|
|
|
|
ASSURANCE CONFORMITE - NIVEAU E1Construction - Le processus de développementLe commanditaire doit fournir la TOE ainsi que la documentation suivante :
Phase 1 - Spécification des besoinsExigences concernant le contenu et la présentationLa cible de sécurité doit présenter les fonctions dédiées à la sécurité qui doivent être fournies par la TOE. Dans le cas d'un système, la cible de sécurité doit comprendre en outre une politique de sécurité système ou SSP (System Security Policy) qui identifie les objectifs de sécurité ainsi que les menaces qui pèsent sur le système. Dans le cas d'un produit, la cible de sécurité doit inclure un argumentaire qui identifie le mode d'utilisation du produit, l'environnement envisagé et les menaces supposées à l'intérieur de cet environnement. Les fonctions dédiées à la sécurité dans le cadre de la cible de sécurité doivent être spécifiées en utilisant un style informel tel que décrit au chapitre 2.- Exigences concernant les éléments de preuve Dans le cas d'un système, la cible de sécurité doit présenter comment la fonctionnalité proposée satisfait aux objectifs de sécurité et est adéquate pour contrer les menaces identifiées. Dans le cas d'un produit, la cible de sécurité doit présenter comment la fonctionnalité est appropriée pour ce type d'emploi et adéquate pour contrer les menaces supposées.- Tâches de l'évaluateur Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier qu'il n'y a pas d'incohérence dans la cible de sécurité.-
La description de l'architecture doit présenter la structure générale de la TOE. Elle doit présenter les interfaces externes de la TOE. Elle doit présenter tous les matériels et les microprogrammes nécessaires à la TOE avec une présentation de la fonctionnalité des mécanismes de protection réalisés dans ces matériels et ces microprogrammes.- Exigences concernant les éléments de preuve La description de l'architecture doit présenter la manière dont seront fournies les fonctions dédiées à la sécurité de la cible de sécurité.- Tâches de l'évaluateur Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.-
Aucune.- Exigences concernant les éléments de preuve Aucune.- Tâches de l'évaluateur Aucune.-
La documentation de test peut être fournie, auquel cas elle doit contenir le plan, l'objectif, les procédures et les résultats des tests. Une bibliothèque de programmes de tests peut être fournie, auquel cas elle doit contenir les programmes de test, ainsi que les outils permettant de reproduire les tests couverts par la documentation de test.- Exigences concernant les éléments de preuve Il peut être fourni une documentation de test présentant la correspondance entre les tests et les fonctions dédiées à la sécurité définies dans la cible de sécurité.- Tâches de l'évaluateur Vérifier que la TOE satisfait à la cible de sécurité en réalisant tous les tests couvrant toutes les fonctions dédiées à la sécurité identifiées dans la cible de sécurité. Réaliser des tests complémentaires pour rechercher des erreurs. L'évaluateur n'a pas besoin de refaire les tests déjà réalisés par ou pour le commanditaire si les éléments de preuve appropriés de ces tests sont fournis, mais il doit vérifier par échantillonnage, les résultats de ces tests.-
Aspect 1 - Gestion de configurationExigences concernant le contenu et la présentationLa liste de configuration doit présenter l'endroit où la TOE est identifiée de façon unique (numéro de version).- Exigences concernant les éléments de preuve La liste de configuration doit présenter comment la TOE est identifiée de façon unique.- Tâches de l'évaluateur Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.-
Aucune.- Exigences concernant les éléments de preuve Aucune.- Tâches de l'évaluateur Aucune.-
Aucune.- Exigences concernant les éléments de preuve Aucune.- Tâches de l'évaluateur Aucune.-
Aspect 1 - Documentation utilisateurExigences concernant le contenu et la présentationLa documentation utilisateur doit présenter les fonctions dédiées à la sécurité qui concernent l'utilisateur final. Elle doit aussi donner des lignes directrices suffisantes pour leur exploitation sûre. Ces documents, par exemple les manuels de référence et les guides de l'utilisateur, doivent être structurés, avoir une cohérence interne et être compatibles avec tous les autres documents fournis à ce niveau.- Exigences concernant les éléments de preuve La documentation utilisateur doit présenter comment un utilisateur final utilise la TOE de façon sûre.- Tâches de l'évaluateur Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.-
La documentation d'administration doit présenter les fonctions dédiées à la sécurité relevant d'un administrateur. Elle doit distinguer deux types de fonctions : celles qui permettent à un administrateur de contrôler les paramètres de sécurité et celles qui lui permettent seulement d'obtenir des informations. Si un administrateur est nécessaire, elle doit présenter tous les paramètres de sécurité qui sont sous sa responsabilité. Elle doit présenter tous les événements relatifs à la sécurité relevant des fonctions d'administration. Elle doit présenter, d'une façon suffisamment détaillée pour leur utilisation, les procédures relevant de l'administration de la sécurité. Elle doit donner des lignes directrices sur l'utilisation cohérente et efficace des caractéristiques de sécurité de la TOE et sur la façon dont ces caractéristiques interagissent. Elle doit présenter les instructions sur la façon dont le système ou le produit devra être installé et, le cas échéant, sur la façon dont il devra être configuré. La documentation d'administration, par exemple les manuels de référence et les guides de l'administrateur, doit être structurée, avoir une cohérence interne et être compatible avec tous les autres documents fournis à ce niveau.- Exigences concernant les éléments de preuve La documentation d'administration doit présenter comment la TOE est administrée de façon sûre.- Tâches de l'évaluateur Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.-
Aspect 1 - Livraison et configurationExigences concernant les procédures et les normesSi différentes configurations sont possibles, l'impact de ces configurations sur la sécurité doit être présenté. Les procédures de livraison et de génération du système doivent être présentées.- Exigences concernant les éléments de preuve Les informations fournies doivent présenter comment les procédures maintiennent la sécurité.- Tâches de l'évaluateur Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.-
Les procédures pour assurer un démarrage et une exploitation sûrs doivent être présentées.- Exigences concernant les éléments de preuve Les informations fournies doivent présenter comment les procédures maintiennent la sécurité.- Tâches de l'évaluateur Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.-
|
![[Début]](/images/top.gif)
![[Précédente]](/images/prev.gif)
![[Suivante]](/images/next.gif)
![[Fin]](/images/bottom.gif)