ISO/CEI 15408

ISO/CEI 15408

Critères communs

Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d'information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on emploie souvent l'expression Critères communs.

Sommaire

Description

Les critères communs sont disponibles :

  • en anglais : en version 3.1 de septembre 2006 (ainsi qu'en versions 2.1, 2.2, et 2.3)
  • en français : en version 2.1 d'août 1999

Il existe aussi une version 3.0 mais elle n'a quasiment pas été utilisée.

Accès à la documentation sur le site de la DCSSI : Critères et méthodologie d'évaluation

Voir résumé sur le site de la DCSSI : Références SSI

Partie 1 : introduction et modèle général

Cette partie décrit l'organisation générale de la norme et contient un glossaire pour les termes spécifiques.

Voir détails sur le site de la DCSSI : Introduction et modèle général (version 2.1 en français, 76 pages)

Partie 2 : exigences fonctionnelles de sécurité

Cette partie est un catalogue de fonctionnalités dont l'objectif est de fournir un langage structuré pour exprimer ce que doit faire un produit de sécurité.

Voir détails sur le site de la DCSSI : Exigences fonctionnelles de sécurité (version 2.1 en français, 394 pages)

Il existe 11 rubriques :

  1. Audit de sécurité (FAU)
  2. Communication (FCO)
  3. Utilisation de la cryptographie (FCS)
  4. Protection des données de l'utilisateur (FDP)
  5. Identification et authentification (FIA)
  6. Gestion de la sécurité (FMT)
  7. Protection de la vie privée (FPR)
  8. Protection des fonctions de sécurité de la cible d'évaluation (FPT)
  9. Utilisation des ressources (FRU)
  10. Accès à la cible d'évaluation (FTA)
  11. Chemins et canaux de confiance (FTP)

Partie 3 : exigences d'assurance de sécurité

Cette partie est un catalogue d'exigences sur la documentation associé au produit évalué. Il s'agit principalement de

  • la documentation de développement du produit (spécifications, conception, tests, etc), notamment pour les classes ADV et ATE;
  • la documentation sur l'environnement de développement (ce qui est parfois appelé le «manuel qualité» de l'organisation (généralement une société commerciale), notamment pour la classe ALC
  • et la documentation d'exploitation livrée avec le produit et indiquant comment l'utiliser, le configurer, etc, principalement pour la classe AGD.

Il existe 10 classes dans les versions 2.x:

  1. Évaluation d'un profil de protection (classe APE)
  2. Évaluation d'une cible de sécurité (classe ASE)
  3. Gestion de configuration (classe ACM)
  4. Livraison et exploitation (classe ADO)
  5. Développement (classe ADV)
  6. Guides (classe AGD)
  7. Support au cycle de vie (classe ALC)
  8. Tests (classe ATE)
  9. Estimation des vulnérabilités (classe AVA)
  10. Maintenance de l'assurance (classe AMA)

L'organisation des exigences a été améliorée en version 3.1: les classes sont un peu différentes mais les détails sont similaires.

Voir détails sur le site de la DCSSI : Exigences d'assurance de sécurité (version 2.1 en français, 236 pages)

Méthodologie d'évaluation

Voir détails sur le site de la DCSSI : Evaluation methodology (version 3.1 en anglais)

Concepts clés

TOE (Target of Evaluation)
La «cible d'évaluation», est le produit soumis à l'évaluation. Les critères sont censés être génériques mais ils ne s'appliquent correctement que s'il s'agit d'un logiciel.
SFR (Security functional requirements) 
Les «exigences fonctionnelles de sécurité» désignent l'ensemble des fonctionnalités de la TOE, elles sont normalement choisies dans le catalogue de la partie 2.
PP (Protection profile) 
C'est une description dans une forme standardisée d'un besoin en sécurité et de la manière de le satisfaire à partir des fonctions du catalogue. Cf. l'article Profil de Protection.
ST (Security Target) 
La «cible de sécurité» est une description dans une forme standardisée, très similaire à celle d'un profil, de l'utilité annoncée d'un produit de sécurité et des fonctionnalités qu'il fournit. Une cible peut être construite à partir d'un ou plusieurs profils de protection. (Inversement, on peut considérer qu'un profil est une cible indépendante d'un produit.)

Systèmes concernés

Les systèmes d'exploitation ("Operating Systems").

Les dispositifs dédiés aux communications :

Les systèmes consacrés à la sécurité informatique

Les cartes à puces

Historiquement, le type de produit privilégié par les Critères et ses ancêtres est les systèmes d'exploitation centralisés. Aujourd'hui (en 2007-2008), le type de produit le plus souvent évalué est la carte à puce.

Niveaux de l'évaluation

Article détaillé : Evaluation Assurance Level.

Un niveau d'évaluation correspond à une sélection d'un paquet d'assurance, i.e. un ensemble de «composant» de la partie 3. Les niveaux standards sont cumulatifs, c'est-à-dire que toutes les exigences du niveau n sont comprises dans le niveau n+1. Chaque pays peut également définir ses propres paquets d'assurance.

Les Critères Communs définissent 7 niveaux d'assurance de l'évaluation. La liste ci-dessous donne l'objectif résumé de chaque niveau.

  • EAL1 : testé fonctionnellement
  • EAL2 : testé structurellement
  • EAL3 : testé et vérifié méthodiquement
  • EAL4 : conçu, testé et vérifié méthodiquement,
  • EAL5 : conçu de façon semi-formelle et testé
  • EAL6 : conception vérifiée de façon semi-formelle et testé
  • EAL7 : conception vérifiée de façon formelle et testée.

Mise en œuvre

En France

C'est la DCSSI qui met en œuvre le schéma de certification français. Cet organisme, rattaché au Premier ministre, est en charge de la certification de la sécurité des produits évalués par les CESTI.

En Europe

En Europe, les Information Technology Security Evaluation Criteria (ITSEC) sont un standard pour la sécurité des systèmes d'information, qui s'intéresse plus particulièrement à la politique de sécurité des systèmes d'information.

Les ITSEC sont le produit du travail commun de plusieurs pays de l'Union européenne, en 1991. Ces critères sont désormais obsolètes et sont censés être remplacés par les critères communs. Ils sont toutefois encore utilisés dans un cadre gouvernemental.

Voir : Information Technology Security Evaluation Criteria (ITSEC)

Aux États-Unis

Aux États-Unis, les critères d'évaluation sont définis par la National Security Agency (NSA), agence du département de la défense, au niveau des matériels informatiques et des logiciels.

La société Mitre est fournisseur du département de la défense sur ces questions.

Voir : http://www.mitre.org/news/the_edge/february_01/highlights.html

Voir aussi

Liens externes

  • Portail de l’informatique Portail de l’informatique
  • Portail de la sécurité de l’information Portail de la sécurité de l’information
  • Portail de la sécurité informatique Portail de la sécurité informatique
Ce document provient de « Crit%C3%A8res communs ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article ISO/CEI 15408 de Wikipédia en français (auteurs)

Игры ⚽ Нужно сделать НИР?

Regardez d'autres dictionnaires:

  • ISO/IEC 15408 — Critères communs Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on… …   Wikipédia en Français

  • ISO/CEI 8859 — ISO 8859 ISO 8859, également appelée plus formellement ISO/CEI 8859, est une norme commune de l ISO et de la CEI de codage de caractères sur 8 bits pour le traitement informatique du texte. Le standard est divisé en parties numérotées publiées… …   Wikipédia en Français

  • Iso/cei 10646 — Unicode Jeux de caractères UCS (ISO/CEI 10646) ISO 646, ASCII ISO 8859 1 WGL4 UniHan Équivalences normalisées NFC (précomposée) NFD (décomposée) NFKC (compatibilité) NFKD (compatibilité) Propriétés et algorithmes ISO 15924 …   Wikipédia en Français

  • Iso/cei 27001 — Suite ISO/CEI 27000 ISO/CEI 27000 (en préparation) ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003 (en préparation) ISO/CEI 27004 (en préparation) …   Wikipédia en Français

  • Iso/cei 11179 — La norme ISO/CEI 11179, connue initialement comme la norme de registre de métadonnées, est une norme de représentation des métadonnées pour une organisation dans un registre de métadonnées. Cette norme est fortement recommandée par les agences d… …   Wikipédia en Français

  • ISO/CEI 2022 — ISO 2022, ou plus formellement ISO/CEI 2022 (ICS no 35.040), est une norme ISO spécifiant une technique pour inclure de multiples jeux de caractères dans un seul codage de caractères. À la différence du codage de caractères ISO 8859 qui… …   Wikipédia en Français

  • ISO/CEI 11801 — La norme internationale ISO/CEI 11801 publiée par le ISO/CEI JTC1 SC25 WG3 (groupe de travail 3 (WG3) du sous comité 25 (SC25) du comité technique mixte ISO/CEI JTC1) spécifie les recommandations en matière de systèmes de câblage de… …   Wikipédia en Français

  • Iso/cei 11801 — La norme internationale ISO/CEI 11801 publiée par le ISO/CEI JTC1 SC25 WG3 (groupe de travail 3 (WG3) du sous comité 25 (SC25) du comité technique mixte ISO/CEI JTC1) spécifie les recommandations en matière de systèmes de câblage de… …   Wikipédia en Français

  • ISO/CEI 17799:2005 — ISO/CEI 17799 La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième… …   Wikipédia en Français

  • Iso/cei 17799 — La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième édition de cette… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”