pour le service de portage de RÉGLEMENT DE CONSULTATION (R.C.)

Pour la gestion du personnel Norme simplifiée n 46

La durée du stage officinal est légalement de 6 mois.

CHARTE DU CORRESPONDANT MODELE TYPE

REGLEMENT DE CERTIFICATION

REPERTOIRE PROFESSIONNEL DES CONSULTANTS FORMATEURS INDEPENDANTS

Pour le Développement d une Relation Durable avec nos Clients

- Compléter, dater et signer le présent formulaire d adhésion

MARCHE PUBLIC DE FOURNITURES. «PRESTATION DE SURVEILLANCE et GARDIENNAGE DES LOCAUX D AGROCAMPUS OUEST»

LE 12 SEPTEMBRE H00

REGLEMENT DE LA CONSULTATION (RC)

CIRCULAIRE RELATIVE A L ACCREDITATION DES LABORATOIRES ET DES ORGANISMES D INSPECTIONS TECHNIQUES

Le ministre de l'intérieur, de la sécurité intérieure et des libertés locales

Organisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS

- Compléter, dater et signer le présent formulaire d adhésion ;

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

FNSA 91, avenue de la République PARIS

Tremplins de la Qualité. Tome 2

MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES

F-Montélimar: Services d'architecture, d'ingénierie et de planification 2010/S AVIS DE CONCOURS

REGLEMENT DE LA CONSULTATION

Les frais d accès au réseau et de recours à la signature électronique sont à la charge de chaque candidat.

REGLEMENT DE LA CONSULTATION N Du 24 mai Centre International d Etudes Pédagogiques 1, Avenue Léon Journault Sèvres cedex

REGLEMENT DE CONSULTATION (R.C.) Maintenance des autocoms et des serveurs d alarme. Marché n 1515

Décret n XXX du XX relatif aux effacements de consommation d électricité

ENTRETIEN DES ESPACES VERTS QUARTIER DU LEVANT (RENOUVELABLE 2 FOIS)

Décret du 25 Avril 2002 modifié pris pour l application de la loi du 4 Janvier 2002 relative aux musées de France

I OBJECTIF PROFESSIONNEL DU CQPM

- Compléter, dater et signer le présent formulaire d adhésion ;

Spécialité auxiliaire en prothèse dentaire du brevet d études professionnelles. ANNEXE IIb DEFINITION DES EPREUVES

«A R A P L de HAUTE NORMANDIE» Association déclarée, régie par la Loi du 1 er juillet 1901 ============ REGLEMENT INTERIEUR TITRE I

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Etude des possibilités de passerelles entre les CQP des Entreprises de l industrie pharmaceutique et les CQP des industries chimiques

Programme conjoint de bourses universitaires Japon/Banque mondiale (JJ/WBGSP) MODALITÉS DE DÉPÔT DES CANDIDATURES AU TITRE DE L'ANNÉE 2015

Annexe 2. A la Résolution d Ensemble sur la Facilitation des Transports Routiers (R.E.4)

Règlement de la Consultation

REGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES

REGLEMENT DE CONSULTATION (RC)

MEMENTO Version

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

REGLEMENT DE LA CONSULTATION. Procédure d appel d offres ouvert

Règlement de la Consultation

Institut Universitaire de Formation des Maîtres

Transcription:

PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 13 juin 2008 n 1333/SGDN/DCSSI/SDR Référence : CSPN-AGR/P/01.2 PROCEDURE EXPERIMENTALE AGREMENT DES CENTRES D'EVALUATION EN VUE DE LA CERTIFICATION DE SECURITE DE PREMIER NIVEAU Application : A compter du 1 er juin 2008 Diffusion : Publique Vérifiée par Le responsable qualité [ORIGINAL SIGNE] Validée par le sous-directeur de la régulation [ORIGINAL SIGNE] Approuvée par le directeur central de la sécurité des systèmes d information [ORIGINAL SIGNE] Le chef du centre de certification [ORIGINAL SIGNE] 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP

Suivi des modifications Révision Date Modifications 1 01/07/2007 Création 2 Ajout de la liste des CV des experts techniques dans la constitution du dossier de 13/06/2008 demande d agrément. Modification des logigrammes. 2/14 CSPN-AGR/P/01.2

TABLE DES MATIERES 1. OBJET DE LA PROCEDURE... 4 2. REFERENCE... 4 3. LOGIGRAMMES... 5 4. DESCRIPTION DE LA PROCEDURE... 7 4.1. Demande d agrément... 7 4.2. Audit préliminaire... 7 4.3. Evaluation pilote... 7 4.4. Audit formel... 7 4.5. Décision d agrément... 8 4.6. Suivi et renouvellement de l agrément... 8 4.7. Modification de la portée d agrément... 8 4.7.1. Modification suite à la demande du centre d évaluation... 8 4.7.2. Modification suite à la demande du centre de certification... 8 4.8. Renouvellement de l agrément... 8 4.9. Suspension de l agrément... 9 4.10. Retrait de l agrément... 9 4.11. Conséquences du retrait de l agrément... 9 4.12. Cessation d activité du centre d évaluation... 9 4.13. Cas des Centres d évaluation de la sécurité des technologies de l information (CESTI) agréés au titre du décret 2002-535 du 18 avril 2002... 10 4.13.1. Demande d agrément... 10 4.13.2. Audit préliminaire... 10 4.13.3. Evaluation pilote... 10 4.13.4. Audit formel d agrément... 10 4.13.5. Suivi de l agrément... 10 4.13.6. Modification de la portée d agrément... 10 4.13.7. Renouvellement... 10 4.13.8. Suspension de l agrément... 10 4.13.9. Retrait de l agrément... 10 4.13.10. Conséquence du retrait de l agrément... 10 4.13.11. Cessation de l activité du centre... 10 ANNEXE A CRITERES D AGREMENT... 11 ANNEXE B PORTEE D AGREMENT... 13 ANNEXE C OBLIGATIONS RESULTANT DE L AGREMENT... 14 CSPN-AGR/P/01.2 3/14

1. Objet de la procédure Cette procédure décrit le processus d agrément des centres d évaluation qui réalisent des évaluations de produits en vue de leur certification de sécurité de premier niveau (référentiel DCSSI). La procédure d agrément d un centre d évaluation permet de s assurer : a) de son aptitude à appliquer les critères d évaluation en vigueur et la méthodologie correspondante ; b) de sa compétence technique sur les types de produits qui font partie de sa portée d agrément ; c) de son indépendance vis-à-vis des développeurs pour son activité d évaluation ; d) que sa structure juridique et son organisation sont compatibles avec cette activité. 2. Référence CSPN-Présentation de la certification de sécurité de premier niveau, version 2.4. 4/14 CSPN-AGR/P/01.2

3. Logigrammes Figure 1 Demande d'agrément initiale CSPN-AGR/P/01.2 5/14

Figure 2 Régime permanent (centre agréé) Figure 3 Renouvellement agrément 6/14 CSPN-AGR/P/01.2

