SCSSI : ITSEC v1.2 Assurance conformité niveau E4 Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |

• la cible de sécurité pour la TOE,
• la définition ou la référence à un modèle sous-jacent de sécurité, spécifié de façon formelle,-
• l'interprétation informelle du modèle sous-jacent sous l'angle de la cible de sécurité,-
• la description semi-formelle de l'architecture de la TOE,
• la description semi-formelle de la conception détaillée,
• la documentation de test,
• la bibliothèque des programmes de test et les outils utilisés pour tester la TOE,
• le code source ou les schémas descriptifs des matériels de tous les composants dédiés à la sécurité ou touchant à la sécurité,
• la description informelle de la correspondance entre le code source ou les schémas descriptifs des matériels et la conception détaillée.

La cible de sécurité doit décrire les fonctions dédiées à la sécurité qui doivent être fournies par la TOE. Dans le cas d'un système, la cible de sécurité doit comprendre en outre une politique de sécurité système ou SSP (System Security Policy) qui identifie les objectifs de sécurité ainsi que les menaces qui pèsent sur le système. Dans le cas d'un produit, la cible de sécurité doit inclure un argumentaire qui identifie le mode d'utilisation du produit, l'environnement envisagé et les menaces supposées à l'intérieur de cet environnement. Il doit être fourni ou fait référence à un modèle formel de politique de sécurité pour définir la politique de sécurité sous-jacente qui doit être mise en vigueur par la TOE. Une interprétation informelle de ce modèle sous l'angle de la cible de sécurité doit être fournie. Les fonctions dédiées à la sécurité dans le cadre de la cible de sécurité doivent être spécifiées en utilisant à la fois un style informel et un style semi-formel tels qu'ils sont décrits au chapitre 2.

Exigences concernant les éléments de preuve

Dans le cas d'un système, la cible de sécurité doit décrire comment la fonctionnalité proposée satisfait aux objectifs de sécurité et est adéquate pour contrer les menaces identifiées. Dans le cas d'un produit, la cible de sécurité doit décrire comment la fonctionnalité est appropriée pour ce type d'emploi et adéquate pour contrer les menaces supposées. L'interprétation informelle du modèle formel de politique de sécurité doit décrire la manière dont la cible de sécurité satisfait à la politique de sécurité sous-jacente.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier qu'il n'y a pas d'incohérence dans la cible de sécurité. Vérifier qu'il n'y a pas de caractéristique de sécurité dans la cible de sécurité qui rentre en conflit avec la politique de sécurité sous-jacente.

Phase 2 - Conception générale

Une notation semi-formelle doit être utilisée pour la conception générale afin de produire une description semi-formelle. La description de l'architecture doit décrire la structure générale de la TOE. Elle doit décrire les interfaces externes de la TOE. Elle doit décrire les matériels et les microprogrammes nécessaires à la TOE avec une présentation de la fonctionnalité des mécanismes de protection réalisés dans ces matériels et ces microprogrammes. Elle doit décrire la séparation de la TOE entre les fonctions dédiées à la sécurité et les autres composants.

Exigences concernant les éléments de preuve

La description de l'architecture doit décrire la manière dont seront fournies les fonctions dédiées à la sécurité de la cible de sécurité. Elle doit décrire comment la séparation entre les fonctions dédiées à la sécurité et les autres composants est réalisée. Elle doit décrire comment la structure choisie conduit à des composants dédiés à la sécurité qui sont dans une large mesure indépendants.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier que la séparation entre les fonctions dédiées à la sécurité et les autres composants est valide.

Phase 3 - Conception détaillée

Une notation semi-formelle doit être utilisée pour développer une conception détaillée semi-formelle. La conception détaillée doit spécifier tous les composants élémentaires. Elle doit décrire, à chaque niveau hiérarchique de la conception, la réalisation de toutes les fonctions dédiées à la sécurité ou touchant à la sécurité. Elle doit décrire la séparation de la TOE en composants dédiés à la sécurité, en composants touchant à la sécurité et en autres composants. Elle doit être structurée en composants élémentaires, bien définis et dans une large mesure indépendants de façon à faciliter les tests et à minimiser les possibilités de violation de la sécurité. Elle doit identifier tous les mécanismes de sécurité. Elle doit établir le lien entre les fonctions dédiées à la sécurité et les mécanismes ou les composants. Toutes les interfaces des composants dédiés à la sécurité ou touchant à la sécurité doivent être documentées en présentant leur but et leurs paramètres. Des spécifications ou des définitions des mécanismes doivent être fournies. Ces spécifications doivent convenir à l'analyse des relations entre les mécanismes employés. La fourniture de ces spécifications n'est pas nécessaire pour les composants qui ne sont ni dédiés à la sécurité, ni touchant à la sécurité. Lorsque plus d'un niveau de spécification est fourni, il doit exister une relation claire et hiérarchique entre les différents niveaux.

Exigences concernant les éléments de preuve

La conception détaillée doit décrire la manière dont les mécanismes de sécurité procurent les fonctions dédiées à la sécurité spécifiées dans la cible de sécurité. Elle doit décrire les raisons pour lesquelles les composants dont la conception n'est pas décrite ne peuvent être considérés ni comme dédiés à la sécurité ni comme touchant à la sécurité.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Phase 4 - Réalisation

La description des correspondances doit décrire les relations entre le code source ou les schémas descriptifs des matériels et les composants élémentaires de la conception détaillée. La documentation de test doit contenir le plan, l'objectif, les procédures et les résultats des tests ainsi qu'une justification de la suffisance de la couverture des tests. La bibliothèque de programmes de test doit contenir les programmes de test et les outils permettant de reproduire tous les tests couverts par la documentation de test.

Exigences concernant les éléments de preuve

La documentation de test doit décrire la correspondance entre les tests et les fonctions dédiées à la sécurité définies dans la cible de sécurité. Elle doit décrire la correspondance entre les tests et les fonctions dédiées à la sécurité ou touchant à la sécurité définies dans la cible de sécurité. Elle doit décrire la correspondance entre les tests et les mécanismes de sécurité tels qu'ils sont représentés dans le code source ou les schémas descriptifs des matériels. Il est obligatoire d'apporter la preuve que les tests ont été repassés après la découverte et la correction d'erreurs touchant à la sécurité, de façon à démontrer que les erreurs ont été éliminées et qu'aucune nouvelle erreur n'a été introduite.

Tâches de l'évaluateur

Vérifier que les informations fournies sont conformes aux exigences concernant le contenu, la présentation et les éléments de preuve. Utiliser la bibliothèque de programmes de test pour vérifier par échantillonnage les résultats des tests. Vérifier que les tests couvrent toutes les fonctions dédiées à la sécurité identifiées dans la cible de sécurité. Vérifier que les tests couvrent toutes les fonctions dédiées à la sécurité ou touchant à la sécurité identifiées dans la conception détaillée et tous les mécanismes de sécurité identifiables dans le code source ou les schémas descriptifs des matériels. Vérifier que tous les tests ont été repassés après la correction des erreurs. Réaliser des tests complémentaires pour rechercher des erreurs.

Construction - L'environnement de développement

• la liste de configuration identifiant la version de la TOE à évaluer,
• des informations sur le système de gestion de configuration et les outils associés,
• des informations d'audit sur les modifications de toutes les parties de la TOE soumises à la gestion de configuration,-
• des informations sur la procédure de réception,
• des informations sur la sécurité de l'environnement de développement,
• la description de tous les langages et compilateurs utilisés pour la réalisation.

Le processus de développement doit s'appuyer sur un système de gestion de configuration basé sur des outils et une procédure de réception. La liste de configuration fournie doit énumérer tous les composants élémentaires à partir desquels la TOE est construite. La TOE, ses composants élémentaires ainsi que tous les documents fournis, y compris les manuels et le code source ou les schémas descriptifs des matériels, doivent posséder un identifiant unique. L'emploi de cet identifiant unique est obligatoire dans les références. Le système de gestion de configuration doit garantir que la TOE soumise à l'évaluation est conforme à la documentation fournie et que seuls les changements autorisés effectués par des personnes autorisées sont possibles. Les outils de gestion de configuration doivent permettre de contrôler et d'auditer les changements apportés entre les différentes versions des objets soumis à la gestion de configuration.

Exigences concernant les éléments de preuve

Les informations sur le système de gestion de configuration doivent décrire comment il est utilisé en pratique et appliqué dans le processus de développement conformément aux procédures de gestion de la qualité du développeur.

Tâches de l'évaluateur

Vérifier que les procédures documentées sont appliquées. Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Utiliser les outils des développeurs pour régénérer des parties sélectionnées de la TOE et comparer le résultat avec la version de la TOE soumise à l'évaluation.

Aspect 2 - Langages de programmation et compilateurs

Tous les langages de programmation utilisés pour la réalisation doivent être parfaitement définis, comme par exemple dans une norme ISO. Toutes les options des langages de programmation, dépendant de la réalisation, doivent être documentées. Les options de réalisation choisies de tous les compilateurs utilisés doivent être documentées.

Exigences concernant les éléments de preuve

La définition des langages de programmation doit définir sans ambiguïté le sens de toutes les déclarations utilisées dans le code source.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Aspect 3 - Sécurité des développeurs

Le document portant sur la sécurité de l'environnement de développement doit décrire les protections prévues pour assurer l'intégrité de la TOE et la confidentialité des documents associés. Des mesures de sécurité physiques, organisationnelles, liées au personnel ou autres, utilisées par le développeur, doivent être décrites.

Exigences concernant les éléments de preuve

Les informations concernant la sécurité de l'environnement de développement doivent décrire la manière dont l'intégrité de la TOE et la confidentialité de la documentation associée sont maintenues.

Tâches de l'évaluateur

Vérifier que les procédures documentées sont appliquées. Vérifier que les informations fournies sont conformes aux exigences concernant le contenu, la présentation et les éléments de preuve. Rechercher des erreurs dans les procédures.

Exploitation - La documentation d'exploitation

• la documentation utilisateur,
• la documentation d'administration.

La documentation utilisateur doit décrire les fonctions dédiées à la sécurité qui concernent l'utilisateur final. Elle doit aussi donner des lignes directrices suffisantes pour leur exploitation sûre. Ces documents, par exemple les manuels de référence et les guides de l'utilisateur, doivent être structurés, avoir une cohérence interne et être compatibles avec tous les autres documents fournis à ce niveau.

Exigences concernant les éléments de preuve

La documentation utilisateur doit décrire comment un utilisateur final utilise la TOE de façon sûre.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Aspect 2 - Documentation d'administration

La documentation d'administration doit décrire les fonctions dédiées à la sécurité relevant d'un administrateur. Elle doit distinguer deux types de fonctions : celles qui permettent à un administrateur de contrôler les paramètres de sécurité et celles qui lui permettent seulement d'obtenir des informations. Si un administrateur est nécessaire, elle doit décrire tous les paramètres de sécurité qui sont sous sa responsabilité. Elle doit décrire tous les événements relatifs à la sécurité relevant des fonctions d'administration. Elle doit décrire, d'une façon suffisamment détaillée pour leur utilisation, les procédures relevant de l'administration de la sécurité. Elle doit donner des lignes directrices sur l'utilisation cohérente et efficace des caractéristiques de sécurité de la TOE et sur la façon dont ces caractéristiques interagissent. Elle doit décrire les instructions sur la façon dont le système ou le produit devra être installé et, le cas échéant, sur la façon dont il devra être configuré. La documentation d'administration, par exemple les manuels de référence et les guides de l'administrateur, doit être structurée, avoir une cohérence interne et être compatible avec tous les autres documents fournis à ce niveau.

Exigences concernant les éléments de preuve

La documentation d'administration doit décrire comment la TOE est administrée de façon sûre.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Exploitation - L'environnement d'exploitation

• la documentation de livraison et de configuration,
• la documentation de démarrage et d'exploitation.

Si différentes configurations sont possibles, l'impact de ces configurations sur la sécurité doit être décrit. Les procédures de livraison et de génération du système doivent être décrites. Une procédure approuvée par l'organisme national de certification pour ce niveau d'évaluation doit être suivie, afin de garantir l'authenticité de la TOE livrée. Pendant la génération de la TOE, toute option ou tout changement de génération doit être audité de telle façon qu'il soit possible a posteriori de reconstituer exactement comment et quand la TOE a été générée.

Exigences concernant les éléments de preuve

Les informations fournies doivent décrire comment les procédures maintiennent la sécurité.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier que les procédures de livraison sont correctement appliquées. Rechercher des erreurs dans les procédures de génération système.

Aspect 2 - Démarrage et exploitation

Les procédures pour assurer un démarrage et une exploitation sûrs doivent être décrites. Si une fonction dédiée à la sécurité peut être désactivée ou modifiée pendant le démarrage, l'exploitation normale ou la maintenance, cela doit être décrit. Il doit exister des procédures permettant de restaurer la TOE dans un état sûr après une panne ou une erreur matérielle ou logicielle. Si la TOE comprend des éléments matériels qui incluent des composants matériels dédiés à la sécurité, il doit exister des fonctions de diagnostic mises en oeuvre par l'administrateur, par l'utilisateur final, ou de façon automatique pouvant être exécutées sur la TOE dans son environnement d'exploitation.

Exigences concernant les éléments de preuve

Les informations fournies doivent décrire comment les procédures maintiennent la sécurité. Le commanditaire doit fournir des exemples de résultats de toutes les procédures de diagnostic des composants matériels dédiés à la sécurité. Le commanditaire doit fournir des exemples de toute trace d'audit générée au cours du démarrage ou de l'exploitation.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier les exemples d'éléments de preuve exigés pour le démarrage et l'exploitation. Rechercher des erreurs dans les procédures.

Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |