SCSSI : SCSSI : ITSEC v1.2 Résultats de l'évaluation

PREMIER MINISTRE

Service Central de la Sécurité des Systèmes d'Information

DOCUMENTATION

Index de la documentation

EVALUATION

Critères d'évaluation

Schéma de certification

Guides GARDE

Certificats et PP REGLEMENTATION

Cryptologie

Domaine tempest

Systèmes d'information METHODES

FICHES DE SYNTHESE

AILLEURS SUR LE SITE

Retour à la page d'accueil

Présentation du SCSSI

Informations pratiques

Rubriques

Courrier des lecteurs

SCSSI : ITSEC v1.2 Résultats de l'évaluation

RESULTATS DE L'EVALUATION

Introduction

L'évaluation d'une TOE suivant les critères de conformité et d'efficacité exposés dans le présent document fournit une mesure de l'assurance que la TOE va satisfaire à ses objectifs de sécurité. Ceci est indiqué par le niveau d'évaluation atteint et une cotation de la résistance minimum des mécanismes de sécurité de la TOE.

Cotation

La cotation décernée à une TOE résultant de l'évaluation doit comporter les éléments suivants :

une référence à la cible de sécurité pour cette TOE, utilisée comme base pour l'évaluation ;
le niveau d'évaluation obtenu par l'estimation de sa correction et la prise en considération de son efficacité ;
la cotation confirmée de la résistance minimum des mécanismes de sécurité de la TOE.

La cible de sécurité doit être spécifiée d'une manière qui convienne à une évaluation par un organisme indépendant, et qui soit en accord avec les critères utilisés pour le niveau d'évaluation présenté et pour le type de TOE.

Le niveau d'évaluation décerné ne doit être que l'un des niveaux E0, E1, E2, E3, E4, E5 ou E6.

La cotation confirmée de la résistance minimum des mécanismes ne sera décernée que si la TOE a été évaluée avec succès, c'est à dire n'a pas obtenu le niveau E0. La cotation décernée ne doit être qu'élémentaire, moyenne ou élevée.

Une TOE qui satisfait à tous les critères de correction pour le niveau d'évaluation qu'elle vise et qui répond à tous les aspects considérés à ce niveau en matière d'efficacité, y compris la résistance minimum des mécanismes annoncée, obtiendra la cotation de ce niveau d'évaluation et de cette résistance minimum des mécanismes.

Une TOE qui se révèle contenir une vulnérabilité exploitable qui n'a pas pu être éliminée pendant le déroulement de l'évaluation doit être retirée de l'évaluation ou se voir décerner le niveau E0.

Une TOE qui ne parvient pas à produire des éléments de preuve satisfaisants pour satisfaire aux critères du niveau d'évaluation qu'elle vise mais dans laquelle on n'a pas pu trouver de vulnérabilité exploitable pourra se voir décerner un niveau d'évaluation inférieur, dans lequel les éléments de preuve en question ne sont pas exigés pour satisfaire aux critères de ce niveau. S'il n'y a pas suffisamment de temps et de ressources pour examiner la TOE par rapport à ce niveau plus bas, ou s'il existe des questions sans réponse, la TOE doit soit être retirée de l'évaluation, soit se voir décerner le niveau E0.

Une TOE échouera à l'évaluation sur la base de l'efficacité seulement si une vulnérabilité exploitable est découverte et non éliminée. Dans ce cas elle doit être retirée de l'évaluation ou se voir décerner le niveau E0.

Une TOE cotée E0 ne sera pas cotée pour la résistance minimum des mécanismes puisqu'il a été démontré qu'il y a une assurance insuffisante dans la TOE.

Le rapport élaboré par l'évaluateur, contenant et argumentant les résultats de l'évaluation, doit être présenté sous une forme acceptable pour être pris en considération par l'organisme national approprié de certification.