Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

SA-10 - Gestion des configurations par les développeuses et développeurs   (-F-)


Énoncés :

Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte s’assure de :
a. procéder à la gestion des configurations au cours [Sélection (un choix ou plus) : de la conception; du développement; de la mise en œuvre; de l’exploitation; de l’élimination] du système, du composant ou du service
b. documenter, gérer et contrôler l’intégrité des changements apportés aux [Affectation : éléments de configuration définis par l’organisation dans le cadre de la gestion des configurations]
c. mettre en œuvre uniquement les changements approuvés par l’organisation au système, au composant ou au service
d. documenter les changements approuvés apportés au système, au composant ou au service et les répercussions potentielles de tels changements sur la sécurité et la protection de la vie privée
e. assurer le suivi des failles de sécurité informatique et de leur résolution dans le système, le composant ou le service et faire rapport des conclusions au [Affectation : personnel désigné par l’organisation]

Paramètres :

Responsable : Aucun

Discussion :

Les organisations considèrent la qualité et l’achèvement des activités de gestion des configurations menées par les développeuses et développeurs comme des preuves directes de l’application efficace des contrôles de sécurité. Les contrôles comprennent la protection contre la modification ou la destruction non autorisée des copies maîtresses de tout le matériel utilisé pour générer certains aspects de la sécurité matérielle, logicielle ou micrologicielle du système. Le maintien de l’intégrité des changements apportés au système, au composant du système ou au service qui s’y rapporte exige que le contrôle rigoureux des configurations tout au long du cycle de développement du système fasse en sorte d’enregistrer les changements autorisés et d’empêcher les changements non autorisés. Les éléments de configuration qui font partie de la gestion des configurations sont les suivants : le modèle formel; les spécifications de conception fonctionnelles, de haut niveau et de bas niveau; les autres données de conception; la documentation relative à la mise en œuvre; les schémas relatifs au code source et aux composants matériels; la version actuelle du code objet; les outils de comparaison des descriptions de nouvelles versions de composants matériels et de code source servant à la sécurité avec les versions précédentes; ainsi que les accessoires et la documentation de test. Selon les besoins liés à la mission et aux activités des organisations ou la nature des relations contractuelles en vigueur, les développeuses et développeurs peuvent assurer la gestion des configurations pendant les phases d’exploitation et de maintenance du cycle de développement du système.