SCSSI : ITSEC v1.2 Assurance conformité niveau E3 Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |

• la cible de sécurité pour la TOE,
• la description informelle de l'architecture de la TOE,
• la description informelle de la conception détaillée,
• la documentation de test,
• la bibliothèque des programmes de test et les outils utilisés pour tester la TOE,
• le code source ou les schémas descriptifs des matériels de tous les composants dédiés à la sécurité ou touchant à la sécurité,-
• la description informelle de la correspondance entre le code source ou les schémas descriptifs des matériels et la conception détaillée.-

La cible de sécurité doit décrire les fonctions dédiées à la sécurité qui doivent être fournies par la TOE. Dans le cas d'un système, la cible de sécurité doit comprendre en outre une politique de sécurité système ou SSP (System Security Policy) qui identifie les objectifs de sécurité ainsi que les menaces qui pèsent sur le système. Dans le cas d'un produit, la cible de sécurité doit inclure un argumentaire qui identifie le mode d'utilisation du produit, l'environnement envisagé et les menaces supposées à l'intérieur de cet environnement. Les fonctions dédiées à la sécurité dans le cadre de la cible de sécurité doivent être spécifiées en utilisant un style informel tel que décrit au chapitre 2.

Exigences concernant les éléments de preuve

Dans le cas d'un système, la cible de sécurité doit décrire comment la fonctionnalité proposée satisfait aux objectifs de sécurité et est adéquate pour contrer les menaces identifiées. Dans le cas d'un produit, la cible de sécurité doit décrire comment la fonctionnalité est appropriée pour ce type d'emploi et adéquate pour contrer les menaces supposées.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier qu'il n'y a pas d'incohérence dans la cible de sécurité.

Phase 2 - Conception générale

La description de l'architecture doit décrire la structure générale de la TOE. Elle doit décrire les interfaces externes de la TOE. Elle doit décrire les matériels et les microprogrammes nécessaires à la TOE avec une présentation de la fonctionnalité des mécanismes de protection réalisés dans ces matériels et ces microprogrammes. Elle doit décrire la séparation de la TOE entre les fonctions dédiées à la sécurité et les autres composants.

Exigences concernant les éléments de preuve

La description de l'architecture doit décrire la manière dont seront fournies les fonctions dédiées à la sécurité de la cible de sécurité. Elle doit décrire comment la séparation entre les fonctions dédiées à la sécurité et les autres composants est réalisée.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier que la séparation entre les fonctions dédiées à la sécurité et les autres composants est valide.

Phase 3 - Conception détaillée

La conception détaillée doit spécifier tous les composants élémentaires. La conception détaillée doit décrire la réalisation de toutes les fonctions dédiées à la sécurité ou touchant à la sécurité. Elle doit identifier tous les mécanismes de sécurité. Elle doit établir le lien entre les fonctions dédiées à la sécurité et les mécanismes ou les composants. Toutes les interfaces des composants dédiés à la sécurité ou touchant à la sécurité doivent être documentées en présentant leur but et leurs paramètres. Des spécifications ou des définitions des mécanismes doivent être fournies. Ces spécifications doivent convenir à l'analyse des relations entre les mécanismes employés. La fourniture de ces spécifications n'est pas nécessaire pour les composants qui ne sont ni dédiés à la sécurité, ni touchant à la sécurité. Lorsque plus d'un niveau de spécification est fourni, il doit exister une relation claire et hiérarchique entre les différents niveaux.

Exigences concernant les éléments de preuve

La conception détaillée doit décrire la manière dont les mécanismes de sécurité procurent les fonctions dédiées à la sécurité spécifiées dans la cible de sécurité. Elle doit décrire les raisons pour lesquelles les composants dont la conception n'est pas décrite ne peuvent être considérés ni comme dédiés à la sécurité ni comme touchant à la sécurité.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Phase 4 - Réalisation

La description des correspondances doit décrire les relations entre le code source ou les schémas descriptifs des matériels et les composants élémentaires de la conception détaillée. La documentation de test doit contenir le plan, l'objectif, les procédures et les résultats des tests. La bibliothèque de programmes de test doit contenir les programmes de test et les outils permettant de reproduire tous les tests couverts par la documentation de test.

Exigences concernant les éléments de preuve

La documentation de test doit décrire la correspondance entre les tests et les fonctions dédiées à la sécurité définies dans la cible de sécurité. Elle doit décrire la correspondance entre les tests et les fonctions dédiées à la sécurité ou touchant à la sécurité définies dans la cible de sécurité. Elle doit décrire la correspondance entre les tests et les mécanismes de sécurité tels qu'ils sont représentés dans le code source ou les schémas descriptifs des matériels. Il est obligatoire d'apporter la preuve que les tests ont été repassés après la découverte et la correction d'erreurs touchant à la sécurité, de façon à démontrer que les erreurs ont été éliminées et qu'aucune nouvelle erreur n'a été introduite.

Tâches de l'évaluateur

Vérifier que les informations fournies sont conformes aux exigences concernant le contenu, la présentation et les éléments de preuve. Utiliser la bibliothèque de programmes de test pour vérifier par échantillonnage les résultats des tests. Vérifier que les tests couvrent toutes les fonctions dédiées à la sécurité identifiées dans la cible de sécurité. Vérifier que les tests couvrent toutes les fonctions dédiées à la sécurité ou touchant à la sécurité identifiées dans la conception détaillée et tous les mécanismes de sécurité identifiables dans le code source ou les schémas descriptifs des matériels. Vérifier que tous les tests ont été repassés après la correction des erreurs. Réaliser des tests complémentaires pour rechercher des erreurs.

Construction - L'environnement de développement

• la liste de configuration identifiant la version de la TOE à évaluer,
• des informations sur le système de gestion de configuration,
• des informations sur la procédure de réception,-
• des informations sur la sécurité de l'environnement de développement,
• la description de tous les langages utilisés pour la réalisation.-

Le processus de développement doit s'appuyer sur un système de gestion de configuration et une procédure de réception. La liste de configuration fournie doit énumérer tous les composants élémentaires à partir desquels la TOE est construite. La TOE, ses composants élémentaires ainsi que tous les documents fournis, y compris les manuels et le code source ou les schémas descriptifs des matériels, doivent posséder un identifiant unique. L'emploi de cet identifiant unique est obligatoire dans les références. Le système de gestion de configuration doit garantir que la TOE soumise à l'évaluation est conforme à la documentation fournie et que seuls les changements autorisés sont possibles.

Exigences concernant les éléments de preuve

Les informations sur le système de gestion de configuration doivent décrire comment il est utilisé en pratique et appliqué dans le processus de développement conformément aux procédures de gestion de la qualité du développeur.

Tâches de l'évaluateur

Vérifier que les procédures documentées sont appliquées. Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Aspect 2 - Langages de programmation et compilateurs

Tous les langages de programmation utilisés pour la réalisation doivent être parfaitement définis, comme par exemple dans une norme ISO. Toutes les options des langages de programmation, dépendant de la réalisation, doivent être documentées.-

Exigences concernant les éléments de preuve

La définition des langages de programmation doit définir sans ambiguïté le sens de toutes les déclarations utilisées dans le code source.-

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.-

Aspect 3 - Sécurité des développeurs

Le document portant sur la sécurité de l'environnement de développement doit décrire les protections prévues pour assurer l'intégrité de la TOE et la confidentialité des documents associés. Des mesures de sécurité physiques, organisationnelles, liées au personnel ou autres, utilisées par le développeur, doivent être décrites.

Exigences concernant les éléments de preuve

Les informations concernant la sécurité de l'environnement de développement doivent décrire la manière dont l'intégrité de la TOE et la confidentialité de la documentation associée sont maintenues.