4. Description de la procédure 4.1. Demande d agrément La demande d agrément (formulaire CSPN-AGR-F-01 Demande d agrément) doit être adressée au centre de certification de la direction centrale de la sécurité des systèmes d information (DCSSI). Les documents suivants doivent être fournis avec la demande d agrément : une photocopie d un extrait Kbis de la société ; un dossier technique permettant d apprécier les capacités professionnelles du candidat comprenant : o une présentation générale de l entreprise, avec notamment un ou des organigrammes présentant la place du centre d évaluation dans l entreprise mère si le centre d évaluation est accueilli dans une organisation plus large. Les organigrammes devront notamment préciser les différentes responsabilités ; o les expériences et références nationales et internationales récentes de prestations similaires et les périodes de réalisation des prestations. Le candidat devra justifier notamment de ses compétences pour les activités d évaluation de la sécurité des technologies de l information ; o la liste et les curriculum vitae des experts techniques identifiés pour réaliser les prestations d expertise ; les éventuelles habilitations de la société à traiter de l information classifiée de défense ; une proposition d évaluation pilote ; les types de produits pour lesquels l agrément est demandé (voir annexe B) et les experts techniques qu il est prévu de faire intervenir en expertise pour chaque type de produit ; tout autre élément pouvant apporter des informations utiles sur le candidat. Le responsable d agrément des centres d évaluation, membre du centre de certification, prend en charge le suivi du candidat tout au long de la procédure d agrément. Il organise notamment l audit préliminaire du candidat. 4.2. Audit préliminaire Un audit préliminaire est effectué dans les locaux du candidat pour évaluer sa capacité à répondre aux critères d agrément listés en annexe A. Un rapport d audit est rédigé à l issue de l audit par le responsable d agrément. Si les conclusions sont satisfaisantes, le candidat obtient l autorisation d effectuer une évaluation pilote. 4.3. Evaluation pilote Le candidat doit mener une évaluation «pilote» pour permettre à la DCSSI d apprécier sa capacité à mener à bien une évaluation. Il est de la responsabilité du candidat de négocier et d obtenir un projet d évaluation pilote auprès d un commanditaire. Ce dernier devra être informé de la situation du candidat et des risques encourus quant au résultat de l évaluation. Aucun certificat ne sera délivré tant que le centre d évaluation n est pas agréé. L évaluation pilote doit être menée conformément aux procédures en vigueur. Elle fait l objet d un suivi renforcé par la DCSSI. Le candidat dispose d un an à compter de la demande d agrément pour réaliser l évaluation pilote. Il ne pourra faire à nouveau acte de candidature qu avec un nouveau contrat d évaluation. 4.4. Audit formel Au terme de l évaluation pilote, la DCSSI réalise si nécessaire l audit formel d agrément. Le responsable d agrément vérifie notamment que les non-conformités identifiées lors de l audit préliminaire ont été corrigées. CSPN-AGR/P/01.2 7/14

Le responsable d agrément rédige un rapport d audit formel d agrément qui indique si le candidat satisfait tous les critères d agrément listés en annexe A. 4.5. Décision d agrément La décision d agrément est prononcée par le directeur de la DCSSI. Cette décision peut énoncer les obligations particulières auxquelles est soumis le centre d évaluation. La décision d agrément indique notamment la portée d agrément dans laquelle le centre d évaluation peut réaliser des évaluations en vue d une certification. Les différentes portées d agrément sont décrites en annexe B. La décision d agrément est valable deux ans. 4.6. Suivi et renouvellement de l agrément Il appartient au centre d évaluation de faire la demande de renouvellement. Le renouvellement peut donner lieu à un nouvel audit formel d agrément. La DCSSI suit de façon continue les activités du centre d évaluation et s assure que les obligations liées à l agrément sont respectées (Cf. annexe C). Elle peut s assurer à tout moment que le centre d évaluation continue à satisfaire aux critères d agrément par un audit. 4.7. Modification de la portée d agrément Cette procédure peut être initialisée : à la demande du centre d évaluation qui désire modifier sa portée d agrément. Cette demande peut entraîner la reprise d une partie de la procédure d agrément (typiquement, à partir des 4.2 ou 4.3) ; à la demande du centre de certification lorsqu il estime que la situation du centre d évaluation a changé (compétences, statut, etc.). Par exemple, si le centre d évaluation connaît le départ d un membre de son personnel disposant de compétences clés, le centre de certification peut restreindre la portée de l agrément en tenant compte de cette perte de compétence. 4.7.1. Modification suite à la demande du centre d évaluation Si le centre d évaluation est l initiateur de la demande de modification, il transmet l ensemble des éléments qui justifient sa demande au centre de certification. La vérification des éléments de preuve justifiant la demande peut se faire sous la forme d une visite du centre d évaluation. Le responsable d agrément est chargé de suivre l ensemble de ces étapes. Il consigne les résultats et éléments de preuve de chaque étape dans le dossier de suivi du centre d évaluation. A l issue de l analyse de l ensemble des résultats, il rédige une note comprenant l ensemble des éléments de preuve à l attention du directeur de la DCSSI qui décide du maintien ou de la modification de la portée d agrément. La décision est notifiée au centre d évaluation par courrier. 4.7.2. Modification suite à la demande du centre de certification Lorsque le centre de certification considère que la portée d agrément du centre d évaluation doit être modifiée, une lettre de notification est envoyée au centre d évaluation indiquant la période allouée pour la mise à niveau. Ce dernier doit mettre en place durant cette période, les mesures correctives lui permettant d être à nouveau apte à mener des évaluations suivant la portée initiale. Le responsable d agrément est chargé de suivre l ensemble de ces étapes. Il consigne les résultats et éléments de preuve de chaque étape dans le dossier de suivi du centre d évaluation. A l issue de la période allouée, il rédige une note comprenant l ensemble des éléments de preuve à l attention du directeur de la DCSSI qui décide du maintien ou de la modification de la portée d agrément. La décision est notifiée au centre d évaluation par courrier. 4.8. Renouvellement de l agrément A l échéance de la période de validité de l agrément, le centre d évaluation doit demander à la DCSSI, s il le souhaite, le renouvellement de son agrément. 8/14 CSPN-AGR/P/01.2

A la réception de la demande, un nouvel audit formel d agrément peut être mené. Il permet de vérifier que les critères et obligations de l agrément sont toujours respectés. Il permet également de faire le point sur les écarts constatés et formalisés pendant la période d agrément ainsi que sur les actions correctives mises en œuvre. Si les conditions sont satisfaites, une nouvelle décision d agrément est prononcée par le directeur de la DCSSI. Si le centre d évaluation ne souhaite pas renouveler son agrément, il suffit de ne pas envoyer de demande de renouvellement. Une lettre de notification sera envoyée au centre d évaluation et le nom du centre d évaluation sera supprimé de la liste des centres d évaluation agréés. 4.9. Suspension de l agrément L agrément peut être suspendu par le directeur de la DCSSI sur proposition du centre de certification. Une liste non limitative des causes de suspension est donnée ci-dessous à titre d exemples : le centre d évaluation ne répond pas aux obligations fixées par la décision d agrément (Cf. annexe C) ; le centre d évaluation a une activité insuffisante ; motifs liés aux intérêts de la défense nationale ou de la sécurité de l Etat. Lorsqu une suspension de l agrément est décidée par la DCSSI, celle-ci en informe le centre d évaluation et lui propose un délai lui permettant de mettre en place les mesures correctives afin d être à nouveau conforme aux critères d agrément. Si à l issue de cette période de suspension, le centre de certification estime que les causes ayant entrainé la suspension ne sont pas corrigées ou en voie de l être, une procédure de retrait de l agrément est engagée. Dans le cas contraire, le centre d évaluation est averti qu il est de nouveau agréé. Durant la période de suspension, le centre de certification décide au cas par cas : de l acceptation ou non de nouveaux dossiers de certification soumis par le centre d évaluation ; de la prise en compte ou non des résultats des projets d évaluation en cours dans le centre d évaluation. 4.10. Retrait de l agrément L agrément peut être retiré par le directeur de la DCSSI. Une liste non limitative des causes de retrait est donnée ci-dessous à titre d exemple : le centre d évaluation ne répond pas aux obligations fixées par la décision d agrément (Cf. annexe C); motifs liés aux intérêts de la défense nationale ou de la sécurité de l Etat. le centre d évaluation demande à cesser son activité ; les causes ayant entraîné une suspension d agrément n ont pas été corrigées. 4.11. Conséquences du retrait de l agrément Le nom du centre d évaluation concerné est enlevé de la liste des centres d évaluation agréés. Aucune nouvelle évaluation ne peut être engagée. Les évaluations en cours peuvent, soit être menées à leur terme par le centre d évaluation en accord avec le centre de certification, soit être arrêtées. Le centre d évaluation doit remettre à la DCSSI l ensemble des dossiers relatifs aux évaluations menées. La DCSSI se réserve le droit de prévenir les commanditaires, développeurs et autres acteurs concernés par les évaluations en cours, de l arrêt de l agrément du centre d évaluation. 4.12. Cessation d activité du centre d évaluation La demande de cessation d activité entraîne le retrait de l agrément. CSPN-AGR/P/01.2 9/14

