ISO/IEC 19896-3:2018
(Main)IT security techniques — Competence requirements for information security testers and evaluators — Part 3: Knowledge, skills and effectiveness requirements for ISO/IEC 15408 evaluators
IT security techniques — Competence requirements for information security testers and evaluators — Part 3: Knowledge, skills and effectiveness requirements for ISO/IEC 15408 evaluators
This document provides the specialized requirements to demonstrate competence of individuals in performing IT product security evaluations in accordance with ISO/IEC 15408 (all parts) and ISO/IEC 18045.
Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs en matière de sécurité de l'information — Partie 3: Exigences en matière de connaissances, compétences et efficacité des spécialistes en évaluations ISO/IEC 15408
Le présent document fournit les exigences spécifiques permettant de démontrer la compétence des personnes pour effectuer des évaluations de la sécurité des produits IT conformément à l'ISO/IEC 15408 (toutes les parties) et à l'ISO/IEC 18045.
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 19896-3
First edition
2018-08
IT security techniques — Competence
requirements for information security
testers and evaluators —
Part 3:
Knowledge, skills and effectiveness
requirements for ISO/IEC 15408
evaluators
Techniques de sécurité IT — Exigences en matière de compétences des
spécialistes en tests et évaluations de la sécurité de l'information —
Partie 3: Exigences en matière de connaissances, compétences et
efficacité des spécialistes en évaluations ISO/IEC 15408
Reference number
ISO/IEC 19896-3:2018(E)
©
ISO/IEC 2018
---------------------- Page: 1 ----------------------
ISO/IEC 19896-3:2018(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2018 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 19896-3:2018(E)
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Knowledge . 2
4.1 General . 2
4.2 Knowledge of ISO/IEC 15408 and ISO/IEC 18045 . 2
4.2.1 ISO/IEC 15408-1 . 2
4.2.2 ISO/IEC 15408-2 . 2
4.2.3 ISO/IEC 15408-3 . 2
4.2.4 ISO/IEC 18045 . 3
4.3 Knowledge of the assurance paradigm . 3
4.3.1 Knowledge of the evaluation authority . 3
4.3.2 Knowledge of the evaluation scheme . 3
4.3.3 Knowledge of the laboratory and it’s management system . 4
4.4 Knowledge of information security . 4
4.5 Knowledge of the technology being evaluated . 5
4.5.1 Knowledge of the technology being evaluated . 5
4.5.2 Protection Profiles, packages and supporting documents . 5
4.6 Knowledge required for specific assurance classes . 5
4.7 Knowledge required when evaluating specific security functional requirements. 6
4.8 Knowledge needed when evaluating specific technologies . 6
5 Skills . 6
5.1 Basic evaluation skills . 6
5.1.1 Evaluation methods . . 6
5.1.2 Evaluation tools . 6
5.2 Core evaluation skills given in ISO/IEC 15408-3 and ISO/IEC 18045 . 7
5.2.1 Evaluation principles . 7
5.2.2 Evaluation methods and activities. 7
5.3 Skills required when evaluating specific security assurance classes. 8
5.3.1 General. 8
5.3.2 ADV (Development) Class . 8
5.3.3 AGD (Guidance Documents) Class . 9
5.3.4 ALC (Life-Cycle Support) Class . 9
5.3.5 ASE and APE (ST and PP evaluation) Classes . .10
5.3.6 ATE (Tests) Class . .10
5.3.7 AVA (Vulnerability Assessment) Class .11
5.3.8 ACO (Composition) Class .12
5.4 Skills required when evaluating specific security functional requirement classes .12
5.4.1 General.12
5.4.2 Skills required when evaluating the FCS (Cryptographic support) Class .13
5.5 Skills needed when evaluating specific technologies .13
6 Experience.13
7 Education .13
8 Effectiveness .14
8.1 General .14
8.2 Effectiveness of the evaluation .14
8.3 Evaluation scheme responsibilities for evaluator effectiveness.14
8.4 Effectiveness in performing timely evaluations .14
8.5 Effectiveness in performing accurate evaluations.14
© ISO/IEC 2018 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 19896-3:2018(E)
8.6 Effectiveness in reporting results .14
Annex A (informative) Technology types: Knowledge and skills .15
Annex B (informative) Examples of knowledge required for evaluating security assurance
requirement classes .20
Annex C (informative) Examples of knowledge required for evaluating security functional
requirement classes .27
Bibliography .30
iv © ISO/IEC 2018 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 19896-3:2018(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
A list of all parts in the ISO/IEC 19896 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
© ISO/IEC 2018 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 19896-3:2018(E)
Introduction
The ISO/IEC 15408 series permits comparability between the results of independent security
evaluations. It does so by providing a common set of requirements for the security functionality of IT
products and for assurance measures applied to these IT products during a security evaluation. Many
certification and evaluation schemes as well as evaluation authorities have been developed using the
ISO/IEC 15408 series and ISO/IEC 18045 as a basis, which permits comparability between the results
of evaluation projects.
One important factor in assuring comparability of the results of such evaluations is to understand
that the evaluation process includes the specification of both objective and subjective assurance
measures. Hence, the competence of the individual evaluators is important when the comparability and
repeatability of evaluation results are the foundation for mutual recognition.
ISO/IEC 17025, provides general requirements for the competence of testing and calibration
laboratories. In ISO/IEC 17025:2017, 5.2.1, it is stated that "Personnel performing specific tasks shall be
qualified on the basis of appropriate education, training, experience and/or demonstrated skills".
This document establishes a baseline for the minimum competence of ISO/IEC 15408 evaluators
with the goal of establishing conformity in the requirements for the training of ISO/IEC 15408
evaluator professionals associated with IT product evaluation schemes and authorities. It provides
the specialized requirements to demonstrate the competence of individuals in performing IT product
security evaluations in accordance with ISO/IEC 15408 (all parts) and ISO/IEC 18045. ISO/IEC 15408-
1 describes the general framework for competences including the various elements of competence;
knowledge, skills, experience, education and effectiveness. This document includes knowledge and
skills especially in the following areas.
— Information security
Knowledge: Information security principles, information security properties, information security
threats and vulnerabilities
Skills: Understand information security requirements, understand the context
— Information security evaluation
Knowledge: Knowledge of ISO/IEC 15408 (all parts) and ISO/IEC 18045, laboratory
management system
Skills: Basic evaluation skills, core evaluation skills, skills required when evaluating specific
security assurance classes, skills required when evaluating specific security functional
requirements classes
— Information systems architecture
Knowledge: Technology being evaluated
Skills: Understand the interaction of security components and information
— Information security testing
Knowledge: Information security testing techniques, information security testing tools, product
development lifecycle, test types
Skills: Create and manage an information security test plan, design information security tests,
prepare and conduct information security tests
The audience for this document includes validation and certification authorities, testing laboratory
accreditation bodies, evaluation schemes, laboratories, evaluators and organizations offering
professional credentialing.
vi © ISO/IEC 2018 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO/IEC 19896-3:2018(E)
IT security techniques — Competence requirements for
information security testers and evaluators —
Part 3:
Knowledge, skills and effectiveness requirements for ISO/
IEC 15408 evaluators
1 Scope
This document provides the specialized requirements to demonstrate competence of individuals
in performing IT product security evaluations in accordance with ISO/IEC 15408 (all parts) and
ISO/IEC 18045.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 19896-1, IT security techniques — Competence requirements for information security testers and
evaluators — Part 1: Introduction, concepts and general requirements
ISO/IEC 15408 (all parts), Information technology — Security techniques — Evaluation criteria for IT
security
ISO/IEC 18045, Information technology — Security techniques — Methodology for IT security evaluation
ISO/IEC 17025, General requirements for the competence of testing and calibration laboratories
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 19896-1, ISO/IEC 15408-
1, ISO/IEC 17025, ISO/IEC 18045 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
3.1
evaluation scheme
organization implementing policies and a set of rules established by an evaluation authority, defining
the evaluation environment, including criteria and methodology required to conduct IT security
evaluations
3.2
subjective method
method based on a given person's experience, and understanding
© ISO/IEC 2018 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO/IEC 19896-3:2018(E)
4 Knowledge
4.1 General
Knowledge is what an evaluator knows and can describe. Subclauses 4.2 to 4.8 address the knowledge
that is needed for evaluation to ISO/IEC 15408 (all parts) and ISO/IEC 18045.
4.2 Knowledge of ISO/IEC 15408 and ISO/IEC 18045
4.2.1 ISO/IEC 15408-1
All evaluators shall have knowledge of:
a) the terms and definitions defined in ISO/IEC 15408-1;
b) the terms and definitions defined in ISO/IEC 18045;
c) the context for ISO/IEC 15408 evaluations;
d) the general model for the ISO/IEC 15408 series given in ISO/IEC 15408-1;
e) tailoring security requirements: operations, dependencies between components and extended
components;
f) protection profiles and packages;
g) evaluation results; and
h) the specification of security targets.
4.2.2 ISO/IEC 15408-2
All evaluators shall have knowledge of those security functional requirements (SFRs) of ISO/IEC 15408-
2 which are used for the technology types the evaluator is authorized to work with, as well as any
dependent SFRs. The classes of SFRs given in ISO/IEC 15408-2 are:
a) security audit (FAU);
b) communication (FCO);
c) cryptographic support (FCS);
d) user data protection (FDP);
e) identification and authentication (FIA);
f) security management (FMT);
g) privacy (FPR);
h) protection of the target of evaluation security functions (FPT);
i) resource utilisation (FRU);
j) target of evaluation access (FTA); and
k) trusted path/channels (FTP).
4.2.3 ISO/IEC 15408-3
All evaluators shall have knowledge of the security assurance requirements (SARs) given in ISO/
IEC 15408-3 which are specified by Security Targets (ST) that the evaluator is authorized to work with.
2 © ISO/IEC 2018 – All rights reserved
---------------------- Page: 8 ----------------------
ISO/IEC 19896-3:2018(E)
The knowledge of particular SAR components shall include those to which the evaluator is authorized
to work at. The classes of SARs given in ISO/IEC 15408-3 are:
a) development (ADV);
b) guidance documentation (AGD);
c) life-cycle support (ALC);
d) security target structure (ASE);
e) protection profile structure (APE);
f) tests (ATE);
g) vulnerability assessment (AVA); and
h) composition (ACO).
4.2.4 ISO/IEC 18045
All evaluators shall have knowledge of:
a) the evaluation process: this process is described in ISO/IEC 18045:2008, Clause 8; and
b) security evaluation method and activities: this information is given in ISO/IEC 18045.
4.3 Knowledge of the assurance paradigm
4.3.1 Knowledge of the evaluation authority
All evaluators shall have knowledge of the requirements of the evaluation authority or evaluation
authorities that are applicable to the evaluation schemes for which they are authorized to work.
NOTE Examples of such evaluation authorities include "Common Criteria Recognition Agreement (CCRA)"
and the "Senior Officials Group Information Systems Security (SOG-IS)".
Requirements from evaluation authorities can include topics such as:
a) the scope of the evaluation authority;
b) recognition arrangements;
c) evaluation authority policies;
d) guidance to evaluation schemes, validators and evaluators;
e) interpretations;
f) supporting documents;
g) knowledge of related standards; and
h) quality requirements.
4.3.2 Knowledge of the evaluation scheme
Evaluation schemes typically define operational aspects such as policies, and procedures that are
specific to the evaluation scheme. Such items are often based on the scope of the evaluation scheme.
All evaluators shall have knowledge of:
a) The requirements of the evaluation scheme or schemes for which they are authorized to work;
© ISO/IEC 2018 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO/IEC 19896-3:2018(E)
EXAMPLE
— any sector specific policies, regulations and legislation;
— laboratory approval requirements for the evaluation scheme;
— evaluation scheme policies in regard to evaluation projects including entry criteria, time limits, report
requirements, site visit requirements;
— guidance to validators and evaluators;
— evaluation scheme specific interpretations;
— evaluation scheme specific guidance;
— approved protection profiles and their supporting documents;
— evaluation scheme specific assurance methods and activities; and
— reporting requirements.
b) the competence requirements of the evaluation scheme for evaluators.
NOTE See ISO/IEC 18045:2008, A.5 for guidance to evaluation schemes on this topic.
4.3.3 Knowledge of the laboratory and it’s management system
All evaluators shall have knowledge of:
a) the laboratory’s management system, including policies, processes and procedures that are
applicable to evaluators;
b) laboratory approved methods; and
c) laboratory competence requirements.
NOTE Management systems vary greatly in their implementations. However, items such as document
control, record control, control of nonconforming testing and/or calibration work, handling of technical records,
and conflict of interest are often the direct responsibility of evaluators. Most laboratory management systems
are based on ISO/IEC 17025.
4.4 Knowledge of information security
All evaluators shall have knowledge of:
a) security principles;
b) security properties;
c) mechanisms of attack;
d) concepts of attack potential;
e) secure development life cycles;
f) security testing; and
g) vulnerabilities and weaknesses.
4 © ISO/IEC 2018 – All rights reserved
---------------------- Page: 10 ----------------------
ISO/IEC 19896-3:2018(E)
4.5 Knowledge of the technology being evaluated
4.5.1 Knowledge of the technology being evaluated
ISO/IEC 15408 (all parts) and ISO/IEC 18045 can be used in the evaluation of a wide variety of
information technologies. These technologies are often classified into various technology types by
evaluation schemes, evaluation authorities or others.
All evaluators shall have knowledge of the information technology types being evaluated by them,
including the common security architectures deployed for that technology type.
NOTE Annex A provides an informative list of knowledge topics presented by commonly identified
technology types.
EXAMPLE Commonly identified technology types include:
— access control devices and systems;
— encryption, key management and PKI systems, products for digital signatures;
— databases;
— operating systems;
— network and network-related devices and systems;
— mobile devices and systems;
— multi-function devices;
— ICs, smart cards and smart-card related devices and systems;
— hardware devices;
— detection devices and systems; and
— data protection, biometric systems and devices, trusted computing.
4.5.2 Protection Profiles, packages and supporting documents
All evaluators shall have knowledge of the following, where they are applicable for the information
technology evaluated by them:
a) protection profiles, packages and any related supporting documents specified in connection with
the evaluator's work;
b) the knowledge required to meet any additional evaluation methods and assurance activities
specified as applicable to an evaluation;
c) how to determine if any interpretations or guidance in regard to protection profiles, packages and
related supporting documents have been issued and whether they are applicable to a particular
evaluation project.
4.6 Knowledge required for specific assurance classes
Evaluators need the knowledge required by the evaluation methods and activities specified for the
assurance classes for which they are authorized to work. Examples for the knowledge required by ISO/
IEC 18045 are given in Annex B.
© ISO/IEC 2018 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO/IEC 19896-3:2018(E)
4.7 Knowledge required when evaluating specific security functional requirements
Evaluators shall have the knowledge required as given by the security functional requirements they
are authorized to evaluate as specified in ISO/IEC 15408-2. Examples for the knowledge required by
ISO/IEC 15408-2 are given in Annex C.
4.8 Knowledge needed when evaluating specific technologies
Since technology can vary and are continually evolving it is not possible to identify all the skills
required. Annex A provides an informative list of both knowledge and skills for many technologies. In
addition, the Bibliography gives many technology related references.
Technology related knowledge can be obtained through experience with that technology. Such
experience can be developed by:
a) participating in education in regard to the technology;
b) working as a trainee alongside an experienced evaluator;
c) working in the development of the technology; and
d) performing research on the technology.
5 Skills
5.1 Basic evaluation skills
5.1.1 Evaluation methods
All evaluators shall have skills in basic evaluation methods. These include both objective and subjective
methods, including:
a) sampling;
b) basic statistical analysis;
c) observation;
d) analysis;
e) comparison; and
f) recording results;
5.1.2 Evaluation tools
The evaluator shall be skilled in:
a) the use of tools that are specified by the laboratory or evaluation scheme in support of evaluation,
report generation, delivery or protection of documents and results;
EXAMPLE
— encryption tools; and
— documentation tools.
6 © ISO/IEC 2018 – All rights reserved
---------------------- Page: 12 ----------------------
ISO/IEC 19896-3:2018(E)
b) specialized tools for certain evaluation tasks as specified by the laboratory or evaluation scheme or
supporting documents.
EXAMPLE
— specialized mathematical tools for analysing measured data;
— tools for verifying implementation of crypto algorithms.
5.2 Core evaluation skills given in ISO/IEC 15408-3 and ISO/IEC 18045
5.2.1 Evaluation principles
All evaluators shall be able to perform their work in a way that is:
a) impartial;
b) objective;
c) repeatable; and
d) reproducible.
5.2.2 Evaluation methods and activities
All evaluators shall have skills in the core evaluation methods and activities specified in ISO/IEC 18045,
Protection Profiles and any supporting documents.
The following verbs have special meaning in ISO/IEC 18045:2008 and the evaluator shall be skilled in
performing the activities in accordance with the definitions made in ISO/IEC 18045:2008. These are
expressed as the following verbs:
a) check;
b) confirm;
c) demonstrate;
d) describe;
e) determi
...
ISO/IEC JTC 1/SC 27
Date : 2023-01-23: 2018-08
ISO/IEC 19896-3:2018 (F)
ISO/IEC JTC 1/SC 27
Secrétariat : DIN
Techniques de sécurité IT — Exigences de compétence pour les testeurs et les
évaluateurs en matière de sécurité de l’information — Partie 3 : Exigences en
matière de connaissances, compétences et efficacité des spécialistes en
évaluations ISO/IEC 15408
IT security techniques — Competence requirements for information security
testers and evaluators — Part 3: Knowledge, skills and effectiveness
requirements for ISO/IEC 15408 evaluators
ICS : 35.030
Type de document : Error! Reference source not found.
Sous-type de document :
Stade du document : Error! Reference source not found.
Langue du document : Error! Reference source not found.
---------------------- Page: 1 ----------------------
ISO/IEC 19896-3:2018 (F)
Formatted
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en
œuvre, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme
que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l'affichage
sur l'internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d'autorisation
peuvent être adressées à l'ISO à l'adresse ci-après ou au comité membre de l'ISO dans le pays du
demandeur.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél. :.: + 41 22 749 01 11
Fax : + 41 22 749 09 47
E-mail : copyright@iso.org
Web : www.iso.org
Publié en Suisse
© ISO 2018 – Tous droits réservés
ii
---------------------- Page: 2 ----------------------
ISO/IEC 19896-3:2018 (F)
Sommaire Page
Avant-propos . v
Introduction. vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Connaissances . 2
4.1 Généralités . 2
4.2 Connaissance de l'ISO/IEC 15408 et de l'ISO/IEC 18045 . 2
4.2.1 ISO/IEC 15408-1 . 2
4.2.2 ISO/IEC 15408-2 . 2
4.2.3 ISO/IEC 15408-3 . 3
4.2.4 ISO/IEC 18045 . 3
4.3 Connaissance du paradigme de l'assurance . 3
4.3.1 Connaissance de l'autorité d'évaluation . 3
4.3.2 Connaissance du schéma d'évaluation . 4
4.3.3 Connaissance du laboratoire et de son système de management . 5
4.4 Connaissance de la sécurité de l'information . 5
4.5 Connaissance de la technologie évaluée . 5
4.5.1 Connaissance de la technologie évaluée . 5
4.5.2 Profils de protection, paquets et documents connexes . 6
4.6 Connaissances requises pour des classes d'assurance spécifiques . 6
4.7 Connaissances requises lors de l'évaluation d'exigences fonctionnelles de sécurité
spécifiques . 7
4.8 Connaissances nécessaires lors de l'évaluation de technologies spécifiques . 7
5 Savoir-faire . 7
5.1 Savoir-faire d'évaluation de base . 7
5.1.1 Méthodes d'évaluation . 7
5.1.2 Outils d'évaluation . 8
5.2 Savoir-faire d'évaluation de base spécifiés dans l'ISO/IEC 15408-3 et
l'ISO/IEC 18045 . 8
5.2.1 Principes de l'évaluation . 8
5.2.2 Méthodes et activités d'évaluation . 8
5.3 Savoir-faire requis lors de l'évaluation de classes d'assurance de sécurité
spécifiques . 9
5.3.1 Généralités . 9
5.3.2 Classe ADV (Développement) . 9
5.3.3 Classe AGD (Manuels utilisateur) . 11
5.3.4 Classe ALC (Prise en charge du cycle de vie) . 11
5.3.5 Classes ASE et APE (évaluation ST et PP) . 12
5.3.6 Classe ATE (Essais) . 13
5.3.7 Classe AVA (Évaluation de la vulnérabilité) . 14
© ISO 2018 – Tous droits réservés
iii
---------------------- Page: 3 ----------------------
ISO/IEC 19896-3:2018 (F)
5.3.8 Classe ACO (Composition) . 15
5.4 Savoir-faire requis lors de l'évaluation de classes d'exigences fonctionnelles de
sécurité spécifiques . 15
5.4.1 Généralités . 15
5.4.2 Savoir-faire requis lors de l'évaluation de la classe FCS (Support cryptographique) . 15
5.5 Savoir-faire nécessaires lors de l'évaluation de technologies spécifiques . 16
6 Expérience . 16
7 Instruction . 16
8 Efficacité . 17
8.1 Généralités . 17
8.2 Efficacité de l'évaluation . 17
8.3 Responsabilités des schémas d'évaluation concernant l'efficacité des évaluateurs . 18
8.4 Efficacité pour la réalisation d'évaluations en temps opportun . 18
8.5 Efficacité pour la réalisation d'évaluations exactes . 18
8.6 Efficacité concernant le rapportage des résultats . 18
Annexe A (informative) Types de technologie : Connaissances et savoir-faire . 19
Annexe B (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences d'assurance de la sécurité . 25
Annexe C (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences fonctionnelles de sécurité . 35
Bibliographie . 39
© ISO 2018 – Tous droits réservés
iv
---------------------- Page: 4 ----------------------
ISO/IEC 19896-3:2018 (F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l'ISO ou de l’IEC participent au développement de Normes internationales par
l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des domaines
particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent dans des
domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux. Dans le domaine des
technologies de l'information, l'ISO et l’IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1. Formatted: Pattern: Clear
Formatted: Pattern: Clear
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors
de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/fr/avant-propos.html.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information, Formatted: Pattern: Clear
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Formatted: Pattern: Clear
Une liste de toutes les parties de la série ISO/IEC 19896 se trouve sur le site web de l'ISO.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www.iso.org/fr/members.html. Formatted: Pattern: Clear
© ISO 2018 – Tous droits réservés
v
---------------------- Page: 5 ----------------------
ISO/IEC 19896-3:2018 (F)
Introduction
La série ISO/IEC 15408 permet la comparaison entre des résultats d'évaluations de sécurité
Formatted: Pattern: Clear
indépendantes. À cet effet, elle propose un ensemble commun d'exigences applicables aux fonctionnalités
Formatted: Pattern: Clear
de sécurité des produits de technologies de l'information (IT) et aux mesures d'assurance appliquées à
ces produits IT au cours d'une évaluation de sécurité. De nombreux schémas de certification et
d'évaluation ainsi que des autorités d'évaluation ont été élaborés en utilisant la série ISO/IEC 15408 et
Formatted: Pattern: Clear
l'ISO/IEC 18045 comme base, ce qui permet de comparer les résultats des projets d'évaluation.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Un facteur important pour assurer la comparaison des résultats de ces évaluations consiste à comprendre
Formatted: Pattern: Clear
que le processus d'évaluation inclut la spécification de mesures d'assurance à la fois objectives et
subjectives. Par conséquent, la compétence des évaluateurs individuels est importante lorsque la
comparaison et la répétabilité des résultats de l'évaluation constituent le fondement de la reconnaissance
mutuelle.
L'ISO/IEC 17025 fournit des exigences générales concernant la compétence des laboratoires d'essai et Formatted: Pattern: Clear
d'étalonnage. Dans l'ISO/IEC 17025:2017, 5.2.1, il est précisé que « le personnel effectuant des tâches
Formatted: Pattern: Clear
spécifiques doit être qualifié sur la base d'une instruction, d'une formation, d'une expérience appropriées
Formatted: Pattern: Clear
et/ou d'un savoir-faire démontré ».
Formatted: Pattern: Clear
Le présent document établit une base de référence pour les compétences minimales des évaluateurs de
Formatted: Pattern: Clear
l'ISO/IEC 15408 dans le but d'établir la conformité des exigences de formation des évaluateurs
Formatted: Pattern: Clear
professionnels selon l'ISO/IEC 15408 associés aux programmes d'évaluation et aux autorités des
Formatted: Pattern: Clear
produits IT. Il fournit les exigences spécifiques permettant de démontrer la compétence des personnes
Formatted: Pattern: Clear
pour effectuer des évaluations de la sécurité des produits IT conformément à l'ISO/IEC 15408 (toutes les
parties) et à l'ISO/IEC 18045. L'ISO/IEC 15408-1 décrit le cadre général des compétences, y compris les Formatted: Pattern: Clear
différents éléments de la compétence : connaissances, savoir-faire, expérience, instruction et efficacité.
Formatted: Pattern: Clear
Le présent document inclut notamment les connaissances et les savoir-faire dans les domaines suivants.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
— Sécurité de l'information
Formatted: Pattern: Clear
Connaissances : Principes de sécurité de l'information, propriétés de sécurité de l'information,
Formatted: Pattern: Clear
menace et vulnérabilités en matière de sécurité de l'information
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Savoir-faire : Comprendre les exigences en matière de sécurité de l'information, comprendre le
contexte
Formatted: Pattern: Clear
Formatted: Pattern: Clear
— Évaluation de la sécurité de l'information
Connaissances : Connaissance de l'ISO/IEC 15408 (toutes les parties) et de l'ISO/IEC 18045, Formatted: Pattern: Clear
système de management de laboratoire
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Savoir-faire : Savoir-faire de base en matière d'évaluation, savoir-faire essentiels en matière
Formatted: Pattern: Clear
d'évaluation, savoir-faire requis lors de l'évaluation de classes d'assurance de la sécurité spécifiques,
savoir-faire requis lors de l'évaluation de classes d'exigences fonctionnelles de sécurité spécifiques Formatted: Pattern: Clear
— Architecture des systèmes d'information
Connaissances : Technologie évaluée
Savoir-faire : Comprendre l'interaction entre les composants de sécurité et les informations
© ISO 2018 – Tous droits réservés
vi
---------------------- Page: 6 ----------------------
ISO/IEC 19896-3:2018 (F)
— Essais de sécurité de l'information
Connaissances : Techniques d'essai de la sécurité de l'information, outils d'essai de la sécurité de
l'information, cycle de vie du développement des produits, types d'essais
Savoir-faire : Créer et gérer un plan d'essai de sécurité de l'information, concevoir des essais de
sécurité de l'information, préparer et réaliser des essais de sécurité de l'information
Le public visé par le présent document comprend les autorités de validation et de certification, les
organismes de certification des laboratoires d'essai, les schémas d'évaluation, les laboratoires, les
évaluateurs et les organismes proposant des certifications professionnelles.
© ISO 2018 – Tous droits réservés
vii
---------------------- Page: 7 ----------------------
ISO/IEC 19896-3:2018 (F)
Techniques de sécurité IT — Exigences de compétence pour
les testeurs et les évaluateurs en matière de sécurité de
l’information — Partie 3: Exigences en matière de
connaissances, compétences et efficacité des spécialistes en
évaluations ISO/IEC 15408
1 Domaine d'application
Le présent document fournit les exigences spécifiques permettant de démontrer la compétence des
personnes pour effectuer des évaluations de la sécurité des produits IT conformément à l'ISO/IEC 15408 Formatted: Pattern: Clear
(toutes les parties) et à l'ISO/IEC 18045.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
2 Références normatives
Formatted: Pattern: Clear
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur Formatted: Pattern: Clear
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
Formatted: Pattern: Clear
ISO/IEC 19896-1, Techniques de sécurité IT — Exigences de compétence pour les testeurs et les
Formatted: Pattern: Clear
évaluateurs en matière de sécurité de l’information — Partie 1: Introduction, concepts et exigences
Formatted: Pattern: Clear
générales
Formatted: Pattern: Clear
ISO/IEC 15408 (toutes les parties), Technologies de l’information — Techniques de sécurité —
Formatted: Pattern: Clear
Critères d’évaluation pour la sécurité TI
Formatted: Pattern: Clear
Formatted: Pattern: Clear
ISO/IEC 18045, Sécurité de l'information, cybersécurité et protection de la vie privée — Critères
d'évaluation pour la sécurité des technologies de l'information — Méthodologie pour l'évaluation de
Formatted: Pattern: Clear
sécurité
Formatted: Pattern: Clear
Formatted: Pattern: Clear
ISO/IEC 17025, Exigences générales concernant la compétence des laboratoires d'étalonnages et
Formatted: Pattern: Clear
d'essais
Formatted: Pattern: Clear
ISO/IEC 17025, Exigences générales concernant la compétence des laboratoires d'étalonnages et d'essais
Formatted: Pattern: Clear
Formatted: Pattern: Clear
3 Termes et définitions
Formatted: Pattern: Clear
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/IEC 19896-1,
Formatted: Pattern: Clear
l’ISO/IEC 15408-1 et l’ISO/IEC 17025, l’ISO/IEC 18045 ainsi que les suivants s'appliquent.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
L'ISOL’ISO et l'IECl’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées
Formatted: Pattern: Clear
en normalisation, consultables aux adresses suivantes ::
Formatted: Pattern: Clear
— ISO Online browsing platform : disponible à l'adressel’adresse
Formatted: Pattern: Clear
https://www.iso.org/obphttps://www.iso.org/obp
Formatted: Adjust space between Latin and Asian text,
Adjust space between Asian text and numbers
— IEC Electropedia : disponible à l'adressel’adresse https://www.electropedia.org/
Formatted: Hyperlink, No underline, Font color: Auto
© ISO 2018 – Tous droits réservés
8
---------------------- Page: 8 ----------------------
ISO/IEC 19896-3:2018 (F)
3.1
schéma d'évaluation
organisation qui assure la mise en œuvre des politiques et d'un ensemble de règles, établies par une
autorité d'évaluation, définissant l'environnement d'évaluation, y compris les critères et la méthodologie
nécessaires pour mener des évaluations de la sécurité des IT
3.2
méthode subjective
méthode fondée sur l'expérience et la compréhension d'une personne donnée
Formatted: Pattern: Clear
Formatted: Pattern: Clear
4 Connaissances
Formatted: Pattern: Clear
4.1 Généralités
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Les connaissances sont ce qu'un évaluateur connaît et peut décrire. Les paragraphes 4.2 à 4.8 traitent des
Formatted: Pattern: Clear
connaissances nécessaires pour l'évaluation selon l'ISO/IEC 15408 (toutes les parties) et
l'ISO/IEC 18045. Formatted: Pattern: Clear
Formatted: Pattern: Clear
4.2 Connaissance de l'ISO/IEC 15408 et de l'ISO/IEC 18045
Formatted: Pattern: Clear
Formatted: Pattern: Clear
4.2.1 ISO/IEC 15408-1
Formatted: Pattern: Clear
Tous les évaluateurs doivent avoir connaissance des éléments suivants :
Formatted: Pattern: Clear
Formatted: Pattern: Clear
a) les termes et définitions définis dans l'ISO/IEC 15408-1 ;
Formatted: Pattern: Clear
b) les termes et définitions définis dans l'ISO/IEC 18045 ;
Formatted: Pattern: Clear
Formatted: Pattern: Clear
c) le contexte pour les évaluations selon l'ISO/IEC 15408 ;
Formatted: Pattern: Clear
d) le modèle général de la série ISO/IEC 15408 donné dans l'ISO/IEC 15408-1 ; Formatted: Pattern: Clear
Formatted: Pattern: Clear
e) la personnalisation des exigences de sécurité : opérations, dépendances entre composants et
Formatted: Pattern: Clear
composants étendus ;
Formatted: Pattern: Clear
f) les profils et les paquets de protection ;
Formatted: Pattern: Clear
Formatted: Pattern: Clear
g) les résultats de l'évaluation ; et
Formatted: Pattern: Clear
Formatted: Pattern: Clear
h) la spécification des cibles de sécurité.
Formatted: Pattern: Clear
4.2.2 ISO/IEC 15408-2
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Tous les évaluateurs doivent avoir connaissance des exigences fonctionnelles de sécurité (SFR) de
l'ISO/IEC 15408-2 qui sont utilisées pour les types de technologie avec lesquels l'évaluateur est autorisé Formatted: Pattern: Clear
à travailler, ainsi que de toute SFR dépendante. Les classes de SFR données dans l'ISO/IEC 15408-2 sont
Formatted: Pattern: Clear
les suivantes :
Formatted: Pattern: Clear
Formatted: Pattern: Clear
a) audit de sécurité (FAU) ;);
Formatted: Pattern: Clear
b) communication (FCO) ;);
Formatted: Pattern: Clear
Formatted: Pattern: Clear
© ISO 2018 – Tous droits réservés
9
---------------------- Page: 9 ----------------------
ISO/IEC 19896-3:2018 (F)
c) support cryptographique (FCS) ;);
d) protection des données utilisateur (FDP) ;);
e) identification et authentification (FIA) ;);
f) gestion de la sécurité (FMT) ;);
g) confidentialité des données (FPR) ;);
h) protection des fonctions de sécurité de la cible d'évaluation (FPT) ;);
i) utilisation des ressources (FRU) ;);
j) accès à la cible d'évaluation (FTA) ;); et
k) chemin/canaux de confiance (FTP).
4.2.3 ISO/IEC 15408-3 Formatted: Pattern: Clear
Formatted: Pattern: Clear
Tous les évaluateurs doivent avoir connaissance des exigences d'assurance de sécurité (SAR) données
Formatted: Pattern: Clear
dans l'ISO/IEC 15408-3 qui sont spécifiées par les cibles de sécurité (ST) avec lesquelles l'évaluateur est
Formatted: Pattern: Clear
autorisé à travailler. La connaissance des composants particuliers de SAR doit comprendre ceux pour
lesquels l'évaluateur est autorisé à travailler. Les classes de SAR données dans l'ISO/IEC 15408-3 sont les Formatted: Pattern: Clear
suivantes :
Formatted: Pattern: Clear
Formatted: Pattern: Clear
a) développement (ADV) ;);
Formatted: Pattern: Clear
b) manuel utilisateur (AGD) ;);
Formatted: Pattern: Clear
c) prise en charge du cycle de vie (ALC) ;);
d) structure de la cible de sécurité (ASE) ;);
e) structure du profil de protection (APE) ;);
f) essais (ATE) ;);
g) évaluation de la vulnérabilité (AVA) ;); et
h) composition (ACO).
4.2.4 ISO/IEC 18045
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Tous les évaluateurs doivent avoir connaissance des éléments suivants :
Formatted: Pattern: Clear
a) le processus d'évaluation : ce processus est décrit dans l'ISO/IEC 18045:2008, Article 8 ; et
Formatted: Pattern: Clear
b) la méthode et les activités d'évaluation de la sécurité : ces informations sont données dans
Formatted: Pattern: Clear
l'ISO/IEC 18045.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
Formatted: Pattern: Clear
© ISO 2018 – Tous droits réservés
10
---------------------- Page: 10 ----------------------
ISO/IEC 19896-3:2018 (F)
4.3 Connaissance du paradigme de l'assurance
4.3.1 Connaissance de l'autorité d'évaluation
Tous les évaluateurs doivent avoir connaissance des exigences de l'autorité ou des autorités d'évaluation
applicables aux schémas d'évaluation pour lesquels ils sont autorisés à travailler.
NOTE Parmi ces autorités d'évaluation, on peut par exemple citer l'« Accord de reconnaissance des critères
communs (CCRA, Common Criteria Recognition Agreement) » et le « Groupe des hauts fonctionnaires pour la sécurité
des systèmes d'information (SOG-IS, Senior Officials Group Information Systems Security) ».
Les exigences des autorités d'évaluation peuvent porter sur des sujets tels que :
a) le domaine d'application de l'autorité d'évaluation ;
b) les accords de reconnaissance ;
c) les politiques de l'autorité d'évaluation ;
d) les recommandations pour les schémas d'évaluation, les valideurs et les évaluateurs ;
e) les interprétations ;
f) les documents d'appui ;
g) la connaissance des normes connexes ; et
h) les exigences en matière de qualité.
4.3.2 Connaissance du schéma d'évaluation
Les schémas d'évaluation définissent généralement des aspects opérationnels tels que les politiques et
les modes opératoires qui sont spécifiques au schéma d'évaluation. Ces éléments sont souvent basés sur
le domaine d'application du schéma d'évaluation.
Tous les évaluateurs doivent avoir connaissance des éléments suivants :
a) les exigences du ou des schémas d'évaluation pour lesquels ils sont autorisés à travailler ;
EXEMPLES
— toute politique, réglementation et législation spécifiques au secteur ;
— les exigences d'approbation des laboratoires pour le système d'évaluation ;
— les politiques du schéma d'évaluation en ce qui concerne les projets d'évaluation, y compris les critères
d'entrée, les limites de durée, les exigences en matière de rapports, les exigences en matière de visites sur site ;
— les recommandations pour les valideurs et les évaluateurs ;
— les interprétations spécifiques du schéma d'évaluation ;
— les recommandations spécifiques du schéma d'évaluation ;
© ISO 2018 – Tous droits réservés
11
---------------------- Page: 11 ----------------------
ISO/IEC 19896-3:2018 (F)
— les profils de protection approuvés et leurs documents connexes ;
— les méthodes et activités d'assurance spécifiques du schéma d'évaluation ; et
— les exigences d'établissement de rapports.
b) les exigences de compétences du schéma d'évaluation concernant les évaluateurs.
NOTE À ce sujet, voir l'ISO/IEC 18045:2008, A.5 pour des recommandations concernant les schémas
Formatted: Pattern: Clear
d'évaluation.
Formatted: Pattern: Clear
Formatted: Pattern: Clear
4.3.3 Connaissance du laboratoire et de son système de management
Formatted: Pattern: Clear
Tous les
...
NORME ISO/IEC
INTERNATIONALE 19896-3
Première édition
2018-08
Techniques de sécurité IT — Exigences
de compétence pour les testeurs et les
évaluateurs en matière de sécurité de
l'information —
Partie 3:
Exigences en matière de
connaissances, compétences
et efficacité des spécialistes en
évaluations ISO/IEC 15408
IT security techniques — Competence requirements for information
security testers and evaluators —
Part 3: Knowledge, skills and effectiveness requirements for ISO/IEC
15408 evaluators
Numéro de référence
ISO/IEC 19896-3:2018(F)
© ISO/IEC 2018
---------------------- Page: 1 ----------------------
ISO/IEC 19896-3:2018(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC 19896-3:2018(F)
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Connaissances . . 2
4.1 Généralités . 2
4.2 Connaissance de l'ISO/IEC 15408 et de l'ISO/IEC 18045 . 2
4.2.1 ISO/IEC 15408-1 . 2
4.2.2 ISO/IEC 15408-2 . 2
4.2.3 ISO/IEC 15408-3 . 3
4.2.4 ISO/IEC 18045 . 3
4.3 Connaissance du paradigme de l'assurance . 3
4.3.1 Connaissance de l'autorité d'évaluation . 3
4.3.2 Connaissance du schéma d'évaluation . 4
4.3.3 Connaissance du laboratoire et de son système de management . 4
4.4 Connaissance de la sécurité de l'information . 4
4.5 Connaissance de la technologie évaluée . 5
4.5.1 Connaissance de la technologie évaluée. 5
4.5.2 Profils de protection, paquets et documents connexes . 5
4.6 Connaissances requises pour des classes d'assurance spécifiques. 6
4.7 Connaissances requises lors de l'évaluation d'exigences fonctionnelles de sécurité
spécifiques . 6
4.8 Connaissances nécessaires lors de l'évaluation de technologies spécifiques . 6
5 Savoir-faire . 6
5.1 Savoir-faire d'évaluation de base . 6
5.1.1 Méthodes d'évaluation . 6
5.1.2 Outils d'évaluation . 6
5.2 Savoir-faire d'évaluation de base spécifiés dans l'ISO/IEC 15408-3 et l'ISO/
IEC 18045 . 7
5.2.1 Principes de l'évaluation . 7
5.2.2 Méthodes et activités d'évaluation . 7
5.3 Savoir-faire requis lors de l'évaluation de classes d'assurance de sécurité
spécifiques . 8
5.3.1 Généralités . 8
5.3.2 Classe ADV (Développement) . 8
5.3.3 Classe AGD (Manuels utilisateur) . 9
5.3.4 Classe ALC (Prise en charge du cycle de vie) . 9
5.3.5 Classes ASE et APE (évaluation ST et PP) . 10
5.3.6 Classe ATE (Essais) . 11
5.3.7 Classe AVA (Évaluation de la vulnérabilité) . 11
5.3.8 Classe ACO (Composition) .12
5.4 Savoir-faire requis lors de l'évaluation de classes d'exigences fonctionnelles de
sécurité spécifiques .13
5.4.1 Généralités .13
5.4.2 Savoir-faire requis lors de l'évaluation de la classe FCS (Support
cryptographique) .13
5.5 Savoir-faire nécessaires lors de l'évaluation de technologies spécifiques .13
6 Expérience .13
7 Instruction .13
8 Efficacité .14
iii
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/IEC 19896-3:2018(F)
8.1 Généralités . 14
8.2 Efficacité de l'évaluation . 14
8.3 Responsabilités des schémas d'évaluation concernant l'efficacité des évaluateurs . 14
8.4 Efficacité pour la réalisation d'évaluations en temps opportun . 14
8.5 Efficacité pour la réalisation d'évaluations exactes . 14
8.6 Efficacité concernant le rapportage des résultats . 15
Annexe A (informative) Types de technologie: Connaissances et savoir-faire .16
Annexe B (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences d'assurance de la sécurité .21
Annexe C (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences fonctionnelles de sécurité .29
Bibliographie .33
iv
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/IEC 19896-3:2018(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux. Dans le domaine
des technologies de l'information, l'ISO et l’IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/iso/fr/avant-propos.html.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Une liste de toutes les parties de la série ISO/IEC 19896 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www.iso.org/fr/members.html.
v
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO/IEC 19896-3:2018(F)
Introduction
La série ISO/IEC 15408 permet la comparaison entre des résultats d'évaluations de sécurité
indépendantes. À cet effet, elle propose un ensemble commun d'exigences applicables aux fonctionnalités
de sécurité des produits de technologies de l'information (IT) et aux mesures d'assurance appliquées
à ces produits IT au cours d'une évaluation de sécurité. De nombreux schémas de certification et
d'évaluation ainsi que des autorités d'évaluation ont été élaborés en utilisant la série ISO/IEC 15408 et
l'ISO/IEC 18045 comme base, ce qui permet de comparer les résultats des projets d'évaluation.
Un facteur important pour assurer la comparaison des résultats de ces évaluations consiste à
comprendre que le processus d'évaluation inclut la spécification de mesures d'assurance à la fois
objectives et subjectives. Par conséquent, la compétence des évaluateurs individuels est importante
lorsque la comparaison et la répétabilité des résultats de l'évaluation constituent le fondement de la
reconnaissance mutuelle.
L'ISO/IEC 17025 fournit des exigences générales concernant la compétence des laboratoires d'essai et
d'étalonnage. Dans l'ISO/IEC 17025:2017, 5.2.1, il est précisé que « le personnel effectuant des tâches
spécifiques doit être qualifié sur la base d'une instruction, d'une formation, d'une expérience appropriées
et/ou d'un savoir-faire démontré ».
Le présent document établit une base de référence pour les compétences minimales des évaluateurs
de l'ISO/IEC 15408 dans le but d'établir la conformité des exigences de formation des évaluateurs
professionnels selon l'ISO/IEC 15408 associés aux programmes d'évaluation et aux autorités des
produits IT. Il fournit les exigences spécifiques permettant de démontrer la compétence des personnes
pour effectuer des évaluations de la sécurité des produits IT conformément à l'ISO/IEC 15408 (toutes les
parties) et à l'ISO/IEC 18045. L'ISO/IEC 15408-1 décrit le cadre général des compétences, y compris les
différents éléments de la compétence: connaissances, savoir-faire, expérience, instruction et efficacité.
Le présent document inclut notamment les connaissances et les savoir-faire dans les domaines suivants.
— Sécurité de l'information
Connaissances: Principes de sécurité de l'information, propriétés de sécurité de l'information,
menace et vulnérabilités en matière de sécurité de l'information
Savoir-faire: Comprendre les exigences en matière de sécurité de l'information, comprendre le
contexte
— Évaluation de la sécurité de l'information
Connaissances: Connaissance de l'ISO/IEC 15408 (toutes les parties) et de l'ISO/IEC 18045,
système de management de laboratoire
Savoir-faire: Savoir-faire de base en matière d'évaluation, savoir-faire essentiels en matière
d'évaluation, savoir-faire requis lors de l'évaluation de classes d'assurance de la sécurité spécifiques,
savoir-faire requis lors de l'évaluation de classes d'exigences fonctionnelles de sécurité spécifiques
— Architecture des systèmes d'information
Connaissances: Technologie évaluée
Savoir-faire: Comprendre l'interaction entre les composants de sécurité et les informations
— Essais de sécurité de l'information
Connaissances: Techniques d'essai de la sécurité de l'information, outils d'essai de la sécurité de
l'information, cycle de vie du développement des produits, types d'essais
Savoir-faire: Créer et gérer un plan d'essai de sécurité de l'information, concevoir des essais de
sécurité de l'information, préparer et réaliser des essais de sécurité de l'information
vi
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/IEC 19896-3:2018(F)
Le public visé par le présent document comprend les autorités de validation et de certification, les
organismes de certification des laboratoires d'essai, les schémas d'évaluation, les laboratoires, les
évaluateurs et les organismes proposant des certifications professionnelles.
vii
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO/IEC 19896-3:2018(F)
Techniques de sécurité IT — Exigences de compétence
pour les testeurs et les évaluateurs en matière de sécurité
de l'information —
Partie 3:
Exigences en matière de connaissances, compétences et
efficacité des spécialistes en évaluations ISO/IEC 15408
1 Domaine d'application
Le présent document fournit les exigences spécifiques permettant de démontrer la compétence des
personnes pour effectuer des évaluations de la sécurité des produits IT conformément à l'ISO/IEC 15408
(toutes les parties) et à l'ISO/IEC 18045.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 19896-1, Techniques de sécurité IT — Exigences de compétence pour les testeurs et les évaluateurs
en matière de sécurité de l’information — Partie 1: Introduction, concepts et exigences générales
ISO/IEC 15408 (toutes les parties), Technologies de l’information — Techniques de sécurité — Critères
d’évaluation pour la sécurité TI
ISO/IEC 18045, Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation
pour la sécurité des technologies de l'information — Méthodologie pour l'évaluation de sécurité
ISO/IEC 17025, Exigences générales concernant la compétence des laboratoires d'étalonnages et d'essais
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/IEC 19896-1,
l’ISO/IEC 15408-1 et l’ISO/IEC 17025, l’ISO/IEC 18045 ainsi que les suivants s'appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
schéma d'évaluation
organisation qui assure la mise en œuvre des politiques et d'un ensemble de règles, établies par une
autorité d'évaluation, définissant l'environnement d'évaluation, y compris les critères et la méthodologie
nécessaires pour mener des évaluations de la sécurité des IT
1
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO/IEC 19896-3:2018(F)
3.2
méthode subjective
méthode fondée sur l'expérience et la compréhension d'une personne donnée
4 Connaissances
4.1 Généralités
Les connaissances sont ce qu'un évaluateur connaît et peut décrire. Les paragraphes 4.2 à 4.8
traitent des connaissances nécessaires pour l'évaluation selon l'ISO/IEC 15408 (toutes les parties) et
l'ISO/IEC 18045.
4.2 Connaissance de l'ISO/IEC 15408 et de l'ISO/IEC 18045
4.2.1 ISO/IEC 15408-1
Tous les évaluateurs doivent avoir connaissance des éléments suivants:
a) les termes et définitions définis dans l'ISO/IEC 15408-1;
b) les termes et définitions définis dans l'ISO/IEC 18045;
c) le contexte pour les évaluations selon l'ISO/IEC 15408;
d) le modèle général de la série ISO/IEC 15408 donné dans l'ISO/IEC 15408-1;
e) la personnalisation des exigences de sécurité: opérations, dépendances entre composants et
composants étendus;
f) les profils et les paquets de protection;
g) les résultats de l'évaluation; et
h) la spécification des cibles de sécurité.
4.2.2 ISO/IEC 15408-2
Tous les évaluateurs doivent avoir connaissance des exigences fonctionnelles de sécurité (SFR) de
l'ISO/IEC 15408-2 qui sont utilisées pour les types de technologie avec lesquels l'évaluateur est autorisé
à travailler, ainsi que de toute SFR dépendante. Les classes de SFR données dans l'ISO/IEC 15408-2 sont
les suivantes:
a) audit de sécurité (FAU);
b) communication (FCO);
c) support cryptographique (FCS);
d) protection des données utilisateur (FDP);
e) identification et authentification (FIA);
f) gestion de la sécurité (FMT);
g) confidentialité des données (FPR);
h) protection des fonctions de sécurité de la cible d'évaluation (FPT);
i) utilisation des ressources (FRU);
j) accès à la cible d'évaluation (FTA); et
2
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/IEC 19896-3:2018(F)
k) chemin/canaux de confiance (FTP).
4.2.3 ISO/IEC 15408-3
Tous les évaluateurs doivent avoir connaissance des exigences d'assurance de sécurité (SAR) données
dans l'ISO/IEC 15408-3 qui sont spécifiées par les cibles de sécurité (ST) avec lesquelles l'évaluateur est
autorisé à travailler. La connaissance des composants particuliers de SAR doit comprendre ceux pour
lesquels l'évaluateur est autorisé à travailler. Les classes de SAR données dans l'ISO/IEC 15408-3 sont
les suivantes:
a) développement (ADV);
b) manuel utilisateur (AGD);
c) prise en charge du cycle de vie (ALC);
d) structure de la cible de sécurité (ASE);
e) structure du profil de protection (APE);
f) essais (ATE);
g) évaluation de la vulnérabilité (AVA); et
h) composition (ACO).
4.2.4 ISO/IEC 18045
Tous les évaluateurs doivent avoir connaissance des éléments suivants:
a) le processus d'évaluation: ce processus est décrit dans l'ISO/IEC 18045:2008, Article 8; et
b) la méthode et les activités d'évaluation de la sécurité: ces informations sont données dans
l'ISO/IEC 18045.
4.3 Connaissance du paradigme de l'assurance
4.3.1 Connaissance de l'autorité d'évaluation
Tous les évaluateurs doivent avoir connaissance des exigences de l'autorité ou des autorités d'évaluation
applicables aux schémas d'évaluation pour lesquels ils sont autorisés à travailler.
NOTE Parmi ces autorités d'évaluation, on peut par exemple citer l'« Accord de reconnaissance des critères
communs (CCRA, Common Criteria Recognition Agreement) » et le « Groupe des hauts fonctionnaires pour la
sécurité des systèmes d'information (SOG-IS, Senior Officials Group Information Systems Security) ».
Les exigences des autorités d'évaluation peuvent porter sur des sujets tels que:
a) le domaine d'application de l'autorité d'évaluation;
b) les accords de reconnaissance;
c) les politiques de l'autorité d'évaluation;
d) les recommandations pour les schémas d'évaluation, les valideurs et les évaluateurs;
e) les interprétations;
f) les documents d'appui;
g) la connaissance des normes connexes; et
3
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO/IEC 19896-3:2018(F)
h) les exigences en matière de qualité.
4.3.2 Connaissance du schéma d'évaluation
Les schémas d'évaluation définissent généralement des aspects opérationnels tels que les politiques et
les modes opératoires qui sont spécifiques au schéma d'évaluation. Ces éléments sont souvent basés sur
le domaine d'application du schéma d'évaluation.
Tous les évaluateurs doivent avoir connaissance des éléments suivants:
a) les exigences du ou des schémas d'évaluation pour lesquels ils sont autorisés à travailler;
EXEMPLES
— toute politique, réglementation et législation spécifiques au secteur;
— les exigences d'approbation des laboratoires pour le système d'évaluation;
— les politiques du schéma d'évaluation en ce qui concerne les projets d'évaluation, y compris les critères
d'entrée, les limites de durée, les exigences en matière de rapports, les exigences en matière de visites
sur site;
— les recommandations pour les valideurs et les évaluateurs;
— les interprétations spécifiques du schéma d'évaluation;
— les recommandations spécifiques du schéma d'évaluation;
— les profils de protection approuvés et leurs documents connexes;
— les méthodes et activités d'assurance spécifiques du schéma d'évaluation; et
— les exigences d'établissement de rapports.
b) les exigences de compétences du schéma d'évaluation concernant les évaluateurs.
NOTE À ce sujet, voir l'ISO/IEC 18045:2008, A.5 pour des recommandations concernant les schémas
d'évaluation.
4.3.3 Connaissance du laboratoire et de son système de management
Tous les évaluateurs doivent avoir connaissance des éléments suivants:
a) le système de management du laboratoire, y compris les politiques, processus et modes opératoires
qui s'appliquent aux évaluateurs;
b) les méthodes approuvées par le laboratoire; et
c) les exigences du laboratoire en matière de compétences.
NOTE La mise en œuvre des systèmes de gestion est très variable. Toutefois, il est fréquent que des éléments
tels que le contrôle des documents, des enregistrements, des travaux d'essai et/ou d'étalonnage en cas de non-
conformité, le traitement des dossiers techniques et les conflits d'intérêts relèvent de la responsabilité directe
des évaluateurs. La plupart des systèmes de management de laboratoire sont fondés sur l'ISO/IEC 17025.
4.4 Connaissance de la sécurité de l'information
Tous les évaluateurs doivent avoir connaissance des éléments suivants:
a) principes de sécurité;
b) propriétés de sécurité;
c) mécanismes d'attaque;
4
© ISO/IEC 2018 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO/IEC 19896-3:2018(F)
d) concepts de potentiel d'attaque;
e) cycle de vie de développement sécurisé;
f) essais de sécurité; et
g) vulnérabilités et faiblesses.
4.5 Connaissance de la technologie évaluée
4.5.1 Connaissance de la technologie évaluée
L'ISO/IEC 15408 (toutes les parties) et l'ISO/IEC 18045 peuvent être utilisées pour l'évaluation d'une
grande variété de technologies de l'information. Ces technologies sont souvent classées en différents
types de technologies par des schémas d'évaluation, des autorités d'évaluation ou autres.
Tous les évaluateurs doivent avoir connaissance des types de technologies de l'information qu'ils
évaluent, y compris les architectures de sécurité communes déployées pour ce type de technologie.
NOTE L'Annexe A fournit une liste informative de sujets de connaissance présentés par des types de
technologie couramment identifiés.
EXEMPLE Les types de technologie couramment identifiés comprennent notamment:
— les dispositifs et systèmes de contrôle d'accès;
— le chiffrement, les systèmes de gestion de clés et de PKI (infrastructure de clé publique), les produits pour
signatures numériques;
— les bases de données;
— les systèmes d'exploitation;
— les réseaux et les équipements et systèmes liés au réseau;
— les dispositifs et systèmes mobiles;
— les dispositifs multifonctions;
— les circuits intégrés, les cartes à puce et les dispositifs et systèmes liés aux cartes à puce;
— les dispositifs matéri
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.