Tâches de l'évaluateur

Vérifier que les procédures documentées sont appliquées. Vérifier que les informations fournies sont conformes aux exigences concernant le contenu, la présentation et les éléments de preuve. Rechercher des erreurs dans les procédures.

Exploitation - La documentation d'exploitation

• la documentation utilisateur,
• la documentation d'administration.

La documentation utilisateur doit décrire les fonctions dédiées à la sécurité qui concernent l'utilisateur final. Elle doit aussi donner des lignes directrices suffisantes pour leur exploitation sûre. Ces documents, par exemple les manuels de référence et les guides de l'utilisateur, doivent être structurés, avoir une cohérence interne et être compatibles avec tous les autres documents fournis à ce niveau.

Exigences concernant les éléments de preuve

La documentation utilisateur doit décrire comment un utilisateur final utilise la TOE de façon sûre.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Aspect 2 - Documentation d'administration

La documentation d'administration doit décrire les fonctions dédiées à la sécurité relevant d'un administrateur. Elle doit distinguer deux types de fonctions : celles qui permettent à un administrateur de contrôler les paramètres de sécurité et celles qui lui permettent seulement d'obtenir des informations. Si un administrateur est nécessaire, elle doit décrire tous les paramètres de sécurité qui sont sous sa responsabilité. Elle doit décrire tous les événements relatifs à la sécurité relevant des fonctions d'administration. Elle doit décrire, d'une façon suffisamment détaillée pour leur utilisation, les procédures relevant de l'administration de la sécurité. Elle doit donner des lignes directrices sur l'utilisation cohérente et efficace des caractéristiques de sécurité de la TOE et sur la façon dont ces caractéristiques interagissent. Elle doit décrire les instructions sur la façon dont le système ou le produit devra être installé et, le cas échéant, sur la façon dont il devra être configuré. La documentation d'administration, par exemple les manuels de référence et les guides de l'administrateur, doit être structurée, avoir une cohérence interne et être compatible avec tous les autres documents fournis à ce niveau.

Exigences concernant les éléments de preuve

La documentation d'administration doit décrire comment la TOE est administrée de façon sûre.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Exploitation - L'environnement d'exploitation

• la documentation de livraison et de configuration,
• la documentation de démarrage et d'exploitation.

Si différentes configurations sont possibles, l'impact de ces configurations sur la sécurité doit être décrit. Les procédures de livraison et de génération du système doivent être décrites. Une procédure approuvée par l'organisme national de certification pour ce niveau d'évaluation doit être suivie, afin de garantir l'authenticité de la TOE livrée. Pendant la génération de la TOE, toute option ou tout changement de génération doit être audité de telle façon qu'il soit possible a posteriori de reconstituer exactement comment et quand la TOE a été générée.

Exigences concernant les éléments de preuve

Les informations fournies doivent décrire comment les procédures maintiennent la sécurité.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier que les procédures de livraison sont correctement appliquées. Rechercher des erreurs dans les procédures de génération système.

Aspect 2 - Démarrage et exploitation

Les procédures pour assurer un démarrage et une exploitation sûrs doivent être décrites. Si une fonction dédiée à la sécurité peut être désactivée ou modifiée pendant le démarrage, l'exploitation normale ou la maintenance, cela doit être décrit. Si la TOE comprend des éléments matériels qui incluent des composants matériels dédiés à la sécurité, il doit exister des fonctions de diagnostic mises en oeuvre par l'administrateur, par l'utilisateur final, ou de façon automatique pouvant être exécutées sur la TOE dans son environnement d'exploitation.

Exigences concernant les éléments de preuve

Les informations fournies doivent décrire comment les procédures maintiennent la sécurité. Le commanditaire doit fournir des exemples de résultats de toutes les procédures de diagnostic des composants matériels dédiés à la sécurité. Le commanditaire doit fournir des exemples de toute trace d'audit générée au cours du démarrage ou de l'exploitation.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier les exemples d'éléments de preuve exigés pour le démarrage et l'exploitation. Rechercher des erreurs dans les procédures.

Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |