Schéma EUCC – Gestion des correctifs

· Conformité & Réglementations,Cas d’usage

Les processus de gestion et de divulgation des vulnérabilités du système EUCC sont basés sur les normes ISO/IEC 30111 et ISO/IEC 29417. Cependant, étant donné que ces normes ne peuvent pas garantir que le correctif développé et déployé n'introduit pas de nouvelles vulnérabilités et ne définissent pas de tâches pour un organisme d'évaluation externe et sa méthodologie, le système EUCC ajoute une méthode de gestion des correctifs pour combler ces lacunes.

processus de gestion des correctifs

L’approche de gestion des correctifs du programme EUCC commence par la découverte d’une vulnérabilité de cybersécurité non détectée auparavant liée au produit TIC certifié. Un produit peut inclure un mécanisme de gestion des correctifs qui est évalué dans le cadre de sa certification et peut être basé sur les conditions définies dans le rapport technique sur la gestion des correctifs ISO SC27 WG3.

« Extension pour la gestion des correctifs pour ISO 15408 et ISO 18045 » ou sur la proposition du groupe de travail 1 de l'ISCI pour de nouveaux composants et packages d'exigences d'assurance de sécurité (SAR) dans CC pour la gestion des correctifs.

En appliquant l'un des éléments ci-dessus, lors de la certification initiale, le fabricant ou le fournisseur de produits TIC détaillera les processus de correctifs en fonction des exigences de contenu et de présentation du processus de gestion des correctifs accepté, définira les limites de la cible d'évaluation (TOE), lorsque l'architecture de sécurité (ADV_ARC) est incluse et où elle ne l'est pas, et enfin les mécanismes de correctifs détaillés en utilisant les unités de travail pertinentes de l'approche répertoriée sélectionnée.

Au cours de la phase de développement de la correction des vulnérabilités, le niveau de correctif acceptable (niveau 1, 2 ou 3 avec un flux de mise à jour potentiellement critique) est défini dans les conditions suivantes :

  • Le niveau de correctif 1 doit être utilisé si le TOE fait partie d'un produit TIC plus vaste et si les parties du produit qui n'affectent pas le TOE peuvent être corrigées si nécessaire.
  • Pour des modifications mineures, appliquez le patch de niveau 2 .
  • Le patch niveau 3 consiste à appliquer les dispositions préexistantes telles que définies par l'Assurance Continuité pour un changement important.
  • Le processus de flux de mise à jour critique est un niveau de correctif supplémentaire qui est appliqué aux modifications pour lesquelles une attaque peut déjà être exploitée ou lorsque la mise à jour est critique et doit être publiée de toute urgence.

Si vous souhaitez en savoir plus sur le schéma EUCC et le mécanisme de gestion des correctifs, contactez des experts spécialisés .

S'abonner
Billet précédentBillet suivant
Photo de profil
Annuler
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer