Bonjour,
je recherche des informations sur le thème "les OS (ou éditeurs d'OS)
répondent-ils aux exigences des normes de sécurité (ISO 17799 notamment)?"
Est-ce que quelqu'un sait où je pourrais trouver ce type d'information, mes
recherches ne sont pas vraiment concluantes pour l'instant....
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
waw
Bonjour, je recherche des informations sur le thème "les OS (ou éditeurs d'OS) répondent-ils aux exigences des normes de sécurité (ISO 17799 notamment)?" Est-ce que quelqu'un sait où je pourrais trouver ce type d'information, mes recherches ne sont pas vraiment concluantes pour l'instant....
Merci bcp !
Salut,
Beaucoup d'éditeurs d'OS (Win$$, SuSe et autre linux) on des évaluations de leurs systèmes en utilisant les "Critère Commun" (common criteria). Cela implique très souvent une modification de leur système initial par un ou plusieurs patch, afin de rendre le système conforme au niveau de sécurité évalué (EAL).
Tu trouveras plus d'infos sur : http://www.commoncriteriaportal.org/ http://www.novell.com/linux/security/certification.html (pour SuSe)
wAw
Bonjour,
je recherche des informations sur le thème "les OS (ou éditeurs d'OS)
répondent-ils aux exigences des normes de sécurité (ISO 17799 notamment)?"
Est-ce que quelqu'un sait où je pourrais trouver ce type d'information, mes
recherches ne sont pas vraiment concluantes pour l'instant....
Merci bcp !
Salut,
Beaucoup d'éditeurs d'OS (Win$$, SuSe et autre linux) on des évaluations
de leurs systèmes en utilisant les "Critère Commun" (common criteria).
Cela implique très souvent une modification de leur système initial par
un ou plusieurs patch, afin de rendre le système conforme au niveau de
sécurité évalué (EAL).
Tu trouveras plus d'infos sur :
http://www.commoncriteriaportal.org/
http://www.novell.com/linux/security/certification.html (pour SuSe)
Bonjour, je recherche des informations sur le thème "les OS (ou éditeurs d'OS) répondent-ils aux exigences des normes de sécurité (ISO 17799 notamment)?" Est-ce que quelqu'un sait où je pourrais trouver ce type d'information, mes recherches ne sont pas vraiment concluantes pour l'instant....
Merci bcp !
Salut,
Beaucoup d'éditeurs d'OS (Win$$, SuSe et autre linux) on des évaluations de leurs systèmes en utilisant les "Critère Commun" (common criteria). Cela implique très souvent une modification de leur système initial par un ou plusieurs patch, afin de rendre le système conforme au niveau de sécurité évalué (EAL).
Tu trouveras plus d'infos sur : http://www.commoncriteriaportal.org/ http://www.novell.com/linux/security/certification.html (pour SuSe)
wAw
VANHULLEBUS Yvan
waw writes:
[....]
Beaucoup d'éditeurs d'OS (Win$$, SuSe et autre linux) on des évaluations de leurs systèmes en utilisant les "Critère Commun" (common criteria). Cela implique très souvent une modification de leur système initial par un ou plusieurs patch, afin de rendre le système conforme au niveau de sécurité évalué (EAL).
Tu trouveras plus d'infos sur : http://www.commoncriteriaportal.org/ http://www.novell.com/linux/security/certification.html (pour SuSe)
Mouais.... Attention quand meme: les CC ne sont jamais que des textes a trous, l'une des choses les plus importantes est de se renseigner sur la "cible d'evaluation", qui est la version du texte "avec trous remplis" a partir de laquelle l'evaluation est faite....
Parcequ'une certification EAL7 sur une cible qui dit "mon produit ne fait rien", c'est assez facile a obtenir, finalement (enfin, faut quand meme documenter comment on fait pour que le produit ne fasse rien, et qu'on prouve que, effectivement, il ne peut faire que rien dans ce cas de configuration), mais ca ne prouvera pas grand chose quand a l'efficacite et a la securite du produit en utilisation normale par un client lambda....
A +
VANHU.
waw <waw@oreka.com> writes:
[....]
Beaucoup d'éditeurs d'OS (Win$$, SuSe et autre linux) on des
évaluations de leurs systèmes en utilisant les "Critère Commun"
(common criteria). Cela implique très souvent une modification de leur
système initial par un ou plusieurs patch, afin de rendre le système
conforme au niveau de sécurité évalué (EAL).
Tu trouveras plus d'infos sur :
http://www.commoncriteriaportal.org/
http://www.novell.com/linux/security/certification.html (pour SuSe)
Mouais.... Attention quand meme: les CC ne sont jamais que des textes
a trous, l'une des choses les plus importantes est de se renseigner
sur la "cible d'evaluation", qui est la version du texte "avec trous
remplis" a partir de laquelle l'evaluation est faite....
Parcequ'une certification EAL7 sur une cible qui dit "mon produit ne
fait rien", c'est assez facile a obtenir, finalement (enfin, faut
quand meme documenter comment on fait pour que le produit ne fasse
rien, et qu'on prouve que, effectivement, il ne peut faire que rien
dans ce cas de configuration), mais ca ne prouvera pas grand chose
quand a l'efficacite et a la securite du produit en utilisation
normale par un client lambda....
Beaucoup d'éditeurs d'OS (Win$$, SuSe et autre linux) on des évaluations de leurs systèmes en utilisant les "Critère Commun" (common criteria). Cela implique très souvent une modification de leur système initial par un ou plusieurs patch, afin de rendre le système conforme au niveau de sécurité évalué (EAL).
Tu trouveras plus d'infos sur : http://www.commoncriteriaportal.org/ http://www.novell.com/linux/security/certification.html (pour SuSe)
Mouais.... Attention quand meme: les CC ne sont jamais que des textes a trous, l'une des choses les plus importantes est de se renseigner sur la "cible d'evaluation", qui est la version du texte "avec trous remplis" a partir de laquelle l'evaluation est faite....
Parcequ'une certification EAL7 sur une cible qui dit "mon produit ne fait rien", c'est assez facile a obtenir, finalement (enfin, faut quand meme documenter comment on fait pour que le produit ne fasse rien, et qu'on prouve que, effectivement, il ne peut faire que rien dans ce cas de configuration), mais ca ne prouvera pas grand chose quand a l'efficacite et a la securite du produit en utilisation normale par un client lambda....
A +
VANHU.
Michel Arboi
On Mon Sep 12 2005 at 17:24, Erwan David wrote:
Et attention, une évalutaion critère commun ne veut rien dire sans le profil de protection
La "cible de sécurité" (ST) plutôt. Qui peut être déclarée conforme à un ou plusieurs PP.
Et si mes souvenirs sont bons le seul PP public pour les OS est très faible
Je doute fort qu'il n'y ait qu'un PP pour les OS ; les PP poussent comme les champignons après la pluie.
du genre à n'évaluer que contre les attaques non intentionnelles
EAL ne désigne pas un niveau de sécurité, mais un niveau "d'assurance". En supposant que la sécurité soit mesurable, ce qui s'en rapproche le plus serait le composant AVA_VLA : AVA_VLA.2 => résistance élémentaire, AVA_VLA.4 => résistance forte.
EAL ne désigne pas un niveau de sécurité, mais un niveau "d'assurance".
En supposant que la sécurité soit mesurable, ce qui s'en rapproche le
plus serait le composant AVA_VLA : AVA_VLA.2 => résistance
élémentaire, AVA_VLA.4 => résistance forte.
EAL ne désigne pas un niveau de sécurité, mais un niveau "d'assurance". En supposant que la sécurité soit mesurable, ce qui s'en rapproche le plus serait le composant AVA_VLA : AVA_VLA.2 => résistance élémentaire, AVA_VLA.4 => résistance forte.
Et si mes souvenirs sont bons le seul PP public pour les OS est très faible
Je doute fort qu'il n'y ait qu'un PP pour les OS ; les PP poussent comme les champignons après la pluie.
Oui, mais la plupart ne sont pas publics...
du genre à n'évaluer que contre les attaques non intentionnelles
Ça n'aurait pas grand sens. Tu dois faire erreur.
C'est ce que j'avais lu lors de la certification EAL 4 de windows 2000.
Ça a pu évoluer depuis.
-- Si vous embauchez, voici mon CV http://www.rail.eu.org/cv/cv.pdf
Dominique Blas
Bonjour, je recherche des informations sur le thème "les OS (ou éditeurs d'OS) répondent-ils aux exigences des normes de sécurité (ISO 17799 notamment)?" Slt,
Là il y a clairement un pb de cible. La 17799 n'est PAS destinée à un éditeur ou pus généralement à un fabriquant/contructeur mais aux managers. C'est un recueil de bonnes pratiques et, en parlant de la BS7799 un ensemble d'exigences permettant de procéder à une certification touijours côté UTILISATEUR de moyens de sécurité.
Rien n'empêche un éditeur d'utiliser BS 7799 en interne mais en tant que manager de sa propre sécurité des SI alors.
Dans les produits dits de sécurité (sic), la norme recherchée est plutôt l'ISO 15408 long héritage des ITSEC et TCSEC dévenus par la suite Critères communs puis ISO 15408.
Est-ce que quelqu'un sait où je pourrais trouver ce type d'information, mes recherches ne sont pas vraiment concluantes pour l'instant.... Google est ton ami comme d'habitude.
En ce qui concerne le contenu de ces normes, notamment la 15408, elle est librement trouvable sur le Net (rechercher << Common criteria >>). L'ISO 17799 se trouve sur les réseaux P2P.
db
--
Courriel : usenet blas net
Bonjour,
je recherche des informations sur le thème "les OS (ou éditeurs d'OS)
répondent-ils aux exigences des normes de sécurité (ISO 17799 notamment)?"
Slt,
Là il y a clairement un pb de cible.
La 17799 n'est PAS destinée à un éditeur ou pus généralement à un
fabriquant/contructeur mais aux managers. C'est un recueil de bonnes
pratiques et, en parlant de la BS7799 un ensemble d'exigences permettant
de procéder à une certification touijours côté UTILISATEUR de moyens
de sécurité.
Rien n'empêche un éditeur d'utiliser BS 7799 en interne mais en tant que
manager de sa propre sécurité des SI alors.
Dans les produits dits de sécurité (sic), la norme recherchée est plutôt
l'ISO 15408 long héritage des ITSEC et TCSEC dévenus par la suite
Critères communs puis ISO 15408.
Est-ce que quelqu'un sait où je pourrais trouver ce type d'information, mes
recherches ne sont pas vraiment concluantes pour l'instant....
Google est ton ami comme d'habitude.
En ce qui concerne le contenu de ces normes, notamment la 15408, elle
est librement trouvable sur le Net (rechercher << Common criteria >>).
L'ISO 17799 se trouve sur les réseaux P2P.
Bonjour, je recherche des informations sur le thème "les OS (ou éditeurs d'OS) répondent-ils aux exigences des normes de sécurité (ISO 17799 notamment)?" Slt,
Là il y a clairement un pb de cible. La 17799 n'est PAS destinée à un éditeur ou pus généralement à un fabriquant/contructeur mais aux managers. C'est un recueil de bonnes pratiques et, en parlant de la BS7799 un ensemble d'exigences permettant de procéder à une certification touijours côté UTILISATEUR de moyens de sécurité.
Rien n'empêche un éditeur d'utiliser BS 7799 en interne mais en tant que manager de sa propre sécurité des SI alors.
Dans les produits dits de sécurité (sic), la norme recherchée est plutôt l'ISO 15408 long héritage des ITSEC et TCSEC dévenus par la suite Critères communs puis ISO 15408.
Est-ce que quelqu'un sait où je pourrais trouver ce type d'information, mes recherches ne sont pas vraiment concluantes pour l'instant.... Google est ton ami comme d'habitude.
En ce qui concerne le contenu de ces normes, notamment la 15408, elle est librement trouvable sur le Net (rechercher << Common criteria >>). L'ISO 17799 se trouve sur les réseaux P2P.
