|
|
|
|
ASSURANCE - CONFORMITEIntroductionLe présent chapitre expose les critères d'évaluation qui traitent de l'aspect conformité de l'assurance pour une cible d'évaluation (TOE). La base d'évaluation est constituée par une cible de sécurité définie conformément au chapitre 2. La cible de sécurité doit contenir les éléments nécessaires spécifiés au chapitre 2 pour un système ou un produit, selon le cas. Elle doit comporter le niveau d'évaluation visé ainsi que la cotation annoncée de la résistance minimum des mécanismes. L'aspect efficacité de l'assurance est couvert par les critères décrits au chapitre 3.
Les sept niveaux d'évaluation peuvent être caractérisés comme suit : Niveau E0 Ce niveau représente une assurance insuffisante. Niveau E1 A ce niveau, il doit exister une cible de sécurité et une description informelle de la conception générale de la TOE. Les tests fonctionnels doivent indiquer que la TOE satisfait à sa cible de sécurité. Niveau E2 Outre les exigences du niveau E1, il doit exister une description informelle de la conception détaillée. Les éléments de preuve des tests fonctionnels doivent être évalués. Il doit exister un système de gestion de configuration et un processus approuvé de diffusion. Niveau E3 En plus des exigences du niveau E2, le code source et/ou les schémas descriptifs des matériels correspondants aux mécanismes de sécurité doivent être évalués. Les éléments de preuve des tests de ces mécanismes doivent être évalués. Niveau E4 En plus des exigences du niveau E3, il doit exister un modèle formel sous-jacent de politique de sécurité supportant la cible d'évaluation. Les fonctions dédiées à la sécurité, la conception générale et la conception détaillée doivent être spécifiées en style semi-formel. Niveau E5 En plus des exigences du niveau E4, il doit exister une correspondance étroite entre la conception détaillée et le code source et/ou les schémas descriptifs des matériels. Niveau E6 En plus des exigences du niveau E5, les fonctions dédiées à la sécurité ainsi que la conception générale doivent être spécifiées en style formel de manière cohérente avec le modèle formel sous-jacent de politique de sécurité.
Pour chaque aspect ou phase, on trouvera : l'identification de la documentation qui doit être fournie pour examen, puis les exigences sur son contenu et sa présentation ou les procédures et normes qu'elle doit définir, puis les éléments de preuve exigés pour montrer que les critères en question ont été satisfaits, et enfin la présentation des tâches que doit assurer l'évaluateur. Par souci de clarté, comme les exigences diffèrent de façon significative d'un niveau d'évaluation à l'autre, les critères pour chaque niveau sont exposés séparément. A chaque niveau, les critères nouveaux ou modifiés sont indiqués en caractères gras. De façon générale, il y a besoin de davantage de rigueur et d'approfondissement dans les éléments de preuve fournis à mesure que le niveau d'évaluation s'élève. Cela se reflète dans l'usage progressif, aux différents niveaux, des verbes "présenter" "décrire" et "expliquer" pour traiter du contenu et de la présentation de bon nombre de critères qui par ailleurs ne sont pas autrement modifiés. Sauf pour E1, c'est au commanditaire qu'incombe la charge de fournir les éléments de preuve, puis ceux-ci sont vérifiés ou contrôlés par l'évaluateur. Il n'est imposé à l'évaluateur de fournir des éléments de preuve supplémentaires que lorsqu'une action indépendante est exigée pour obtenir le degré de confiance nécessaire. Par exemple, il y a des exigences concernant des éléments de preuve pour des tests dynamiques, à la fois pour le commanditaire et l'évaluateur. L'exigence majeure est pour le commanditaire qui doit fournir des éléments de preuve, en particulier des plans et des résultats de tests, issus du processus de développement normal du système ou du produit en question. L'exigence imposée à l'évaluateur est de montrer qu'il a examiné les résultats fournis par le commanditaire, mais aussi qu'il a effectué ses propres tests pour vérifier la complétude, le niveau de détail et la fidélité des tests fournis par le commanditaire, et aussi pour prendre en compte tout cas d'incohérence ou d'erreur manifeste qu'il pourrait trouver dans les résultats de ces tests. Les tests ne représentent qu'un aspect de l'assurance qualité. Tout au long des critères, il est sous-entendu qu'un Programme d'Assurance Qualité a été introduit et s'applique au cycle de vie complet de la TOE. Ce programme d'Assurance Qualité doit couvrir la création, la maintenance et la destruction de tous les documents, programmes et matériels relatifs à la TOE. Les critères établis par ce document, peuvent guider les experts en assurance qualité pour déterminer si le programme est satisfaisant pour le niveau d'évaluation visé pour la TOE.
<identificateur de niveau>.<numéro de paragraphe à l'intérieur du niveau> Ainsi, par exemple, le troisième paragraphe du niveau E2 est numéroté E2.3. Des paragraphes vides sont utilisés en cas de besoin, afin que les paragraphes numérotés de façon identique dans chacun des niveaux se rapportent aux mêmes sujets.
Phase 1 - Spécification des besoins Cette première phase du processus de développement comprend la production d'une cible de sécurité pour le système ou le produit. Cette cible est la base de l'évaluation. Elle comprendra le niveau d'évaluation visé et la cotation annoncée de la résistance minimum des mécanismes. Phase 2 - Conception générale Cette phase du processus de développement couvre la définition et la conception d'ensemble de la TOE au plus haut niveau. Elle se présente sous la forme d'une spécification descriptive de haut niveau qui identifie la structure de base de la TOE, ses interfaces externes et sa décomposition en composants principaux, matériels et logiciels. Cette spécification distinguera ce que fera la TOE (la description de haut niveau) et comment elle le fera (la conception de haut niveau). Il est particulièrement important que la conception générale fournisse une séparation claire et efficace entre les composants dédiés à la sécurité et les autres. Cette séparation peut être réalisée de façon physique, ou en s'appuyant sur des mécanismes de protection fournis par du matériel ou des microprogrammes, ou par tout autre moyen. Une bonne conception permet à l'effort d'évaluation de se concentrer sur les secteurs limités de la TOE qui contribuent à la sécurité, et de suivre facilement la réalisation de la cible de sécurité à mesure que la conception s'affine pour entrer de plus en plus dans les détails. Phase 3 - Conception détaillée Cette phase du processus de développement couvre l'affinement de la conception générale de la TOE vers un niveau de détail qui peut être utilisé comme base pour la programmation et/ou la construction du matériel, c'est à dire toutes les étapes de conception et de spécification en dessous de la spécification initiale de haut niveau. Les composants identifiés au niveau le plus bas de la spécification sont appelés "composants élémentaires" ; c'est à partir des spécifications des composants élémentaires que le logiciel et/ou le matériel seront produits. Les composants dédiés à la sécurité seront identifiés à ce niveau. Egalement à ce niveau, peuvent être identifiés certains composants non dédiés à la sécurité, mais dont la panne ou une mauvaise utilisation pourrait compromettre la sécurité. Ces composants touchent à la sécurité puisque leur fonctionnement correct est nécessaire pour que la TOE puisse faire respecter la sécurité. Des niveaux intermédiaires de spécification peuvent exister, en fonction de la méthodologie de développement utilisée et de la complexité de la cible d'évaluation. Il est important que la transformation des spécifications de la TOE vers plus de détails et moins d'abstraction soit réalisée d'une façon qui préserve correctement les intentions de la description de haut niveau. Phase 4 - Réalisation Cette phase du processus de développement couvre la réalisation de la conception détaillée de la TOE sous forme de matériel et/ou de logiciel. Chacun des composants élémentaires est d'abord programmé ou fabriqué à partir de ses spécifications. Ces composants élémentaires individuels doivent ensuite être vérifiés et testés par rapport à leurs spécifications. Ils sont ensuite intégrés les uns avec les autres de façon ordonnée jusqu'à ce que la TOE complète existe. Celle-ci doit ensuite être vérifiée et testée dans son ensemble par rapport à la cible de sécurité. Il faut reconnaître que le test d'un composant élémentaire ou d'une unité plus importante par rapport à sa spécification peut seulement montrer des erreurs ou des écarts par rapport à la spécification, jamais l'absence d'erreurs. Par conséquent, pour les degrés de confiance supérieurs, il faudra compléter les tests par des analyses. Construction - L'environnement de développement L'environnement de développement comprend les mesures, les procédures et les normes utilisées par le développeur au cours du développement, de la production et de la maintenance de la TOE. Aspect 1 - Gestion de configuration La gestion de configuration couvre les contrôles imposés par le développeur à ses processus de développement, de production et de maintenance ; par exemple, pour garantir que chaque représentation de la conception ou de sa réalisation est produite et modifiée de façon contrôlée et qu'il peut être montré qu'elle correspond correctement aux représentations précédentes sur lesquelles elle est basée. L'estimation de la gestion de configuration comportera la compréhension des procédures de gestion de la qualité du développeur. A la suite de la livraison de la première version d'une TOE, il est presque inévitable que des corrections de défauts ou des modifications destinées à prendre en compte des changements d'objectifs imposeront la réalisation et la diffusion de versions ultérieures de la TOE. Il est donc nécessaire de maintenir la gestion de configuration de la TOE et de la documentation associée après la première version et la première livraison. La gestion de configuration est importante pour le développeur car c'est le moyen de garantir que la TOE n'est pas modifiée d'une façon qui pourrait invalider les résultats de l'évaluation. Aspect 2 - Langages de programmation et compilateurs Cet aspect ne s'applique qu'aux composants logiciels ou micro-programmés. Il comprend des exigences relatives aux langages de programmation, aux outils de compilation et aux bibliothèques de routines système utilisées pour développer la TOE. Aspect 3 - Sécurité des développeurs La sécurité des développeurs recouvre les mesures physiques, organisationnelles, techniques et relatives au personnel, qui sont utilisées dans l'environnement de développement. Elle comprend la sécurité physique des locaux de développement et le contrôle de la façon dont le personnel de développement a été choisi et habilité. Son but est de protéger le développement d'une attaque délibérée et de maintenir la confidentialité des informations de façon appropriée. Exploitation - La documentation d'exploitation La documentation d'exploitation fournit les principaux moyens par lesquels le développeur d'une TOE et ses clients communiquent. Sa facilité à être comprise, sa couverture et sa conformité sont donc des facteurs importants pour une exploitation sûre de la TOE. Cette documentation peut être considérée comme entrant dans l'une des deux catégories d'information suivantes : celle qui concerne l'utilisateur final (documentation utilisateur) et celle qui sert aux administrateurs (documentation d'administration). Aspect 1 - Documentation utilisateur La documentation utilisateur d'une TOE est l'ensemble des informations que fournit le développeur à l'usage de l'utilisateur final. Elle devrait aider celui-ci à comprendre les capacités de la TOE en matière de sécurité et lui permettre de contribuer à maintenir la sécurité en cours d'utilisation. Aspect 2 - Documentation d'administration La documentation d'administration est l'ensemble des informations sur la TOE que le développeur met à la disposition de l'administrateur. Elle peut comprendre des renseignements qui ne concernent pas les utilisateurs finals ou qui ne leur sont pas appropriés. Cette documentation devrait aider l'administrateur à installer et à exploiter la TOE d'une manière qui soit sûre. Exploitation - L'environnement d'exploitation L'environnement d'exploitation comprend les mesures, les procédures et les normes touchant à la livraison, l'installation et l'exploitation sûres d'une TOE. Dans le cas d'un système qui est déjà en service, il est possible d'estimer les procédures d'exploitation réelles. Dans les autres cas, on ne peut évaluer que celles qui sont proposées. Aspect 1 - Livraison et configuration Cette section couvre les procédures servant à assurer la sécurité au cours du transfert de la TOE ou de ses composants à l'utilisateur, aussi bien lors de la livraison initiale qu'à l'occasion d'une modification ultérieure. Elle rassemble toutes les procédures ou opérations particulières nécessaires soit à la configuration de la TOE lors de son installation, soit à la démonstration de l'authenticité de la TOE livrée. Ces procédures et ces mesures sont la base de la garantie que la protection offerte par cette TOE en matière de sécurité n'est pas compromise du fait du transfert ou d'une interférence avec les caractéristiques de sécurité lors de l'installation et de la configuration sur le site de l'utilisateur. Aspect 2 - Démarrage et exploitation Cette section rassemble les procédures utilisées par l'administrateur pour l'exploitation courante de la TOE de manière sûre. Elle doit comporter non seulement le fonctionnement quotidien (comme le démarrage du système), mais aussi d'autres opérations courantes telles que les sauvegardes et la maintenance indispensables, et des activités exceptionnelles comme le redémarrage et la restauration à la suite d'une panne. Presque toutes les TOE exigent une maintenance, soit pour tenir compte de modifications d'objectifs, soit pour traiter des défauts. Aussi ces procédures doivent-elles permettre d'effectuer les modifications, remplacements ou ajouts autorisés à la TOE.
|
![[Début]](/images/top.gif)
![[Précédente]](/images/prev.gif)
![[Suivante]](/images/next.gif)
![[Fin]](/images/bottom.gif)
