CAN/CSA-ISO/IEC 10181-5-00 (C2013)

La présente Norme nationale du Canada est équivalent à la Norme internationale ISO/IEC 10181-5:1996 (première édition, 1996-09-15). 1 Domaine d'application La présente Recommandation / Norme internationale sur les cadres de sécurité pour les systèmes ouverts couvre l'application des services de securite dans un environnement de systèmes ouverts, où le terme "systèmes ouverts" s'applique notamment à des domaines tels que les bases de données, les applications distribuées, le traitement réparti ouvert (ODP) et l'interconnexion OSI. Les cadres de sécurité ont pour but de définir les moyens d'assurer la protection pour les systèmes et les objets a l'intérieur des systèmes, ainsi que les interactions entre les systèmes. Ils ne couvrent pas la méthodologie de construction des systèmes ou mécanismes. Les cadres de sécurité couvrent à la fois les éléments de données et les séquences d'opérations (mais non les éléments de protocole) qui peuvent servir a obtenir des services de sécurité spécifiques. Ces services de sécurité peuvent s'appliquer aux entités communicantes des systèmes ainsi qu'aux données échangées entre les systèmes et aux données gérées par les systèmes. La présente Recommandation / Norme internationale qui traite de la confidentialité des informations lors de l'extraction, du transfert et de la gestion des données 1) définit les concepts élémentaires de confidentialité; 2)identifie les classes possibles de mécanismes de confidentialité; 3) classe et identifie les fonctionnalités pour chaque classe de mécanisme de confidentialité; 4) identifie les ressources de gestion requises pour prendre en charge les diverses classes de mécanisme de confidentialité; 5) examine l'interaction des mécanismes de confidentialité et des services supports avec d'autres services et mécanismes de sécurité. Plusieurs types de normes peuvent utiliser ce cadre de sécurité, notamment 1) les normes qui incorporent le concept de confidentialité; 2) les normes qui spécifient des services abstraits incluant la confidentialité; 3) les normes qui spécifient les utilisations d'un service de confidentialité; 4) les normes qui spécifient les moyens d'assurer la confidentialite dans une architecture de système ouvert; 5) les normes qui spécifient les mécanismes de confidentialité. De telles normes peuvent utiliser ce cadre de sécurité comme indiqué ci-dessous: - les normes des types l), 2), 3), 4) et 5) peuvent utiliser la terminologie de ce cadre de sécurité; - les normes des types 2), 3), 4) et 5) peuvent utiliser les fonctionnalités définies à l'article 7 de ce cadre de sécurité; les normes du type 5) peuvent être fondees sur les classes de mécanisme définies à l'article 8 de ce de sécurite. Comme avec d'autres services de sécurité, la confidentialité ne peut être assurée que dans le contexte d'une politique de sécurité déterminée pour une application particuliére. Les définitions de politiques de sécurité spéçifiques sortent du cadre de la présente Recommandation / Norme internationale. La présente Recommandation / Norme internationale n'a pas pour but de spécifier les détails des échanges de protocole qu'il convient d'effectuer pour assurer la confidentialité. La présente Recommandation / Norme internationale ne spécifie pas les mécanismes particuliers nécessaires pour assurer ces services de confidentialité ni les détails complets des services et protocoles de gestion de sécurité. Les mécanismes génériques nécessaires pour assurer la confidentialité sont décrits à l'article 8. Certaines des procédures décrites dans ce cadre de sécurité assurent la confidentialité par l'application de techniques cryptographiques. Ce cadre de sécurité ne dépend pas de l'utilisation d'algorithmes cryptographiques ou autres particuliers mais certaines classes de mécanisme de confidentialité peuvent dépendre de propriétés d'algorithme particulières. NOTE - Bien que l'ISO ne normalise pas les algorithmes cryptographiques, elle normalise néanmoins les procédures utilisées pour les enregistrer dans l'ISO/CEI 9979: 199 1 - Procédures pour l'enregistrement des algorithmes cryptographiques. Ce cadre de sécurite s'applique à la mise en oeuvre de la confidentialité lorsque les informations sont représentées par des données dont la lecture est accessible à d'éventuels «attaquants». Son domaine d'application englobe la confidentialité du flux de trafic.