Informatique - Techniques de sécurité - Test des modules cryptographiques dans leur environnement opérationnel

CSA Group
Organisme d'élaboration de normes:
Canadian Standards Association (operating as CSA Group)
Programme de travail:
View the CSA work program
Numéro de référence:
CSA ISO/IEC TS 20540:19
Catégorie de norme:
Norme nationale du Canada - Adoption d'une Norme internationale
Type d’activité d’élaboration de normes:
Confirmation
Code ICS:
35.030
Statut:
En cours d'élaboration
Date de début de la période de commentaires OEN:
Date de fin de la période de commentaires des OEN:
Affiché le:

Porté:

Ce document fournit des recommandations et des listes de contrôle qui peuvent être utilisées pour prendre en charge la spécification et les tests opérationnels des modules cryptographiques dans leur environnement opérationnel au sein du système de sécurité d'une organisation.

Les modules cryptographiques disposent de quatre niveaux de sécurité définis par la norme ISO/IEC 19790 pour couvrir un large éventail de données sensibles (par exemple, données administratives de faible valeur, transferts de fonds d'un million de dollars, données de protection de la vie, informations d'identité personnelle et informations sensibles utilisées par gouvernement) et une diversité d'environnements d'application (par exemple, une installation surveillée, un bureau, des supports amovibles et un emplacement totalement non protégé).

Ce document comprend :

a) des recommandations pour effectuer une évaluation sécurisée de l'installation, de la configuration et du fonctionnement du module cryptographique ;
b) des recommandations concernant l'inspection du système de gestion des clés, la protection des informations d'authentification et les paramètres de sécurité publics et critiques dans l'environnement opérationnel ;
c) des recommandations pour identifier les vulnérabilités des modules cryptographiques ;
d) des listes de contrôle pour la politique en matière d'algorithmes cryptographiques, les directives et réglementations en matière de sécurité, les exigences en matière de gestion de la sécurité, le niveau de sécurité pour chacun des 11 domaines d'exigences, la solidité de la fonction de sécurité, etc. ; et
e) des recommandations pour déterminer que le déploiement du module cryptographique satisfait aux exigences de sécurité de l’organisation.

Ce document suppose que le module cryptographique a été validé comme étant conforme à la norme ISO/IEC 19790.

Il peut être utilisé par un testeur opérationnel accompagné d’autres recommandations si nécessaire.

Ce document se limite à la sécurité liée au module cryptographique. Cela n’inclut pas l’évaluation de la sécurité de l’environnement opérationnel ou applicatif. Il ne définit pas de techniques d’identification, d’évaluation et d’acceptation du risque opérationnel de l’organisation.

Les processus d’accréditation, de déploiement et d’exploitation de l’organisation, illustrés à la figure 1, ne sont pas inclus dans la portée de ce document.

Ce document s'adresse aux testeurs opérationnels qui effectuent les tests opérationnels des modules cryptographiques dans leur environnement opérationnel autorisant les responsables des modules cryptographiques.

Raison d’être du projet

Réviser la Norme dans le délai requis de 5 ans.

Note : L’information ci-dessus a été recueillie et est diffusée par le Conseil canadien des normes (CCN) pour les besoins de son système de notification centralisé et transparent pour l’élaboration de nouvelles normes. Le système permet aux organismes d’élaboration de normes (OEN) accrédités par le CCN et aux membres du public d’être informés des nouveaux travaux d’élaboration de normes au Canada. Il donne aussi aux OEN accrédités la possibilité de repérer et de résoudre les cas de doubles emplois éventuels dans les normes et les travaux de normalisation.

Les OEN sont eux-mêmes responsables du contenu et de l’exactitude de l’information présentée ici. Cette information n’existe que dans la langue dans laquelle elle a été fournie au CCN.