Une notification de l arrêt de l agrément est envoyée au centre d évaluation. 4.13. Cas des Centres d évaluation de la sécurité des technologies de l information (CESTI) agréés au titre du décret 2002-535 du 18 avril 2002 4.13.1. Demande d agrément Un CESTI agréé au titre du décret 2002-535 peut prétendre être reconnu apte à réaliser des évaluations en vue d une certification de sécurité de premier niveau. Cette aptitude ne vaut que pour les types de produits pour lesquels il est déjà agréé ainsi que pour les éventuelles compétences cryptographiques pour lesquelles il est reconnu. Pour ce faire, le CESTI envoie un courrier à la DCSSI demandant son agrément au titre de cette procédure en indiquant les types de produits pour lesquels l agrément est demandé. Pour les autres types de produits (hors de son domaine d agrément initial), la procédure d agrément est la même que celle décrite au 4. 4.13.2. Audit préliminaire Il n est pas procédé à un audit préliminaire (déjà réalisé dans le cadre de l agrément au titre du décret 2002-535). 4.13.3. Evaluation pilote Il n est pas demandé d évaluation pilote (déjà réalisée dans le cadre de l agrément au titre du décret 2002-535). 4.13.4. Audit formel d agrément Il n est pas procédé à un audit formel d agrément (déjà réalisé dans le cadre de l agrément au titre du décret 2002-535). 4.13.5. Suivi de l agrément Comme dans la présente procédure. 4.13.6. Modification de la portée d agrément Comme dans la présente procédure. 4.13.7. Renouvellement Comme dans la présente procédure, sauf pour les aspects «audits» qui sont réalisés conjointement avec l audit d agrément au titre du décret 2002-535. 4.13.8. Suspension de l agrément Comme dans la présente procédure. 4.13.9. Retrait de l agrément Comme dans la présente procédure. 4.13.10. Conséquence du retrait de l agrément Comme dans la présente procédure. 4.13.11. Cessation de l activité du centre Comme dans la présente procédure. 10/14 CSPN-AGR/P/01.2

Annexe A Critères d agrément A.1 Indépendance, impartialité C1 Le centre d évaluation doit apporter les éléments de preuve et les engagements permettant à la DCSSI de vérifier que les évaluations qu il réalise sont faites : - de façon impartiale : le centre d évaluation ne subit pas de pressions visant à modifier les résultats des travaux d évaluation ; - de façon indépendante : le centre d évaluation n accepte pas d évaluation qui le mettrait en conflit d intérêt avec le développeur du produit (ou le distributeur, l importateur ). A.2 Confidentialité C2 Le centre d évaluation doit mettre en place des dispositions permettant d assurer la confidentialité des évaluations et de leurs résultats. En particulier, il ne doit pas faire état des développeurs et commanditaires avec lesquels il a été en lien (avant-projet, projet ) dans le cadre de cette activité d évaluation, ni les produits dont il a connaissance et qui ont pu faire l objet d une demande d évaluation ou d une évaluation. Cette exigence ne porte que sur les informations qui ne sont pas du domaine public. A.3 Sous-traitance C3 La sous-traitance de tout ou partie d une évaluation doit être explicitement acceptée par la DCSSI. A.4 Prescriptions relatives au personnel C4 C5 C6 C7 C8 Les personnes autorisées à signer les rapports d évaluation doivent être indiquées au centre de certification. La DCSSI se réserve le droit de refuser qu un personnel indiqué par le centre d évaluation participe aux évaluations réalisées dans le cadre de cet agrément. Le personnel du centre d évaluation doit être compétent en technologies de l information, ainsi que qualifié et expérimenté en évaluation de la sécurité. L estimation de cette expérience est du ressort du centre de certification. Notamment, la compétence du personnel du centre d évaluation doit être conforme à la portée de son agrément (connaissances techniques et expérience nécessaires pour exercer les activités correspondantes). Le personnel qui réalise les évaluations doit être indiqué au centre de certification. Ses compétences doivent être suivies (au minimum, projets d évaluations auxquelles les personnes ont participé, tâches réalisées, dates). La DCSSI se réserve le droit de refuser qu un personnel indiqué par le centre d évaluation participe aux évaluations réalisées dans le cadre de cet agrément. Une personne ayant participé à la réalisation d un produit (conseil, conception, réalisation ) ne peut évaluer ce produit. Les aspects commerciaux doivent être réglés par contrat entre le centre d évaluation, le commanditaire et, dans certains cas, les développeurs. CSPN-AGR/P/01.2 11/14

C9 Le centre de certification doit être mentionné dans tout contrat d évaluation comme destinataire de l ensemble des informations du processus d évaluation. A.5 Compétences techniques C10 A la demande du centre de certification, le centre d évaluation doit être en mesure de démontrer les compétences qui correspondent à sa portée d agrément. Cette démonstration se fait dans un délai fixé par le centre de certification. A.6 Méthodes et procédures de travail C11 C12 Les rapports d évaluation doivent faire l objet d un processus de validation interne avant leur envoi, afin de limiter les biais et les conséquences d erreurs. Les rapports transmis aux commanditaires et au centre de certification doivent être signés par l autorité identifiée auprès du centre de certification pour l agrément (Cf. critère C4). 12/14 CSPN-AGR/P/01.2

Annexe B Portée d agrément B.1 Définition de la portée d agrément La portée d agrément est définie en termes de type de produits et de compétences techniques. La DCSSI peut accorder des dérogations pour des tâches exceptionnelles non couvertes par la portée d agrément. B.2 Types de produits Les types de produits retenus pour la certification sont les suivantes : 1 - détection d intrusions ; 2 - anti-virus, protection contre les codes malicieux ; 3 - firewall ; 4 - effacement de données ; 5 - administration et supervision de la sécurité ; 6 - identification, authentification et contrôle d accès ; 7 - communication sécurisée ; 8 - messagerie sécurisée ; 9 - stockage sécurisé ; 10 - matériel et logiciel embarqué. Au sein de chacune de ces catégories, des restrictions peuvent être émises par la DCSSI sur les types de produits/systèmes que le centre d évaluation peut évaluer. B.3 Compétences techniques Compétences techniques Systèmes d exploitation Réseaux Bases de données Cryptographie Matériel (composants électroniques) B.4 Affichage de la portée Le site internet de la DCSSI mentionne, pour chaque centre d évaluation agréé, les types de produits sur lesquels porte l agrément. CSPN-AGR/P/01.2 13/14

Annexe C Obligations résultant de l agrément Le centre d évaluation s engage à respecter les procédures de certification définies par le centre de certification de la DCSSI et qui lui sont transmises pour application. Il s engage à respecter les critères d agrément et en particulier : O1 O2 O3 O4 O5 O6 il s engage à refuser toute évaluation qui le mettrait dans une situation de conflit d intérêt avec un fournisseur au regard de son activité d évaluation ou à en avertir au plus tôt le centre de certification dans le cas où cette situation se produirait au cours d une évaluation ; il rend compte immédiatement au centre de certification de tout changement de la structure de sa société, de son organisation ou de son personnel, et fournit les pièces justificatives de ces modifications ; il autorise l accès du centre de certification à ses locaux et à l ensemble des documents, matériels ou outils utilisés dans le cadre des évaluations couvertes par la portée d agrément ; il autorise les membres de la DCSSI désignés par le centre de certification à contrôler à tout moment le déroulement d une évaluation, à assister à des travaux d évaluation et à contrôler que les critères d agrément sont respectés ; il se conforme aux obligations de protection de l information qui lui seraient imposées de manière permanente ou temporaire par la DCSSI ; il participe aux réunions initiées par le centre de certification de la DCSSI. 14/14 CSPN-AGR/P/01.2

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back