ISO/IEC 18045:2022
(Main)Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Methodology for IT security evaluation
Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Methodology for IT security evaluation
This document defines the minimum actions to be performed by an evaluator in order to conduct an ISO/IEC 15408 series evaluation, using the criteria and evaluation evidence defined in the ISO/IEC 15408 series.
Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Méthodologie pour l'évaluation de sécurité
Le présent document définit les actions minimales à réaliser par un évaluateur pour mener une évaluation selon la série de normes ISO/IEC 15408 en utilisant les critères et les preuves d'évaluation définis dans la série de normes ISO/IEC 15408.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 18045
Third edition
2022-08
Information security, cybersecurity
and privacy protection — Evaluation
criteria for IT security — Methodology
for IT security evaluation
Sécurité de l'information, cybersécurité et protection de la vie
privée — Critères d'évaluation pour la sécurité des technologies de
l'information — Méthodologie pour l'évaluation de sécurité
Reference number
© ISO/IEC 2022
© ISO/IEC 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2022 – All rights reserved
Table of Contents
LIST OF FIGURES . ix
LIST OF TABLES . x
FOREWORD . xi
INTRODUCTION . xii
SCOPE . 1
NORMATIVE REFERENCES . 1
TERMS AND DEFINITIONS . 1
ABBREVIATED TERMS . 4
TERMINOLOGY . 4
VERB USAGE . 4
GENERAL EVALUATION GUIDANCE . 5
RELATIONSHIP BETWEEN THE ISO/IEC 15408 SERIES AND ISO/IEC 18045 STRUCTURES . 5
EVALUATION PROCESS AND RELATED TASKS . 5
9.1 GENERAL . 5
9.2 EVALUATION PROCESS OVERVIEW . 6
9.2.1 Objectives . 6
9.2.2 Responsibilities of the roles . 6
9.2.3 Relationship of roles . 6
9.2.4 General evaluation model . 7
9.2.5 Evaluator verdicts . 7
9.3 EVALUATION INPUT TASK . 9
9.3.1 Objectives . 9
9.3.2 Application notes . 9
9.3.3 Management of evaluation evidence sub-task . 10
9.4 EVALUATION SUB-ACTIVITIES.10
9.5 EVALUATION OUTPUT TASK .10
9.5.1 Objectives . 10
9.5.2 Management of evaluation outputs . 11
9.5.3 Application notes . 11
9.5.4 Write OR sub-task . 11
9.5.5 Write ETR sub-task . 11
CLASS APE: PROTECTION PROFILE EVALUATION . 19
10.1 GENERAL .19
10.2 RE-USING THE EVALUATION RESULTS OF CERTIFIED PPS .19
10.3 PP INTRODUCTION (APE_INT) .20
10.3.1 Evaluation of sub-activity (APE_INT.1) . 20
10.4 CONFORMANCE CLAIMS (APE_CCL) .21
10.4.1 Evaluation of sub-activity (APE_CCL.1) . 21
10.5 SECURITY PROBLEM DEFINITION (APE_SPD) .31
10.5.1 Evaluation of sub-activity (APE_SPD.1) . 31
10.6 SECURITY OBJECTIVES (APE_OBJ) .32
10.6.1 Evaluation of sub-activity (APE_OBJ.1) . 32
10.6.2 Evaluation of sub-activity (APE_OBJ.2) . 33
10.7 EXTENDED COMPONENTS DEFINITION (APE_ECD) .36
10.7.1 Evaluation of sub-activity (APE_ECD.1) . 36
© ISO/IEC 2022 – All rights reserved
iii
10.8 SECURITY REQUIREMENTS (APE_REQ) .40
10.8.1 Evaluation of sub-activity (APE_REQ.1) . 40
10.8.2 Evaluation of sub-activity (APE_REQ.2) . 45
CLASS ACE: PROTECTION PROFILE CONFIGURATION EVALUATION . 49
11.1 GENERAL .49
11.2 PP-MODULE INTRODUCTION (ACE_INT) .51
11.2.1 Evaluation of sub-activity (ACE_INT.1) . 51
11.3 PP-MODULE CONFORMANCE CLAIMS (ACE_CCL) .53
11.3.1 Evaluation of sub-activity (ACE_CCL.1) . 53
11.4 PP-MODULE SECURITY PROBLEM DEFINITION (ACE_SPD) . 58
11.4.1 Evaluation of sub-activity (ACE_SPD.1) . 58
11.5 PP-MODULE SECURITY OBJECTIVES (ACE_OBJ) .59
11.5.1 Evaluation of sub-activity (ACE_OBJ.1) . 59
11.5.2 Evaluation of sub-activity (ACE_OBJ.2) . 60
11.6 PP-MODULE EXTENDED COMPONENTS DEFINITION (ACE_ECD) . 63
11.6.1 Evaluation of sub-activity (ACE_ECD.1) . 63
11.7 PP-MODULE SECURITY REQUIREMENTS (ACE_REQ) . 67
11.7.1 Evaluation of sub-activity (ACE_REQ.1) . 67
11.7.2 Evaluation of sub-activity (ACE_REQ.2) . 72
11.8 PP-MODULE CONSISTENCY (ACE_MCO) .76
11.8.1 Evaluation of sub-activity (ACE_MCO.1) . 76
11.9 PP-CONFIGURATION CONSISTENCY (ACE_CCO) .79
11.9.1 Evaluation of sub-activity (ACE_CCO.1) . 79
CLASS ASE: SECURITY TARGET EVALUATION . 87
12.1 GENERAL .
...
Norme
internationale
ISO/IEC 18045
Troisième édition
Sécurité de l'information,
2022-08
cybersécurité et protection de la
vie privée — Critères d'évaluation
pour la sécurité des technologies de
l'information — Méthodologie pour
l'évaluation de sécurité
Information security, cybersecurity and privacy protection —
Evaluation criteria for IT security — Methodology for IT security
evaluation
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2022 – Tous droits réservés
ii
Sommaire Page
Avant-propos .viii
Introduction .x
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 4
5 Terminologie . 4
6 Utilisation des verbes . 4
7 Recommandations générales d'évaluation . 4
8 Relation entre les structures de la série de normes ISO/IEC 15408 et de l'ISO/IEC 18045 . 5
9 Processus d'évaluation et tâches associées . 5
9.1 Généralités .5
9.2 Présentation générale du processus d'évaluation.6
9.2.1 Objectifs .6
9.2.2 Responsabilités des rôles.6
9.2.3 Relations entre les rôles .6
9.2.4 Modèle général d'évaluation .7
9.2.5 Verdicts de l'évaluateur .7
9.3 Tâche d'entrée de l'évaluation.9
9.3.1 Objectifs .9
9.3.2 Notes d'application .9
9.3.3 Sous-tâche de gestion des preuves d'évaluation .10
9.4 Sous-activités d'évaluation .10
9.5 Tâche de sortie de l'évaluation .10
9.5.1 Objectifs .10
9.5.2 Gestion des données de sortie de l'évaluation .11
9.5.3 Notes d'application .11
9.5.4 Rédaction de la sous-tâche OR .11
9.5.5 Rédaction de la sous-tâche ETR . 12
10 Classe APE: Évaluation du profil de protection .20
10.1 Généralités . 20
10.2 Réutilisation des résultats d'évaluation des PP certifiés . 20
10.3 Introduction du PP (APE_INT) . 20
10.3.1 Évaluation de la sous-activité (APE_INT.1) . . 20
10.4 Revendications de conformité (APE_CCL) . 22
10.4.1 Évaluation de la sous-activité (APE_CCL.1) . 22
10.5 Définition du problème de sécurité (APE_SPD) .31
10.5.1 Évaluation de la sous-activité (APE_SPD.1) .31
10.6 Objectifs de sécurité (APE_OBJ) . 33
10.6.1 Évaluation de la sous-activité (APE_OBJ.1) . 33
10.6.2 Évaluation de la sous-activité (APE_OBJ.2) . 34
10.7 Définition des composants étendus (APE_ECD) .37
10.7.1 Évaluation de la sous-activité (APE_ECD.1) .37
10.8 Exigences de sécurité (APE_REQ) .41
10.8.1 Évaluation de la sous-activité (APE_REQ.1) .41
10.8.2 Évaluation de la sous-activité (APE_REQ.2) . 46
11 Classe ACE: Évaluation de la configuration du profil de protection .50
11.1 Généralités . 50
11.2 Introduction du module de PP (APE_INT) .52
11.2.1 Évaluation de la sous-activité (ACE_INT.1) .52
© ISO/IEC 2022 – Tous droits réservés
iii
11.3 Revendications de conformité du module de PP (ACE_CCL) . 54
11.3.1 Évaluation de la sous-activité (ACE_CCL.1) . 54
11.4 Définition du problème de sécurité du module de PP (ACE_SPD) .59
11.4.1 Évaluation de la sous-activité (ACE_SPD.1) .59
11.5 Objectifs de sécurité du module de PP (ACE_OBJ) . 60
11.5.1 Évaluation de la sous-activité (ACE_OBJ.1) . 60
11.5.2 Évaluation de la sous-activité (ACE_OBJ.2) .62
11.6 Définitions des composants étendus du module de PP (ASE_ECD) . 64
11.6.1 Évaluation de la sous-activité (ACE_ECD.1) . 64
11.7 Exigences en matière de sécurité d'un module de PP (ACE_REQ) . 68
11.7.1 Évaluation de la sous-activité (ACE_REQ.1) . 68
11.7.2 Évaluation de la sous-activité (ACE_REQ.2) . 73
11.8 Cohérence du module de PP (ACE_MCO) . 78
11.8.1 Évaluation de la sous-activité (ACE_MCO.1) . 78
11.9 Cohérence de la configuration de PP (ACE_CCO). 81
11.9.1 Évaluation de la sous-activité (ACE_CCO.1) . 81
12 Classe ASE: Évaluation de la cible de sécurité .89
12.1 Généralités . 89
12.2 Notes d'application . . . 89
12.2.1 Réutilisation des résultats d'évaluation des PP certifiés . 89
12.3 Introduction de la ST (ASE_INT) . 90
12.3.1 Évaluation de la sous-activité (ASE_INT.1) . 90
12.4 Revendications de conformité (ASE_CCL) . 93
12.4.1 Évaluation de la sous-activité (ASE_CCL.1) . 93
12.5 Définition du problème de sécurité (ASE_SPD) . 107
12.5.1 Évaluation de la sous-activité (ASE_SPD.1) .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.