SCSSI : ITSEC v1.2 Assurance conformité niveau E6 Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |

• la cible de sécurité pour la TOE,
• la définition ou la référence à un modèle sous-jacent de sécurité, spécifié de façon formelle,
• l'interprétation informelle du modèle sous-jacent sous l'angle de la cible de sécurité,
• la description formelle de l'architecture de la TOE,
• la description semi-formelle de la conception détaillée,
• la documentation de test,
• la bibliothèque des programmes de test et les outils utilisés pour tester la TOE, y compris des outils qui peuvent être utilisés pour détecter les incohérences entre le code source et le code exécutable, dans le cas où il existe des composants sous forme de code source, dédiés à la sécurité ou touchant à la sécurité (par exemple un désassembleur et/ou un débogueur),
• le code source ou les schémas descriptifs des matériels de tous les composants dédiés à la sécurité ou touchant à la sécurité,
• la description informelle de la correspondance entre le code source ou les schémas descriptifs des matériels et la conception détaillée, ainsi que la spécification formelle des fonctions dédiées à la sécurité.

La cible de sécurité doit expliquer les fonctions dédiées à la sécurité qui doivent être fournies par la TOE. Dans le cas d'un système, la cible de sécurité doit comprendre en outre une politique de sécurité système ou SSP (System Security Policy) qui identifie les objectifs de sécurité ainsi que les menaces qui pèsent sur le système. Dans le cas d'un produit, la cible de sécurité doit inclure un argumentaire qui identifie le mode d'utilisation du produit, l'environnement envisagé et les menaces supposées à l'intérieur de cet environnement. Il doit être fourni un modèle formel de politique de sécurité pour définir la politique de sécurité sous-jacente qui doit être mise en vigueur par la TOE. Une interprétation informelle de ce modèle sous l'angle de la cible de sécurité doit être fournie. Les fonctions dédiées à la sécurité dans le cadre de la cible de sécurité doivent être spécifiées en utilisant à la fois un style informel et un style formel tels qu'ils sont décrits au chapitre 2.

Exigences concernant les éléments de preuve

Dans le cas d'un système, la cible de sécurité doit expliquer comment la fonctionnalité proposée satisfait aux objectifs de sécurité et est adéquate pour contrer les menaces identifiées. Dans le cas d'un produit, la cible de sécurité doit expliquer comment la fonctionnalité est appropriée pour ce type d'emploi et adéquate pour contrer les menaces supposées. L'interprétation informelle du modèle formel de politique de sécurité doit expliquer la manière dont la cible de sécurité satisfait à la politique de sécurité sous-jacente.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier qu'il n'y a pas d'incohérence dans la cible de sécurité. Vérifier qu'il n'y a pas de caractéristique de sécurité dans la cible de sécurité qui rentre en conflit avec la politique de sécurité sous-jacente.

Phase 2 - Conception générale

La conception générale doit être faite en utilisant une notation formelle afin de produire une description formelle. La description de l'architecture doit expliquer la structure générale de la TOE. Elle doit expliquer les interfaces externes de la TOE. Elle doit expliquer les matériels et les microprogrammes nécessaires à la TOE avec une présentation de la fonctionnalité des mécanismes de protection réalisés dans ces matériels et ces microprogrammes. Elle doit expliquer la séparation de la TOE entre les fonctions dédiées à la sécurité et les autres composants. Elle doit expliquer les relations entre les différents composants dédiés à la sécurité.

Exigences concernant les éléments de preuve

La description de l'architecture doit expliquer la manière dont seront fournies les fonctions dédiées à la sécurité de la cible de sécurité. Elle doit expliquer comment la séparation entre les fonctions dédiées à la sécurité et les autres composants est réalisée. Elle doit expliquer comment la structure choisie conduit à des composants dédiés à la sécurité qui sont dans une large mesure indépendants. Elle doit expliquer pourquoi les relations entre les composants dédiés à la sécurité sont nécessaires. Elle doit expliquer, en utilisant une combinaison de techniques formelles et informelles, la manière dont elle est cohérente avec le modèle formel de la politique de sécurité sous-jacente.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier que la séparation entre les fonctions dédiées à la sécurité et les autres composants est valide. Vérifier la validité des arguments formels.

Phase 3 - Conception détaillée

Une notation semi-formelle doit être utilisée pour développer une conception détaillée semi-formelle. La conception détaillée doit spécifier tous les composants élémentaires. Elle doit expliquer, à chaque niveau hiérarchique de la conception, la réalisation de toutes les fonctions dédiées à la sécurité ou touchant à la sécurité. Elle doit expliquer la séparation de la TOE en composants dédiés à la sécurité, en composants touchant à la sécurité et en autres composants. Elle doit être structurée en composants élémentaires, bien définis et dans une large mesure indépendants de façon à faciliter les tests et à minimiser les possibilités de violation de la sécurité. Elle doit utiliser de façon importante le découpage en couches, l'abstraction et la dissimulation des données. Elle doit identifier tous les mécanismes de sécurité. Elle doit établir le lien entre les fonctions dédiées à la sécurité et les mécanismes et unités fonctionnelles. Les fonctionnalités superflues doivent être exclues des composants dédiés à la sécurité et de ceux touchant à la sécurité. Toutes les interfaces des composants dédiés à la sécurité ou touchant à la sécurité doivent être documentées en présentant leur but, leurs paramètres et leurs effets. Le rôle de toutes les variables utilisées par plus d'une unité fonctionnelle doit être expliqué. Des spécifications ou des définitions des mécanismes doivent être fournies. Ces spécifications doivent convenir à l'analyse des relations entre les mécanismes employés. La fourniture de ces spécifications n'est pas nécessaire pour les composants qui ne sont ni dédiés à la sécurité, ni touchant à la sécurité. Lorsque plus d'un niveau de spécification est fourni, il doit exister une relation claire et hiérarchique entre les différents niveaux.

Exigences concernant les éléments de preuve

La conception détaillée doit expliquer la manière dont les mécanismes de sécurité procurent les fonctions dédiées à la sécurité spécifiées dans la cible de sécurité. Elle doit expliquer pourquoi les fonctionnalités restantes ne peuvent pas être exclues des composants dédiés à la sécurité et de ceux touchant à la sécurité. Elle doit expliquer les raisons pour lesquelles les composants dont la conception n'est pas décrite ne peuvent être considérés ni comme dédiés à la sécurité ni comme touchant à la sécurité.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Phase 4 - Réalisation

Le code source et les schémas descriptifs des matériels doivent être complètement structurés en sections séparées, petites et compréhensibles. La description des correspondances doit expliquer les relations entre le code source ou les schémas descriptifs des matériels et les unités fonctionnelles de la conception détaillée. Elle doit expliquer la correspondance entre les mécanismes de sécurité sous la forme de code source ou de schémas matériels et la spécification formelle des fonctions dédiées à la sécurité dans la cible de sécurité. La documentation de test doit contenir le plan, l'objectif, les procédures et les résultats des tests ainsi qu'une justification de la suffisance de la couverture des tests. La bibliothèque de programmes de test doit contenir les programmes de test et les outils permettant de reproduire tous les tests couverts par la documentation de test.

Exigences concernant les éléments de preuve

La documentation de test doit expliquer la correspondance entre les tests et la spécification formelle des fonctions dédiées à la sécurité définies dans la cible de sécurité. Elle doit expliquer la correspondance entre les tests et les fonctions dédiées à la sécurité ou touchant à la sécurité définies dans la cible de sécurité. Elle doit expliquer la correspondance entre les tests et les mécanismes de sécurité tels qu'ils sont représentés dans le code source ou les schémas descriptifs des matériels. Il est obligatoire d'apporter la preuve que les tests ont été repassés après la découverte et la correction d'erreurs touchant à la sécurité, de façon à démontrer que les erreurs ont été éliminées et qu'aucune nouvelle erreur n'a été introduite.

Tâches de l'évaluateur

Vérifier que les informations fournies sont conformes aux exigences concernant le contenu, la présentation et les éléments de preuve. Utiliser la bibliothèque de programmes de test pour vérifier par échantillonnage les résultats des tests. Vérifier que les tests couvrent toutes les fonctions dédiées à la sécurité identifiées dans la cible de sécurité. Vérifier que les tests couvrent toutes les fonctions dédiées à la sécurité ou touchant à la sécurité identifiées dans la conception détaillée et tous les mécanismes de sécurité identifiables dans le code source ou les schémas descriptifs des matériels. Vérifier que tous les tests ont été repassés après la correction des erreurs. Réaliser des tests complémentaires pour rechercher des erreurs. Faire des investigations sur toute présomption d'incohérence entre le code source et le code exécutable apparue durant le déroulement des tests, en utilisant les outils fournis par le commanditaire.

Construction - L'environnement de développement

• la liste de configuration identifiant la version de la TOE à évaluer,
• des informations sur le système de gestion de configuration et les outils associés,
• des informations d'audit sur les modifications de toutes les parties de la TOE soumises à la gestion de configuration,
• des informations sur la procédure de réception,
• des informations sur la procédure d'intégration,
• des informations sur la sécurité de l'environnement de développement,
• la description de tous les langages et compilateurs utilisés pour la réalisation,
• le code source de toutes les bibliothèques de routines système utilisées.

Le processus de développement doit s'appuyer sur un système de gestion de configuration basé sur des outils et une procédure de réception. Les outils de gestion de configuration doivent garantir que le responsable de la réception d'un objet dans le système de gestion de configuration, n'était ni un de ses concepteurs ni un de ses développeurs. La liste de configuration fournie doit énumérer tous les composants élémentaires à partir desquels la TOE est construite. La TOE, ses composants élémentaires ainsi que tous les documents fournis, y compris les manuels et le code source ou les schémas descriptifs des matériels, doivent posséder un identifiant unique. L'emploi de cet identifiant unique est obligatoire dans les références. Le système de gestion de configuration doit garantir que la TOE soumise à l'évaluation est conforme à la documentation fournie et que seuls les changements autorisés effectués par des personnes autorisées sont possibles. Tous les outils utilisés au cours du processus de développement doivent être soumis à la gestion de configuration. Tous les objets créés au cours du processus de développement qui subissent la procédure de réception doivent être soumis à la gestion de configuration. Tous les objets dédiés à la sécurité ou touchant à la sécurité doivent être identifiés comme tels. Les outils de gestion de configuration doivent permettre de contrôler et d'auditer les changements apportés entre les différentes versions des objets soumis à la gestion de configuration. Toute modification apportée à ces objets doit être auditée avec indication de l'origine, de la date et de l'heure. Les outils de gestion de configuration doivent permettre la création et la manipulation de relations variables entre les objets soumis à la gestion de configuration. En cas de modification de l'un quelconque d'entre eux, les outils doivent permettre d'identifier tous les autres objets soumis à la gestion de configuration et affectés par cette modification, tout en indiquant s'ils sont dédiés à la sécurité ou touchant à la sécurité.

Exigences concernant les éléments de preuve

Les informations sur le système de gestion de configuration et la procédure d'intégration doivent expliquer comment ils sont utilisés et appliqués au processus de développement conformément aux procédures de gestion de la qualité du développeur. Les informations sur le système de gestion de configuration doivent expliquer comment les outils garantissent que le responsable de la réception d'un objet n'était ni un des ses concepteurs, ni un de ses développeurs. Des traces d'audit produites par le système de gestion de configuration doivent être fournies à titre d'exemple.

Tâches de l'évaluateur

Vérifier que les procédures documentées sont appliquées. Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier les traces d'audit fournies en exemple. Utiliser les outils des développeurs pour régénérer des parties sélectionnées de la TOE et comparer le résultat avec la version de la TOE soumise à l'évaluation.

Aspect 2 - Langages de programmation et compilateurs

Tous les langages de programmation utilisés pour la réalisation doivent être parfaitement définis, comme par exemple dans une norme ISO. Toutes les options des langages de programmation, dépendant de la réalisation, doivent être documentées. Les options de réalisation choisies de tous les compilateurs utilisés doivent être documentées. Le code source de toute bibliothèque de routines système doit être fourni.

Exigences concernant les éléments de preuve

La définition des langages de programmation doit définir sans ambiguïté le sens de toutes les déclarations utilisées dans le code source.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Aspect 3 - Sécurité des développeurs

Le document portant sur la sécurité de l'environnement de développement doit expliquer les protections prévues pour assurer l'intégrité de la TOE et la confidentialité des documents associés. Des mesures de sécurité physiques, organisationnelles, liées au personnel ou autres, utilisées par le développeur, doivent être expliquées.

Exigences concernant les éléments de preuve

Les informations concernant la sécurité de l'environnement de développement doivent expliquer la manière dont l'intégrité de la TOE et la confidentialité de la documentation associée sont maintenues.

Tâches de l'évaluateur

Vérifier que les procédures documentées sont appliquées. Vérifier que les informations fournies sont conformes aux exigences concernant le contenu, la présentation et les éléments de preuve. Rechercher des erreurs dans les procédures.

Exploitation - La documentation d'exploitation

• la documentation utilisateur,
• la documentation d'administration.

La documentation utilisateur doit expliquer les fonctions dédiées à la sécurité qui concernent l'utilisateur final. Elle doit aussi donner des lignes directrices suffisantes pour leur exploitation sûre. Ces documents, par exemple les manuels de référence et les guides de l'utilisateur, doivent être structurés, avoir une cohérence interne et être compatibles avec tous les autres documents fournis à ce niveau.

Exigences concernant les éléments de preuve

La documentation utilisateur doit expliquer comment un utilisateur final utilise la TOE de façon sûre.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Aspect 2 - Documentation d'administration

La documentation d'administration doit expliquer les fonctions dédiées à la sécurité relevant d'un administrateur. Elle doit distinguer deux types de fonctions : celles qui permettent à un administrateur de contrôler les paramètres de sécurité et celles qui lui permettent seulement d'obtenir des informations. Si un administrateur est nécessaire, elle doit expliquer tous les paramètres de sécurité qui sont sous sa responsabilité. Elle doit expliquer tous les événements relatifs à la sécurité relevant des fonctions d'administration. Elle doit expliquer, d'une façon suffisamment détaillée pour leur utilisation, les procédures relevant de l'administration de la sécurité. Elle doit donner des lignes directrices sur l'utilisation cohérente et efficace des caractéristiques de sécurité de la TOE et sur la façon dont ces caractéristiques interagissent. Elle doit expliquer les instructions sur la façon dont le système ou le produit devra être installé et, le cas échéant, sur la façon dont il devra être configuré. La documentation d'administration, par exemple les manuels de référence et les guides de l'administrateur, doit être structurée, avoir une cohérence interne et être compatible avec tous les autres documents fournis à ce niveau.

Exigences concernant les éléments de preuve

La documentation d'administration doit expliquer comment la TOE est administrée de façon sûre.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve.

Exploitation - L'environnement d'exploitation

• la documentation de livraison et de configuration,
• la documentation de démarrage et d'exploitation.

Si différentes configurations sont possibles, elles doivent être définies en fonction de la conception générale formelle, et l'impact de ces configurations sur la sécurité doit être expliqué. Les procédures de livraison et de génération du système doivent être expliquées. Une procédure approuvée par l'organisme national de certification pour ce niveau d'évaluation doit être suivie, afin de garantir l'authenticité de la TOE livrée. Pendant la génération de la TOE, toute option ou tout changement de génération doit être audité de telle façon qu'il soit possible a posteriori de reconstituer exactement comment et quand la TOE a été générée.

Exigences concernant les éléments de preuve

Les informations fournies doivent expliquer comment les procédures maintiennent la sécurité.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier que les procédures de livraison sont correctement appliquées. Rechercher des erreurs dans les procédures de génération système.

Aspect 2 - Démarrage et exploitation

Les procédures pour assurer un démarrage et une exploitation sûrs doivent être expliquées. Si une fonction dédiée à la sécurité peut être désactivée ou modifiée pendant le démarrage, l'exploitation normale ou la maintenance, cela doit être expliqué. Il doit exister des procédures permettant de restaurer la TOE dans un état sûr après une panne ou une erreur matérielle ou logicielle. Si la TOE comprend des éléments matériels qui incluent des composants matériels dédiés à la sécurité, il doit exister des fonctions de diagnostic mises en oeuvre par l'administrateur, par l'utilisateur final, ou de façon automatique pouvant être exécutées sur la TOE dans son environnement d'exploitation.

Exigences concernant les éléments de preuve

Les informations fournies doivent expliquer comment les procédures maintiennent la sécurité. Le commanditaire doit fournir des exemples de résultats de toutes les procédures de diagnostic des composants matériels dédiés à la sécurité. Le commanditaire doit fournir des exemples de toute trace d'audit générée au cours du démarrage ou de l'exploitation.

Tâches de l'évaluateur

Vérifier que les informations fournies satisfont à toutes les exigences concernant le contenu, la présentation et les éléments de preuve. Vérifier les exemples d'éléments de preuve exigés pour le démarrage et l'exploitation. Rechercher des erreurs dans les procédures.

Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |