SCSSI : ITSEC v1.2 Assurance conformité niveau E2 Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |

• la cible de sécurité pour la TOE,
• la description informelle de l'architecture de la TOE,
• la description informelle de la conception détaillée,-
• la documentation de test,-
• la bibliothèque des programmes de test et les outils utilisés pour tester la TOE.-

La cible de sécurité doit présenter les fonctions dédiées à la sécurité qui doivent être fournies par la TOE. Dans le cas d'un système, la cible de sécurité doit comprendre en outre une politique de sécurité système ou SSP (System Security Policy) qui identifie les objectifs de sécurité ainsi que les menaces qui pèsent sur le système. Dans le cas d'un produit, la cible de sécurité doit inclure un argumentaire qui identifie le mode d'utilisation du produit, l'environnement envisagé et les menaces supposées à l'intérieur de cet environnement. Les fonctions dédiées à la sécurité dans le cadre de la cible de sécurité doivent être spécifiées en utilisant un style informel tel que décrit au chapitre 2.

Exigences concernant les éléments de preuve

Dans le cas d'un système, la cible de sécurité doit présenter comment la fonctionnalité proposée satisfait aux objectifs de sécurité et est adéquate pour contrer les menaces identifiées. Dans le cas d'un produit, la cible de sécurité doit présenter comment la fonctionnalité est appropriée pour ce type d'emploi et adéquate pour contrer les menaces supposées.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier qu'il n'y a pas d'incohérence dans la cible de sécurité.

Phase 2 - Conception générale

La description de l'architecture doit présenter la structure générale de la TOE. Elle doit présenter les interfaces externes de la TOE. Elle doit présenter tous les matériels et les microprogrammes nécessaires à la TOE avec une présentation de la fonctionnalité des mécanismes de protection réalisés dans ces matériels et ces microprogrammes. Elle doit présenter la séparation de la TOE entre les fonctions dédiées à la sécurité et les autres composants.

Exigences concernant les éléments de preuve

La description de l'architecture doit présenter la manière dont seront fournies les fonctions dédiées à la sécurité de la cible de sécurité. Elle doit présenter comment la séparation entre les fonctions dédiées à la sécurité et les autres composants est réalisée.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier que la séparation entre les fonctions dédiées à la sécurité et les autres composants est valide.

Phase 3 - Conception détaillée

La conception détaillée doit présenter la réalisation de toutes les fonctions dédiées à la sécurité ou touchant à la sécurité. Elle doit identifier tous les mécanismes de sécurité. Elle doit établir le lien entre les fonctions dédiées à la sécurité et les mécanismes ou les composants. Toutes les interfaces des composants dédiés à la sécurité ou touchant à la sécurité doivent être documentées en présentant leur but et leurs paramètres. Des spécifications ou des définitions des mécanismes doivent être fournies. Ces spécifications doivent convenir à l'analyse des relations entre les mécanismes employés. La fourniture de ces spécifications n'est pas nécessaire pour les composants qui ne sont ni dédiés à la sécurité, ni touchant à la sécurité. Lorsque plus d'un niveau de spécification est fourni, il doit exister une relation claire et hiérarchique entre les différents niveaux.-

Exigences concernant les éléments de preuve

La conception détaillée doit présenter la manière dont les mécanismes de sécurité fournissent les fonctions dédiées à la sécurité spécifiées dans la cible de sécurité. Elle doit présenter les raisons pour lesquelles les composants dont la conception n'est pas décrite ne peuvent être considérés ni comme dédiés à la sécurité ni comme touchant à la sécurité.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.-

Phase 4 - Réalisation

La documentation de test doit contenir le plan, l'objectif, les procédures et les résultats des tests. La bibliothèque de programmes de test doit contenir les programmes de test et les outils permettant de reproduire tous les tests couverts par la documentation de test.-

Exigences concernant les éléments de preuve

La documentation de test doit présenter la correspondance entre les tests et les fonctions dédiées à la sécurité définies dans la cible de sécurité.-

Tâches de l'évaluateur

Vérifier que les informations fournies sont conformes aux exigences concernant le contenu, la présentation et les éléments de preuve. Utiliser la bibliothèque de programmes de test pour vérifier par échantillonnage les résultats des tests. Vérifier que les tests couvrent toutes les fonctions dédiées à la sécurité identifiées dans la cible de sécurité. Réaliser des tests complémentaires pour rechercher des erreurs.

Construction - L'environnement de développement

• la liste de configuration identifiant la version de la TOE à évaluer,
• des informations sur le système de gestion de configuration,-
• des informations sur la sécurité de l'environnement de développement.-

Le processus de développement doit s'appuyer sur un système de gestion de configuration. La liste de configuration fournie doit énumérer tous les composants élémentaires à partir desquels la TOE est construite. La TOE, ses composants élémentaires ainsi que tous les documents fournis, y compris les manuels, doivent posséder un identifiant unique. L'emploi de cet identifiant unique est obligatoire dans les références. Le système de gestion de configuration doit garantir que la TOE soumise à l'évaluation est conforme à la documentation fournie et que seuls les changements autorisés sont possibles.-

Exigences concernant les éléments de preuve

Les informations sur le système de gestion de configuration doivent présenter comment il est utilisé en pratique et appliqué dans le processus de développement conformément aux procédures de gestion de la qualité du développeur.-

Tâches de l'évaluateur

Vérifier que les procédures documentées sont appliquées. Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Aspect 2 - Langages de programmation et compilateurs

Aucune.

Exigences concernant les éléments de preuve

Aucune.

Tâches de l'évaluateur

Aucune.

Aspect 3 - Sécurité des développeurs

Le document portant sur la sécurité de l'environnement de développement doit présenter les protections prévues pour assurer l'intégrité de la TOE et la confidentialité des documents associés. Des mesures de sécurité physiques, organisationnelles, liées au personnel ou autres, utilisées par le développeur, doivent être présentées.-

Exigences concernant les éléments de preuve

Les informations concernant la sécurité de l'environnement de développement doivent présenter la manière dont l'intégrité de la TOE et la confidentialité de la documentation associée sont maintenues.-

Tâches de l'évaluateur

Vérifier que les procédures documentées sont appliquées. Vérifier que les informations fournies sont conformes aux exigences concernant le contenu, la présentation et les éléments de preuve. Rechercher des erreurs dans les procédures.-

Exploitation - La documentation d'exploitation

• la documentation utilisateur,
• la documentation d'administration.

La documentation utilisateur doit présenter les fonctions dédiées à la sécurité qui concernent l'utilisateur final. Elle doit aussi donner des lignes directrices suffisantes pour leur exploitation sûre. Ces documents, par exemple les manuels de référence et les guides de l'utilisateur, doivent être structurés, avoir une cohérence interne et être compatibles avec tous les autres documents fournis à ce niveau.

Exigences concernant les éléments de preuve

La documentation utilisateur doit présenter comment un utilisateur final utilise la TOE de façon sûre.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Aspect 2 - Documentation d'administration

La documentation d'administration doit présenter les fonctions dédiées à la sécurité relevant d'un administrateur. Elle doit distinguer deux types de fonctions : celles qui permettent à un administrateur de contrôler les paramètres de sécurité et celles qui lui permettent seulement d'obtenir des informations. Si un administrateur est nécessaire, elle doit présenter tous les paramètres de sécurité qui sont sous sa responsabilité. Elle doit présenter tous les événements relatifs à la sécurité relevant des fonctions d'administration. Elle doit présenter, d'une façon suffisamment détaillée pour leur utilisation, les procédures relevant de l'administration de la sécurité. Elle doit donner des lignes directrices sur l'utilisation cohérente et efficace des caractéristiques de sécurité de la TOE et sur la façon dont ces caractéristiques interagissent. Elle doit présenter les instructions sur la façon dont le système ou le produit devra être installé et, le cas échéant, sur la façon dont il devra être configuré. La documentation d'administration, par exemple les manuels de référence et les guides de l'administrateur, doit être structurée, avoir une cohérence interne et être compatible avec tous les autres documents fournis à ce niveau.

Exigences concernant les éléments de preuve

La documentation d'administration doit présenter comment la TOE est administrée de façon sûre.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Exploitation - L'environnement d'exploitation

• la documentation de livraison et de configuration,
• la documentation de démarrage et d'exploitation.

Si différentes configurations sont possibles, l'impact de ces configurations sur la sécurité doit être présenté. Les procédures de livraison et de génération du système doivent être présentées. Une procédure approuvée par l'organisme national de certification pour ce niveau d'évaluation doit être suivie, afin de garantir l'authenticité de la TOE livrée. Pendant la génération de la TOE, toute option ou tout changement de génération doit être audité de telle façon qu'il soit possible a posteriori de reconstituer exactement comment et quand la TOE a été générée.

Exigences concernant les éléments de preuve

Les informations fournies doivent présenter comment les procédures maintiennent la sécurité.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier que les procédures de livraison sont correctement appliquées. Rechercher des erreurs dans les procédures de génération système.

Aspect 2 - Démarrage et exploitation

Les procédures pour assurer un démarrage et une exploitation sûrs doivent être présentées. Si une fonction dédiée à la sécurité peut être désactivée ou modifiée pendant le démarrage, l'exploitation normale ou la maintenance, cela doit être déclaré. Si la TOE comprend des éléments matériels qui incluent des composants matériels dédiés à la sécurité, il doit exister des fonctions de diagnostic mises en oeuvre par l'administrateur, par l'utilisateur final, ou de façon automatique, pouvant être exécutées sur la TOE dans son environnement d'exploitation.

Exigences concernant les éléments de preuve

Les informations fournies doivent présenter comment les procédures maintiennent la sécurité. Le commanditaire doit fournir des exemples de résultats de toutes les procédures de diagnostic des composants matériels dédiés à la sécurité. Le commanditaire doit fournir des exemples de toute trace d'audit générée au cours du démarrage ou de l'exploitation.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier les exemples d'éléments de preuve exigés pour le démarrage et l'exploitation. Rechercher des erreurs dans les procédures.

Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |