ISO/IEC FDIS 15408-4
(Main)Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities
Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities
This document provides a standardized framework for specifying objective, repeatable and reproducible evaluation methods and evaluation activities. This document does not specify how to evaluate, adopt, or maintain evaluation methods and evaluation activities. These aspects are a matter for those originating the evaluation methods and evaluation activities in their particular area of interest.
Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Partie 4: Cadre de spécification de méthodes et activités d'évaluation
General Information
- Status
- Not Published
- Current Stage
- 5020 - FDIS ballot initiated: 2 months. Proof sent to secretariat
- Start Date
- 08-Dec-2025
- Completion Date
- 08-Dec-2025
Relations
- Effective Date
- 27-Apr-2024
- Effective Date
- 28-Oct-2023
Overview
ISO/IEC FDIS 15408-4, titled Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities, is a standardized framework developed by ISO and IEC. It provides a systematic approach to define objective, repeatable, and reproducible evaluation methods and activities in IT security assessments. The standard focuses on creating a clear specification structure for these methods and activities but does not prescribe how to evaluate, adopt, or maintain them. This responsibility lies with those developing evaluation methods within their specific domain or area of interest.
Key Topics
Evaluation Method Specification
The document details the structure of evaluation methods, including their identification, scope, dependencies, input requirements, required tools, evaluator competencies, reporting requirements, and the rationale supporting each method.Evaluation Activities Framework
It establishes a model for evaluation activities, breaking down their specification into unique identifiers, objectives, relationships to Security Functional Requirements (SFRs) and Security Assurance Requirements (SARs), inputs, tools, assessment strategies, pass/fail criteria, and reporting obligations.General Model and Concepts
The framework introduces a general model that guides the derivation of specific evaluation methods and activities from generic work units (such as those in ISO/IEC 18045) to accommodate various technology-specific and context-specific needs.Verb Usage and Conventions
Clear conventions and verb usage guidelines are prescribed for unambiguously describing evaluation methods and activities, promoting standardized documentation and communication.
Applications
ISO/IEC FDIS 15408-4 is applicable for organizations and professionals involved in:
IT Security Evaluations
It supports evaluators in consistently applying rigorous, objective criteria when assessing the security properties of IT products and systems following Common Criteria principles.Development of Security Protection Profiles and Targets
The framework enables the precise specification of evaluation activities within Protection Profiles (PPs), PP-Modules, packages, or Security Targets (STs), guiding evaluation authorities and practitioners.Cybersecurity Assurance Programs
By standardizing how evaluation methods are defined and documented, this standard facilitates the development and execution of cybersecurity assurance programs and audits.Certification and Accreditation
Certification bodies can align their evaluation processes with internationally recognized best practices, ensuring fair, transparent, and reproducible assessment outcomes.
Related Standards
ISO/IEC 15408-1 (Common Criteria Part 1)
Provides the foundational concepts and general model for security evaluations to which Part 4 aligns closely.ISO/IEC 18045
Specifies general evaluation methods and activities that serve as work units for development in ISO/IEC FDIS 15408-4.ISO/IEC 15408-3 (Common Criteria Part 3)
Covers security assurance requirements and authorizes the use of evaluation activities defined in Part 4.ISO/IEC JTC 1/SC 27
The technical committee responsible for information security, cybersecurity, and privacy protection standards, including this framework.
Benefits
Consistency and Repeatability
Enables the repeatable and objective evaluation of IT security measures, increasing trustworthiness of results.Customizability
Supports derivation of evaluation activities tailored to specific technologies, regulatory environment, or organizational requirements.Clear Documentation and Communication
Promotes well-structured descriptions and consistent terminology for evaluation methods enhancing clarity within the cybersecurity community.International Recognition
Aligns with global cybersecurity standards facilitating international collaboration and acceptance.
For organizations seeking a robust framework to define and document IT security evaluation methods and activities, ISO/IEC FDIS 15408-4 represents an essential resource to ensure rigorous, transparent, and scalable cybersecurity assessments.
ISO/IEC FDIS 15408-4 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 4: Framework for the specification of evaluation methods and activities Released:11/24/2025
REDLINE ISO/IEC FDIS 15408-4 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 4: Framework for the specification of evaluation methods and activities Released:11/24/2025
ISO/IEC FDIS 15408-4 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Partie 4: Cadre de spécification de méthodes et activités d'évaluation Released:22. 12. 2025
Frequently Asked Questions
ISO/IEC FDIS 15408-4 is a draft published by the International Organization for Standardization (ISO). Its full title is "Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities". This standard covers: This document provides a standardized framework for specifying objective, repeatable and reproducible evaluation methods and evaluation activities. This document does not specify how to evaluate, adopt, or maintain evaluation methods and evaluation activities. These aspects are a matter for those originating the evaluation methods and evaluation activities in their particular area of interest.
This document provides a standardized framework for specifying objective, repeatable and reproducible evaluation methods and evaluation activities. This document does not specify how to evaluate, adopt, or maintain evaluation methods and evaluation activities. These aspects are a matter for those originating the evaluation methods and evaluation activities in their particular area of interest.
ISO/IEC FDIS 15408-4 is classified under the following ICS (International Classification for Standards) categories: 35.030 - IT Security. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC FDIS 15408-4 has the following relationships with other standards: It is inter standard links to ISO 18113-3:2022, ISO/IEC 15408-4:2022. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC FDIS 15408-4 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
FINAL DRAFT
International
Standard
ISO/IEC
FDIS
15408-4
ISO/IEC JTC 1/SC 27
Information security, cybersecurity
Secretariat: DIN
and privacy protection —
Voting begins on:
Evaluation criteria for IT security —
2025-12-08
Part 4:
Voting terminates on:
2026-02-02
Framework for the specification of
evaluation methods and activities
Sécurité de l'information, cybersécurité et protection de la vie
privée — Critères d'évaluation pour la sécurité des technologies
de l'information —
Partie 4: Cadre prévu pour la spécification des méthodes
d'évaluation et des activités connexes
RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT,
WITH THEIR COMMENTS, NOTIFICATION OF ANY
RELEVANT PATENT RIGHTS OF WHICH THEY ARE AWARE
AND TO PROVIDE SUPPOR TING DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO
ISO/CEN PARALLEL PROCESSING LOGICAL, COMMERCIAL AND USER PURPOSES, DRAFT
INTERNATIONAL STANDARDS MAY ON OCCASION HAVE
TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL
TO BECOME STAN DARDS TO WHICH REFERENCE MAY BE
MADE IN NATIONAL REGULATIONS.
Reference number
ISO/IEC FDIS 154084:2025(en) © ISO/IEC 2025
FINAL DRAFT
International
Standard
ISO/IEC
FDIS
15408-4
ISO/IEC JTC 1/SC 27
Information security, cybersecurity
Secretariat: DIN
and privacy protection —
Voting begins on:
Evaluation criteria for IT security —
Part 4:
Voting terminates on:
Framework for the specification of
evaluation methods and activities
Sécurité de l'information, cybersécurité et protection de la vie
privée — Critères d'évaluation pour la sécurité des technologies
de l'information —
Partie 4: Cadre prévu pour la spécification des méthodes
d'évaluation et des activités connexes
RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT,
WITH THEIR COMMENTS, NOTIFICATION OF ANY
RELEVANT PATENT RIGHTS OF WHICH THEY ARE AWARE
AND TO PROVIDE SUPPOR TING DOCUMENTATION.
© ISO/IEC 2025
IN ADDITION TO THEIR EVALUATION AS
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO
ISO/CEN PARALLEL PROCESSING
LOGICAL, COMMERCIAL AND USER PURPOSES, DRAFT
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
INTERNATIONAL STANDARDS MAY ON OCCASION HAVE
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL
or ISO’s member body in the country of the requester.
TO BECOME STAN DARDS TO WHICH REFERENCE MAY BE
MADE IN NATIONAL REGULATIONS.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland Reference number
ISO/IEC FDIS 154084:2025(en) © ISO/IEC 2025
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
4 General model of evaluation methods and evaluation activities . 2
4.1 Concepts and model .2
4.2 Deriving evaluation methods and evaluation activities .3
4.3 Verb usage in the description of evaluation methods and evaluation activities .6
4.4 Conventions for the description of evaluation methods and evaluation activities .6
5 Structure of an evaluation method . 6
5.1 Overview .6
5.2 Specification of an evaluation method .7
5.2.1 Overview .7
5.2.2 Identification of evaluation methods .8
5.2.3 Entity responsible for the evaluation method .8
5.2.4 Scope of the evaluation method .9
5.2.5 Dependencies .9
5.2.6 Required input from the developer or other entities .9
5.2.7 Required tool types .10
5.2.8 Required evaluator competences .10
5.2.9 Requirements for reporting .10
5.2.10 Rationale for the evaluation method .10
5.2.11 Additional verb definitions . 12
5.2.12 Set of evaluation activities. 12
6 Structure of evaluation activities .12
6.1 Overview . 12
6.2 Specification of an evaluation activity . 12
6.2.1 Unique identification of the evaluation activity . 12
6.2.2 Objective of the evaluation activity . 12
6.2.3 Evaluation activity links to SFRs, SARs, and other evaluation activities . 13
6.2.4 Required input from the developer or other entities . 13
6.2.5 Required tool types . 13
6.2.6 Required evaluator competences . 13
6.2.7 Assessment strategy . 13
6.2.8 Pass/fail criteria .14
6.2.9 Requirements for reporting . 15
6.2.10 Rationale for the evaluation activity . 15
Bibliography .16
© ISO/IEC 2025 – All rights reserved
iii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO/IEC 15408-4:2022), which has been
technically revised.
The main changes are as follows:
— minor typographical and editorial errors corrected.
A list of all parts in the ISO 15408 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
© ISO/IEC 2025 – All rights reserved
iv
Introduction
The model of security evaluation in ISO/IEC 15408-1 identifies that high-level generic evaluation activities
are defined in ISO/IEC 18045, but that more specific evaluation activities (EAs) can be defined as technology-
specific adaptations of these generic activities for particular evaluation contexts, e.g. for security functional
requirements (SFRs) or security assurance requirements (SARs) applied to specific technologies or
target of evaluation (TOE) types. Specification of such evaluation activities is already occurring amongst
practitioners, and this creates a need for a specification for defining such evaluation activities.
This document describes a framework that can be used for deriving evaluation activities from work units
of ISO/IEC 18045 and grouping them into evaluation methods (EMs). Evaluation activities or evaluation
methods can be included in protection profiles (PPs) and any documents supporting them. Where a PP, PP-
Configuration, PP-Module, package, or Security Target (ST) identifies that specific evaluation methods/
evaluation activities must be used, the evaluators are required by ISO/IEC 18045 to follow and report
the relevant evaluation methods/evaluation activities when assigning evaluator verdicts. As noted in
ISO/IEC 15408-1, in some cases an evaluation authority can decide not to approve the use of particular
evaluation methods/evaluation activities. In such a case, the evaluation authority can decide not to carry out
evaluations following an ST that requires those evaluation methods/evaluation activities.
This document also allows for evaluation activities to be defined for extended SARs, in which case derivation
of the evaluation activities relates to equivalent evaluator action elements and work units defined for that
extended SAR. Where reference is made in this document to the use of ISO/IEC 18045 or ISO/IEC 15408-3
for SARs (such as when defining rationales for evaluation activities), then, in the case of an extended SAR,
the reference applies instead to the equivalent evaluator action elements and work units defined for that
extended SAR.
For clarity, this document specifies how to define evaluation methods and evaluation activities but does not
itself specify instances of evaluation methods or evaluation activities.
© ISO/IEC 2025 – All rights reserved
v
FINAL DRAFT International Standard ISO/IEC FDIS 15408-4:2025(en)
Information security, cybersecurity and privacy protection —
Evaluation criteria for IT security —
Part 4:
Framework for the specification of evaluation methods and
activities
1 Scope
This document specifies requirements and a standardized framework for specifying objective, repeatable
and reproducible evaluation methods and evaluation activities.
This document does not specify how to evaluate, adopt, or maintain evaluation methods and evaluation
activities. These aspects are a matter for those originating the evaluation methods and evaluation activities
in their particular area of interest.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 15408-1, Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security — Part 1: Introduction and general model
ISO/IEC 15408-2, Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security — Part 2: Security functional components
1)
ISO/IEC 15408-3:— , Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security — Part 3: Security assurance components
2)
ISO/IEC 18045:— , Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security — Requirements and methodology for IT security evaluation
3 Terms, definitions and abbreviated terms
For the purposes of this document, the terms and definitions given in ISO/IEC 15408-1, ISO/IEC 15408-2,
ISO/IEC 15408-3, ISO/IEC 18045 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
1) Under preparation. Stage at the time of publication: ISO/IEC FDIS 15408-3:2025.
2) Under preparation. Stage at the time of publication: ISO/IEC FDIS 18045:2025.
© ISO/IEC 2025 – All rights reserved
4 General model of evaluation methods and evaluation activities
4.1 Concepts and model
ISO/IEC 18045 defines a generic set of work units that an evaluator carries out in order to reach a verdict
for most of the assurance classes, families and components defined in ISO/IEC 15408-3. The relationship
between the structure of a SAR in ISO/IEC 15408-3 and the work units in ISO/IEC 18045 is described in
ISO/IEC 18045 and summarized in Figure 1 showing that the derivation is flexible and not required to be
simply 1:1).
Figure 1 — Mapping of P3 and CEM to this document
For the purposes of defining new evaluation methods and evaluation activities, the main point to note is that
each action (representing an evaluator action element in ISO/IEC 15408-3 or an implied evaluator action
element) is represented in ISO/IEC 18045 as a set of work units that are carried out by an evaluator.
This document specifies the ways in which new evaluation activities can be derived from the generic work
units in ISO/IEC 18045, and combined into an evaluation method that is intended for use in some particular
evaluation context. A typical example of such an evaluation context is a particular TOE type or particular
technology type.
EXAMPLE 1
— TOE type: a network device
— Technology type: specific cryptographic functions
If evaluation methods (EM) and evaluation activities (EA) are required to be used with a particular PP, PP-
Module or PP-Configuration, then a PP or PP-Module or PP-Configuration shall identify this requirement in
its conformance statement. If evaluation methods and evaluation activities are required to be used with a
particular package, then the package shall identify this requirement in the security requirement section.
If EMs and EAs are claimed by an ST as a result of that ST claiming conformance to a PP, PP-Configuration,
or package, then the ST shall identify the EMs/EAs used in its conformance claim. No formal claim of
conformance to this document made in any of these cases.
NOTE 1 The contents of PPs, PP-Modules, PP-Configurations and packages are described in more detail in
ISO/IEC 15408-1.
© ISO/IEC 2025 – All rights reserved
A PP, PP-Configuration, PP-Module or package may use more than one evaluation method or separate set of
evaluation activities.
EXAMPLE 2 Multiple evaluation methods can be used where separate evaluation methods have been defined for
cryptographic operations and for secure channel protocols used in a PP.
NOTE 2 Where exact conformance is used, ISO/IEC 15408-1 states that evaluation methods/evaluation activities
are not allowed to be defined in a PP-Configuration: the evaluation methods/evaluation activities to be used are
included in the PPs and PP-Modules and not in the PP-Configuration).
When a PP, PP-Module, PP-Configuration, or package identifies that certain evaluation methods/evaluation
activities shall be used, then this is done using a standard wording that states the requirement and
references the definition of the evaluation methods/evaluation activities to be used. An ST shall only
identify required evaluation methods and evaluation activities that are included in a PP, PP-Module, PP-
Configuration or package to which the ST claims conformance (i.e. the ST itself shall not add, modify or
remove any evaluation methods or evaluation activities). An ST shall include identification of all evaluation
methods/evaluation activities that it requires (i.e. including any that are required by PPs, PP-Modules, PP-
Configurations, or packages to which the ST claims conformance), so that there is a single list that can be
checked and referenced by evaluators and readers of the ST.
Evaluation methods and evaluation activities may be defined as part of a PP or required externally in a
different document (or in a combination of both). Although identification is required as described in the
paragraph above, it is not necessary to reproduce the text of the evaluation methods/evaluation activities in
other documents. For example, an ST is not required to include the full text of the evaluation methods and
evaluation activities from a PP to which it claims conformance.
4.2 Deriving evaluation methods and evaluation activities
In general, defining evaluation activities and evaluation methods can start either from an SAR, aiming to
make some or all parts of its work units more specific, or from an SFR, aiming to define specific aspects of
work units related to that SFR.
When starting from an SAR, the process is as follows.
— Identify the relevant ISO/IEC 18045 work units from which at least one individual evaluation activity or
groups of evaluation activities shall be derived;
— For each work unit from which an evaluation activity is derived:
— define the new evaluation activities in terms of the specific work to be carried out and evaluation
criteria as described in 6.2 (including, if required, pass/fail criteria as described in 6.2.8);
— group evaluation activities into an evaluation method if necessary;
— state the rationale for the new evaluation activities and the evaluation method under which they are
grouped as described in 5.2.10 and 6.2.10.
EXAMPLE 1 A rationale can include reference to the developer action, and content and presentation elements of the
work units from which they are derived.
A process for starting from an SFR is as follows:
— identify the relevant SFR,
— identify the SARs (from ISO/IEC 15408-3 or a set of extended SARs, or both) to be addressed for
that particular SFR, and the corresponding ISO/IEC 18045 work units,
— define the new evaluation activities in terms of the specific work to be carried out and evaluation
criteria as described in 6.2 (including, if required, pass/fail criteria as described in 6.2.8). For
example, evaluation activities can be defined to:
© ISO/IEC 2025 – All rights reserved
— examine the presentation of a specific SFR in the TOE Summary Specification [derived from class
ASE (Security Target (ST) evaluation) (see ISO/IEC 15408-3:—, Clause 9)],
— examine the presentation of the SFR in the guidance documentation [derived from class AGD
(Guidance documents) (see ISO/IEC 15408-3:—, Clause 11)],
— to carry out specific tests of the SFR [derived from class ATE (Tests) (see ISO/IEC 15408-3:—,
Clause 13)].
— map the affected work units for the SARs to the new evaluation activities;
— state the rationale for the new evaluation activities, and the evaluation method under which they are
grouped, as described in 5.2.10 and 6.2.10.
Although an author may choose to start from SARs or SFRs, it is noted that SARs ultimately cover all SFRs.
Starting from SFRs as described here is a technique that can be useful when clarifying the detail of how an
SAR applies to a particular SFR, and that can be useful for presenting SFRs alongside the description of their
evaluation activities.
It is not required to have a 1:1 mapping between work units and new evaluation activities, and the actual
correspondence is documented in a rationale (as described in 5.2.10). The derivation may be made in terms
of individual work units or groups of work units, and this is depicted in Figure 2. In case a) of Figure 2, the
author maps each work unit from ISO/IEC 18045 to a corresponding evaluation activity, while in case b), the
author maps different numbers of work units and evaluation activities, while still addressing all aspects of
an action (i.e. the collection of work units).
Figure 2 — Alternative approaches to mapping CEM to derived evaluation activities
Other approaches are possible depending on the content of the specific work units and evaluation activities:
even where the same number of work units and evaluation activities exist, a simple 1:1 mapping is sometimes
© ISO/IEC 2025 – All rights reserved
not possible and therefore a mapping at the action level can be appropriate. Some more detailed mapping
situations are described in the examples below.
NOTE These examples assume that the evaluation activities described are being defined by a community that can
judge the suitability of the rationale for completeness of the evaluation activities. The examples are concerned only
with the form and structure of the mappings, not with the nature or acceptance of the completeness rationale.
EXAMPLE 2 For a TOE type that includes both software and hardware, additional evaluation activities can be defined
to deal with the manufacturing environment and its processes. Considering the ALC_DVS (Developer environment
security) (see ISO/IEC 15408-3:—, 12.5) family, a possible approach is to adopt all the existing ALC_DVS (Developer
environment security) (see ISO/IEC 15408-3:—, 12.5) work units for the software development environment and to
define additional evaluation activities for each of the relevant hardware and manufacturing aspects. These aspects
can include extensions of the normal ALC_DVS (Developer environment security) (see ISO/IEC 15408-3:—, 12.5)
scope to additional items such as protection of hardware design in the development environment, secure transfer of
software from the development environment to the manufacturing environment, security of the manufacturing site,
and protection of the manufactured product while awaiting delivery. They can also include new aspects related to
objects and processes that arise only in the manufacturing environment, such as:
— confirming that the firmware used on a manufacturing line is reliably obtained from the authorized version
created on the firmware build system;
— checking configuration management of test programs for testing the TOE on the manufacturing line;
— confirming that processes to disable test or debug interfaces on the TOE operate correctly and reliably;
— examining the physical and logical security of key management systems used to inject keys or certificates into the
TOE during manufacture.
In this example, the original ALC_DVS.1.1E (see ISO/IEC 15408-3:—, 12.5.4) action is mapped to include all
the new evaluation activities. An alternative approach is to define additional evaluation activities for each
individual work unit for ALC_DVS.1.1E (see ISO/IEC 15408-3:—, 12.5.4), identifying the additional activities
to cover the manufacturing environment for that work unit.
EXAMPLE 3 Another example can be if AVA_VAN.1 (Vulnerability survey) (see ISO/IEC 15408-3:—, 14.3.3)
vulnerability analysis is applied to a particular type of TOE, and there is a specific requirement to achieve consistency
in the public domain vulnerability sources used. A possible approach is to define an evaluation activity that covers
the AVA_VAN (Vulnerability analysis) (see ISO/IEC 15408-3:—, 14.3) work unit dealing with searching public domain
sources by specifying the particular sources to be used. It is possible to do this with particular searches to be carried
out and decision criteria for selecting a resulting list of potential vulnerabilities to be analysed and tested. In this
example the original AVA_VAN.1–3 (see ISO/IEC 18045:—, 16.3.1.5.2) work unit is mapped to the new evaluation
activity.
EXAMPLE 4
— For an evaluation method to be used with hardware such as an integrated circuit, evaluation activities can be
defined to examine the circuit's architecture, defining required inputs that give the evaluator specific details about
the operations and information available through the circuit's interfaces. The definition of these required inputs
can then make clear that the relevant interfaces include the circuit's physical surface, its executable programming
instructions, and its communication interfaces.
— Further evaluation activities within the evaluation method can examine the circuit's resistance against physical
probing in order to prevent manipulating or disabling TSF features.
— For testing activities, evaluation activities within the evaluation method can define a required input that presents
the circuit's design as a flow chart of security functions permeating through the circuit's subsystems. The flow
chart can then be used by the evaluator to create test cases and to confirm the test coverage of the circuit.
EXAMPLE 5
— For a TOE type such as a network device that provides cryptographically verifiable firmware updates, evaluation
activities can give specific details of how the evaluator is required to review the Security Target and guidance
documentation to confirm certain specific characteristics required of the cryptographic update process.
— Other evaluation activities can define specific test cases covering the verification of the current firmware, the
availability of updates, fetching updates, verifying the source of the updates using cryptographic signatures, and
the use of specific types of invalid update in order to test the TOE's acceptance functions.
© ISO/IEC 2025 – All rights reserved
4.3 Verb usage in the description of evaluation methods and evaluation activities
Where a verb is defined in ISO/IEC 15408-1 then the description of evaluation activities shall use those verbs
only in accordance with the definitions. Alternative verbs may be used in an evaluation method for use in
its evaluation activities provided that the alternative verbs are defined in the evaluation method. Any such
verb definition shall make clear the extent to which evaluator judgement (as opposed to simple checking) is
involved.
EXAMPLE An evaluation method that includes automated test generation for a protocol can define a verb “cover”,
applied to enumerated types in a protocol parameter, to mean trying all defined and undefined values of the parameter
within the available parameter length. Then evaluation activities can be written in forms such as “The evaluator shall
cover the PaymentMode field”.
4.4 Conventions for the description of evaluation methods and evaluation activities
Conventions used in ISO/IEC 15408-3 and ISO/IEC 18045 support consistency within, and between, the
descriptions of evaluation methods and evaluation activities.
All work unit and sub-task verbs are preceded by the auxiliary verb “shall” and by presenting both the
verb and the “shall” in bold italic type face. The auxiliary verb “shall” is used only when the provided text is
mandatory and therefore only within the work units and sub-tasks. The work units and sub-tasks contain
mandatory activities that the evaluator shall perform in order to assign verdicts.
Guidance text accompanying work units and sub-tasks gives further explanation on how to apply the work
units and sub-tasks in an evaluation.
5 Structure of an evaluation method
5.1 Overview
An evaluation method and its constituent evaluation activities are defined for use in a particular evaluation
context. For example, separate evaluation methods may be defined for specific technology areas which can
range from specific functions up to specific product types or even in extreme cases, for a specific product
when the product is evaluated for unique features but where there is a requirement to have the product
evaluated using a separately defined method that supports visibility, repeatability and reproducibility of the
evaluation.
EXAMPLE Evaluation contexts for which separate evaluation methods can be defined are:
— specific product types like network devices, smart cards, biometric devices, mobile devices;
— specific security functions reused for multiple product types, such as cryptographic functions, cryptographic
protocols, digital certificate validation, identification and authentication schemes.
An evaluation method comprises a collection of individual evaluation activities, with additional information
about the way in which the evaluation activities collectively meet a goal related to an identified evaluation
context.
The description of an evaluation method includes:
— identification of the entity that is responsible for definition and maintenance of the evaluation method;
— the intended scope of the evaluation method, identifying the objective for deriving the evaluation
activities in the evaluation method, the evaluation context in which it is intended to be applied, and any
known limitation of, or aspects not intended to be covered by, the evaluation method;
— any tool types and/or evaluator competences required to carry out the evaluation activities contained in
the evaluation method;
— any requirements for reporting on the results of applying the evaluation method;
© ISO/IEC 2025 – All rights reserved
— identification of each work unit in ISO/IEC 18045 (or equivalent for an extended SAR) that is addressed
by the evaluation activities in the evaluation method;
— identification of any extended SARs from which an evaluation method is derived (if applicable);
— any additional verbs used in the description of evaluation activities in place of verbs defined in
ISO/IEC 15408-1.
Further description of the content, including identification of which content elements are mandatory,
and how content elements may be distributed between evaluation method and its evaluation activities, is
given in 5.2 and 6.2 and is summarized in Table 1. Where a content element is optional (e.g. identification
of specific evaluator competences, or required tool types), then that part may simply be omitted from the
relevant definition: it is not necessary to include a blank section.
5.2 Specification of an evaluation method
5.2.1 Overview
An evaluation method is specified in terms of the information identified in 5.2.2 to 5.2.12. No specific
format is required for providing or presenting this information, except where stated for individual elements
in 5.2.2 to 5.2.12. The purpose of specifying the description of an evaluation method in 5.2.2 to 5.2.12 is
to ensure that the assurance techniques used in an evaluation can be unambiguously identified, and that
the evaluation method is used appropriately (in the context for which it was intended) and in a way that
supports consistent evaluation results.
In general, the description of an evaluation method can be taken to include the descriptions of the individual
evaluation activities that it contains. This means that aspects of the evaluation method description may be
deduced from the evaluation activity descriptions.
Figure 3 illustrates the content described in this document for an evaluation method. It does not define a
mandatory structure for describing an evaluation method.
Figure 3 — Contents of an evaluation method
© ISO/IEC 2025 – All rights reserved
The contents shown in Figure 3 are described in more detail in 5.2.2 to 5.2.12 and 6.2. A summary of the
mandatory and optional requirements for specifying evaluation methods and evaluation activities is given
in Table 1.
Table 1 — Distribution of content between evaluation methods and evaluation activities
Content element Evaluation method Evaluation activity
Identifier Mandatory Mandatory
Entity Responsible Mandatory Not applicable
Scope Mandatory Not applicable
Dependencies Optional Optional
Required inputs Mandatory Mandatory
Required tool types Optional Optional
Required evaluator competences Optional Optional
Requirements for reporting Optional Optional
Rationale Mandatory Mandatory
Evaluation activities Mandatory Not applicable
Additional verb definitions Optional Not applicable
Objective Not applicable Mandatory
Evaluation activity links to SFRs, SARs and other evaluation activities Not applicable Optional
Assessment strategy Not applicable Mandatory
Pass/fail criteria Not applicable Optional
5.2.2 Identification of evaluation methods
The definition of an evaluation method shall include a unique identifier in order to unambiguously identify
the set of evaluation activities to be applied in any given evaluation. An identifier shall be assigned at the
evaluation method level (rather than just at the level of the evaluation activities it contains), reflecting the
fact that an evaluation method is intended to be applied as a whole, and is subject to rationale and defined
purpose and objectives at this level. If a set of evaluation activities has been grouped into an evaluation
method, then it shall only be identified as the same evaluation method when the complete set of evaluation
activities in the evaluation method is used, with the same rationale as contained in the original evaluation
method. If there is a need to divide the evaluation method into smaller subsets of evaluation activities, then
a separate evaluation method, with its own rationale, shall be defined for each subset.
EXAMPLE 1 A unique identifier expressed by the title and version number of a supporting document or PP
containing the evaluation method.
EXAMPLE 2 An identifier obtained from a registration authority.
As described in 5.2.10, an evaluation method may be overlain by another evaluation method (e.g. for use in
other PPs or PP-Modules). In such a case, if the original evaluation method rationale still holds (as described
in 5.2.10), then the identifier of the original evaluation method shall be used. However, if the rationale is
changed as part of the overlay, then a separate identifier defined in the relevant PP-Module, PP-Configuration
or PP shall be used. The intention here is to ensure that a significant change to the rationale results in a
different identifier being used.
5.2.3 Entity responsible for the evaluation method
The definition of an evaluation method shall state the entity that is responsible for the definition and
maintenance of the evaluation method.
EXAMPLE Examples of responsible entities are evaluation authorities, standards bodies, industry working
groups, or technical communities.
© ISO/IEC 2025 – All rights reserved
5.2.4 Scope of the evaluation method
The definition of an evaluation method shall describe its scope, including:
— the objective of the evaluation method in terms of a brief statement summarizing the assurance goals and a
high-level statement of how these are implemented by the evaluation activities within the evaluation method;
— the evaluation context in which the evaluation method is intended to be applied. For example, this can
describe a TOE type such as a smart card or network device, or a type of function such as cryptographic
functions using certain algorithms and modes applied to certain types of data transmission and data
storage;
— any known limitation of the evaluation method, or aspects not intended to be covered by the
evaluation method.
Evaluation activities can be defined to apply specifically to one or more SFRs. When an evaluation
method includes such SFR-specific evaluation activities, then a subsection of the scope shall identify the
individual SFRs that the evaluation method is defined to address and the location where the SFRs are
defined (e.g. ISO/IEC 15408-2 or extended SFRs defined in a PP). For extended SFRs that are not defined in
ISO/IEC 15408-2, the identification of the location is particularly important since the same SFR name can be
used in different sources to refer to SFRs with different content (if the evaluation method is not specific to
any SFRs, then this subsection is not required).
Similarly, evaluation activities can be defined to apply specifically to one or more extended SARs (i.e. SARs
that are not defined in ISO/IEC 15408-3). When an evaluation method includes such evaluation activities,
then a subsection of the scope shall identify the relevant extended SARs and the location where they are
defined (e.g. in a PP). As with extended SFRs, the identification of the location is particularly important since
the same SAR name can be used in different sources to refer to SARs with different content (if the evaluation
method does not apply to any extended SARs, then this subsection is not required).
NOTE The rationale for completeness of the evaluation method (see 5.2.10) can give further information relevant
to the scope of the evaluation method.
5.2.5 Dependencies
The definition of an evaluation method shall describe any dependencies on:
— other evaluation methods,
— evaluation activities, or
— some of the generic actions in ISO/IEC 18045.
EXAMPLE An evaluation method that relies on information obtained from some other developer action element
in ISO/IEC 15408-3 or some action in ISO/IEC 18045.
Dependencies may be identified either at the level of the evaluation method, or at the level of an individual
evaluation activity contained within the evaluation method.
5.2.6 Required input from the developer or other entities
The definition of an evaluation method shall identify any developer input required to perform the evaluation
activity. This may be done either at the level of the evaluation method, or at the level of an individual
evaluation activity included in the evaluation method. The description of the inputs may also be made by
reference to those defined for the generic SAR from which the evaluation activities are derived, as defined in
ISO/IEC 15408-3 (or the equivalent generic definition if dealing with an extended SAR).
EXAMPLE The inputs for an evaluation method dealing with media encryption TOEs can define a requirement for
description of particular details of a key hierarchy.
© ISO/IEC 2025 – All rights reserved
5.2.7 Required tool types
If the evaluation activities require any tool types, then those shall be listed as part of the definition of the
evaluation method. The tool types may be identified either at the level of the evaluation method, or at the
level of an individual evaluation activity contained within the evaluation method.
5.2.8 Required evaluator competences
An evaluation method may identify spec
...
Style Definition
...
Style Definition
...
Style Definition
FDIS ISO/IEC FDIS 15408-4(E) .
Style Definition
...
ISO/IEC JTC 1/SC 27/WG 3
Style Definition
...
Style Definition
Secretariat: DIN .
Style Definition
...
Date: 2025-10-0711-20
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
Information security, cybersecurity and privacy protection — .
Style Definition
Evaluation criteria for IT security — — .
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Part 4:
Style Definition
...
Framework for the specification of evaluation methods and
Style Definition
...
activities
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la
Style Definition
...
sécurité des technologies de l'information —
Style Definition
...
Partie 4: Cadre prévu pour la spécification des méthodes d'évaluation et des activités connexes Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
IIIIIISOSOSOSOSOSO//////CENCENCENCENCENCEN P P P P P PAAAAAARRRRRRAAAAAALLEL PLLEL PLLEL PLLEL PLLEL PLLEL PRRRRRROOOOOOCESSICESSICESSICESSICESSICESSINNNNNNGGGGGG
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Formatted
...
Formatted
...
Formatted
ISO #####-#:####(X)
Formatted: release-version, Left, Indent: Left: 0 cm,
Right: 0 cm, Border: Top: (No border), Bottom: (No
border), Left: (No border), Right: (No border)
FDIS stage
Warning for WDs and CDs
This document is not an ISO International Standard. It is distributed for review and comment. It is subject to
change without notice and may not be referred to as an International Standard.
Recipients of this draft are invited to submit, with their comments, notification of any relevant patent rights of
which they are aware and to provide supporting documentation.
A model document of an International Standard (the Model International Standard) is available at:
https://www.iso.org/drafting-standards.html
2 © ISO #### – All rights reserved
© ISO
Formatted: Font: Bold
ISO #####-#:####(X/IEC FDIS 15408-4:2025(en) Formatted: Font: 11 pt, Bold
Formatted: Font: 11 pt, Bold
Formatted: HeaderCentered, Left, Space After: 0 pt,
© ISO/IEC 2025
Line spacing: single
Formatted: Indent: Left: 0 cm, Right: 0 cm, Space
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication
Before: 0 pt, No page break before, Adjust space
may be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying,
between Latin and Asian text, Adjust space between
or posting on the internet or an intranet, without prior written permission. Permission can be requested from either ISO
Asian text and numbers, Border: Top: (No border)
at the address below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: + 41 22 749 01 11
Formatted: French (Switzerland)
EmailE-mail: copyright@iso.org
Formatted: French (Switzerland)
Website: www.iso.orgwww.iso.org
Formatted: German (Germany)
Published in Switzerland
Formatted: English (United Kingdom)
Formatted: Font: 10 pt
Formatted: Font: 10 pt
Formatted: Font: 11 pt
Formatted: FooterPageRomanNumber, Space After: 0
pt, Line spacing: single
iv © ISO #### /IEC 2025 – All rights reserved
iv
FDIS ISO/IEC FDIS 15408-4 (E:2025(en) Formatted: Font: 11 pt, Bold
Formatted: Font: 11 pt, Bold
Formatted: Font: 11 pt, Bold
Contents
Formatted: HeaderCentered, Left, Space After: 0 pt,
Line spacing: single
Foreword . vii
Formatted: Space Before: 48 pt
Introduction . viii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
4 General model of evaluation methods and evaluation activities . 2
4.1 Concepts and model . 2
4.2 Deriving evaluation methods and evaluation activities . 4
4.3 Verb usage in the description of evaluation methods and evaluation activities . 8
4.4 Conventions for the description of evaluation methods and evaluation activities . 8
5 Structure of an evaluation method . 8
5.1 Overview . 8
5.2 Specification of an evaluation method . 9
6 Structure of evaluation activities . 15
6.1 Overview . 15
6.2 Specification of an evaluation activity . 15
Bibliography . 19
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
4 General model of evaluation methods and evaluation activities . 2
4.1 Concepts and model . 2
4.2 Deriving evaluation methods and evaluation activities . 3
4.3 Verb usage in the description of evaluation methods and evaluation activities . 6
4.4 Conventions for the description of evaluation methods and evaluation activities . 6
5 Structure of an evaluation method . 6
5.1 Overview . 6
5.2 Specification of an evaluation method . 7
5.2.1 Overview . 7
5.2.2 Identification of evaluation methods . 8
5.2.3 Entity responsible for the evaluation method. 9
5.2.4 Scope of the evaluation method. 9
5.2.5 Dependencies . 10
5.2.6 Required input from the developer or other entities . 10
5.2.7 Required tool types . 10
Formatted: Font: 10 pt
5.2.8 Required evaluator competences . 10
5.2.9 Requirements for reporting . 10 Formatted: Font: 10 pt
5.2.10 Rationale for the evaluation method . 11
Formatted: Font: 10 pt
5.2.11 Additional verb definitions . 12
Formatted: FooterCentered, Left, Line spacing: single
5.2.12 Set of evaluation activities . 12
Formatted: Font: 11 pt
6 Structure of evaluation activities . 12
Formatted: FooterPageRomanNumber, Left, Space
6.1 Overview . 12
After: 0 pt, Line spacing: single
© ISO /IEC 2025 – All rights reserved
v
ISO #####-#:####(X/IEC FDIS 15408-4:2025(en) Formatted: Font: 11 pt, Bold
Formatted: Font: 11 pt, Bold
Formatted: HeaderCentered, Left, Space After: 0 pt,
6.2 Specification of an evaluation activity . 13
Line spacing: single
6.2.1 Unique identification of the evaluation activity . 13
6.2.2 Objective of the evaluation activity . 13
6.2.3 Evaluation activity links to SFRs, SARs, and other evaluation activities . 13
6.2.4 Required input from the developer or other entities . 13
6.2.5 Required tool types . 14
6.2.6 Required evaluator competences . 14
6.2.7 Assessment strategy . 14
6.2.8 Pass/fail criteria . 14
6.2.9 Requirements for reporting . 15
6.2.10 Rationale for the evaluation activity . 15
Bibliography . 17
Formatted: Font: 10 pt
Formatted: Font: 10 pt
Formatted: Font: 11 pt
Formatted: FooterPageRomanNumber, Space After: 0
pt, Line spacing: single
vi © ISO #### /IEC 2025 – All rights reserved
vi
FDIS ISO/IEC FDIS 15408-4 (E:2025(en) Formatted: Font: 11 pt, Bold
Formatted: Font: 11 pt, Bold
Formatted: Font: 11 pt, Bold
Foreword
Formatted: HeaderCentered, Left, Space After: 0 pt,
Line spacing: single
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members Formatted: Foreword Title
of ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of
document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC
Directives, Part 2 (see www.iso.org/directiveswww.iso.org/directives or
www.iec.ch/members_experts/refdocs).
Field Code Changed
ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of
(a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed
patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received
Formatted: Font color: Auto
notice of (a) patent(s) which may be required to implement this document. However, implementers are
cautioned that this may not represent the latest information, which may be obtained from the patent database
available at www.iso.org/patents and https://patents.iec.ch.www.iso.org/patents and https://patents.iec.ch.
ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html.www.iso.org/iso/foreword.html. In the IEC, see www.iec.ch/understanding-
Field Code Changed
standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This fifthsecond edition cancels and replaces the fourthfirst edition (ISO/IEC 15408-24:2022), which has been
technically revised.
The main changes are as follows:
Formatted: Font: Cambria
Formatted: List Continue 1, No bullets or numbering
— minor typographical and editorial errors corrected;.
Formatted: Adjust space between Latin and Asian text,
— editorial changes to match ISO/IEC document rules and guidance.
Adjust space between Asian text and numbers
A list of all parts in the ISO 15408 series can be found on the ISO website.
Formatted: Font: 10 pt
Formatted: Font: 10 pt
Any feedback or questions on this document should be directed to the user’s national standards body. A
Formatted: Font: 10 pt
complete listing of these bodies can be found at www.iso.org/members.htmlwww.iso.org/members.html and
www.iec.ch/national-committeeswww.iec.ch/national-committees.
Formatted: FooterCentered, Left, Line spacing: single
Formatted: Font: 11 pt
Formatted: FooterPageRomanNumber, Left, Space
After: 0 pt, Line spacing: single
© ISO /IEC 2025 – All rights reserved
vii
ISO #####-#:####(X/IEC FDIS 15408-4:2025(en) Formatted: Font: 11 pt, Bold
Formatted: Font: 11 pt, Bold
Formatted: HeaderCentered, Left, Space After: 0 pt,
Introduction
Line spacing: single
The model of security evaluation in ISO/IEC 15408-1 identifies that high-level generic evaluation activities are
defined in ISO/IEC 18045, but that more specific evaluation activities (EAs) can be defined as technology-
specific adaptations of these generic activities for particular evaluation contexts, e.g. for security functional
requirements (SFRs) or security assurance requirements (SARs) applied to specific technologies or target of
evaluation (TOE) types. Specification of such evaluation activities is already occurring amongst practitioners,
and this creates a need for a specification for defining such evaluation activities.
This document describes a framework that can be used for deriving evaluation activities from work units of
ISO/IEC 18045 and grouping them into evaluation methods (EMs). Evaluation activities or evaluation methods
can be included in protection profiles (PPs) and any documents supporting them. Where a PP, PP-
Configuration, PP-Module, package, or Security Target (ST) identifies that specific evaluation
methods/evaluation activities are tomust be used, the evaluators are required by ISO/IEC 18045 to follow and
report the relevant evaluation methods/evaluation activities when assigning evaluator verdicts. As noted in
ISO/IEC 15408-1, in some cases an evaluation authority can decide not to approve the use of particular
evaluation methods/evaluation activities. In such a case, the evaluation authority can decide not to carry out
evaluations following an ST that requires those evaluation methods/evaluation activities.
This document also allows for evaluation activities to be defined for extended SARs, in which case derivation
of the evaluation activities relates to equivalent evaluator action elements and work units defined for that
extended SAR. Where reference is made in this document to the use of ISO/IEC 18045 or ISO/IEC 15408-3 for
SARs (such as when defining rationales for evaluation activities), then, in the case of an extended SAR, the
reference applies instead to the equivalent evaluator action elements and work units defined for that extended
SAR.
For clarity, this document specifies how to define evaluation methods and evaluation activities but does not
itself specify instances of evaluation methods or evaluation activities.
Formatted: Font: 10 pt
Formatted: Font: 10 pt
Formatted: Font: 11 pt
Formatted: FooterPageRomanNumber, Space After: 0
pt, Line spacing: single
viii © ISO #### /IEC 2025 – All rights reserved
viii
Formatted: Font: Bold
Formatted: HeaderCentered
Information security, cybersecurity and privacy protection —
Evaluation criteria for IT security — —
Formatted: Main Title 2
Part 4:
Framework for the specification of evaluation methods and activities
1 Scope
This document specifies requirements and a standardized framework for specifying objective, repeatable and
reproducible evaluation methods and evaluation activities.
This document does not specify how to evaluate, adopt, or maintain evaluation methods and evaluation
activities. These aspects are a matter for those originating the evaluation methods and evaluation activities in
their particular area of interest.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 15408-1:—, , Information security, cybersecurity and privacy protection — Evaluation criteria for IT
Formatted: RefNorm
security — Part 1: Introduction and general model
ISO/IEC 15408-2:—, , Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security — Part 2: Security functional components
3 1)
ISO/IEC 15408-3:—, :— , Information security, cybersecurity and privacy protection — Evaluation criteria for
IT security — Part 3: Security assurance components
4 2)
ISO/IEC 18045:—, :— , Information security, cybersecurity and privacy protection — Evaluation criteria for
IT security — Requirements and methodology for IT security evaluation Formatted: Default Paragraph Font
Formatted: Default Paragraph Font
3 Terms, definitions and abbreviated terms
Formatted: Default Paragraph Font
For the purposes of this document, the terms, and definitions, and abbreviated terms given in ISO/IEC 15408- Formatted: Default Paragraph Font
1:—,, ISO/IEC 15408-2:—,, ISO/IEC 15408-3:—,, ISO/IEC 18045:— and the following databases apply.
Formatted: Default Paragraph Font
Formatted: Default Paragraph Font
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
Formatted: Default Paragraph Font
— — ISO Online browsing platform: available at www.iso.org/obp; https://www.iso.org/obp
Formatted: Default Paragraph Font
Formatted: List Continue 1, Indent: Left: 0 cm, First
line: 0 cm, Tab stops: Not at 1.71 cm
Under preparation. Stage at the time of publication: ISO/IEC FDIS 15408-1:2025.
Formatted: Font: 10 pt
Under preparation. Stage at the time of publication: ISO/IEC FDIS 15408-2:2025.
Formatted: Font: 10 pt
Formatted: Font: 10 pt
Under preparation. Stage at the time of publication: ISO/IEC FDIS 15408-3:2025.
Formatted: FooterCentered, Left, Line spacing: single
1)
Under preparation. Stage at the time of publication: ISO/IEC FDIS 15408-3:2025.
Formatted: Font: 11 pt
Under preparation. Stage at the time of publication: ISO/IEC FDIS 18045:2025.
Formatted: FooterPageNumber, Left, Space After: 0 pt,
2)
Under preparation. Stage at the time of publication: ISO/IEC FDIS 18045:2025.
Line spacing: single
© ISO /IEC 2025 – All rights reserved
Formatted: Font: Bold
Formatted: HeaderCentered
— — IEC Electropedia: available at https://www.electropedia.org/.
4 General model of evaluation methods and evaluation activities
4.1 Concepts and model
ISO/IEC 18045:— defines a generic set of work units that an evaluator carries out in order to reach a verdict
Formatted: Default Paragraph Font
for most of the assurance classes, families and components defined in ISO/IEC 15408-3:—. The relationship
Formatted: Default Paragraph Font
between the structure of a SAR in ISO/IEC 15408-3:— and the work units in ISO/IEC 18045:— is described
Formatted: Default Paragraph Font
in ISO/IEC 18045:— and summarized in Figure 1Figure 1 showing that the derivation is flexible and not
required to be simply 1:1).
Formatted: Default Paragraph Font
Formatted: Default Paragraph Font
Class Activity Evaluation method
Formatted: Default Paragraph Font
Formatted: Default Paragraph Font
Component Sub-activity
Formatted: Default Paragraph Font
Evaluator
Evaluator Action
Formatted: Default Paragraph Font
action element
Developer
Work unit Evaluation
action element
activity
(Derived work unit)
Content and
Derivation (n:m)
presentation
element
ISO/IEC 15408-3 ISO/IEC 18045 ISO/IEC 15408-4
Formatted: Figure title, Don't keep with next, Don't
keep lines together
Formatted: Font: 10 pt
Figure 1 1 — Mapping of P3 and CEM to this document
Formatted: Font: 10 pt
Formatted: Font: 11 pt
Formatted: FooterPageNumber, Space After: 0 pt, Line
spacing: single
2 © ISO #### /IEC 2025 – All rights reserved
Formatted: Font: Bold
Formatted: HeaderCentered
For the purposes of defining new evaluation methods and evaluation activities, the main point to note is that
each action (representing an evaluator action element in ISO/IEC 15408-3:— or an implied evaluator action
Formatted: Default Paragraph Font
element) is represented in ISO/IEC 18045:— as a set of work units that are carried out by an evaluator.
Formatted: Default Paragraph Font
Formatted: Default Paragraph Font
This document specifies the ways in which new evaluation activities can be derived from the generic work
units in ISO/IEC 18045:—,, and combined into an evaluation method that is intended for use in some
Formatted: Default Paragraph Font
particular evaluation context. A typical example of such an evaluation context would beis a particular TOE
Formatted: Default Paragraph Font
type or particular technology type.
EXAMPLE 1
— — TOE type: a network device
Formatted: List Continue 1, Indent: Left: 0 cm, First
line: 0 cm, Tab stops: Not at 1.71 cm
— — Technology type: specific cryptographic functions
If evaluation methods (EM) and evaluation activities (EA) are required to be used with a particular PP, PP-
Module or PP-Configuration, then a PP or PP-Module or PP-Configuration shall identify this requirement in its
conformance statement. If evaluation methods and evaluation activities are required to be used with a
particular package, then the package shall identify this requirement in the security requirement section. If
EMs and EAs are claimed by an ST as a result of that ST claiming conformance to a PP, PP-Configuration, or
package, then the ST shall identify the EMs/EAs used in its conformance claim. No formal claim of conformance
to ISO/IEC 15408-4:— isthis document made in any of these cases.
NOTE 1 The contents of PPs, PP-Modules, PP-Configurations and packages are described in more detail in
ISO/IEC 15408-1:—. .
Formatted: Default Paragraph Font
Formatted: Default Paragraph Font
A PP, PP-Configuration, PP-Module or package may use more than one evaluation method or separate set of
evaluation activities.
EXAMPLE 2 Multiple evaluation methods can be used where separate evaluation methods have been defined for
cryptographic operations and for secure channel protocols used in a PP.
NOTE 2 Where exact conformance is used, ISO/IEC 15408-1:— states that evaluation methods/evaluation activities
Formatted: Default Paragraph Font
are not allowed to be defined in a PP-Configuration: the evaluation methods/evaluation activities to be used are included
Formatted: Default Paragraph Font
in the PPs and PP-Modules and not in the PP-Configuration).
When a PP, PP-Module, PP-Configuration, or package identifies that certain evaluation methods/evaluation
activities shall be used, then this is done using a standard wording that states the requirement and references
the definition of the evaluation methods/evaluation activities to be used. An ST shall only identify required
evaluation methods and evaluation activities that are included in a PP, PP-Module, PP-Configuration or
package to which the ST claims conformance (i.e. the ST itself shall not add, modify or remove any evaluation
methods or evaluation activities). An ST shall include identification of all evaluation methods/evaluation
activities that it requires (i.e. including any that are required by PPs, PP-Modules, PP-Configurations, or
packages to which the ST claims conformance), so that there is a single list that can be checked and referenced
by evaluators and readers of the ST.
Evaluation methods and evaluation activities may be defined as part of a PP or required externally in a
different document (or in a combination of both). Although identification is required as described in the
Formatted: Font: 10 pt
paragraph above, it is not necessary to reproduce the text of the evaluation methods/evaluation activities in
Formatted: Font: 10 pt
other documents. For example, an ST is not required to include the full text of the evaluation methods and
evaluation activities from a PP to which it claims conformance.
Formatted: Font: 10 pt
Formatted: FooterCentered, Left, Line spacing: single
Formatted: Font: 11 pt
Formatted: FooterPageNumber, Left, Space After: 0 pt,
Line spacing: single
© ISO /IEC 2025 – All rights reserved
Formatted: Font: Bold
Formatted: HeaderCentered
4.2 Deriving evaluation methods and evaluation activities
In general, defining evaluation activities and evaluation methods can start either from an SAR, aiming to make
some or all parts of its work units more specific, or from an SFR, aiming to define specific aspects of work units
related to that SFR.
When starting from an SAR, the process is as follows.
— — Identify the relevant ISO/IEC 18045:— work units from which at least one individual evaluation
Formatted: Default Paragraph Font
activity or groups of evaluation activities shall be derived;
Formatted: Default Paragraph Font
Formatted: List Continue 1, Indent: Left: 0 cm, First
— — For each work unit from which an evaluation activity is derived:
line: 0 cm, Tab stops: Not at 1.71 cm
— — define the new evaluation activities in terms of the specific work to be carried out and
evaluation criteria as described in 6.26.2 (including, if required, pass/fail criteria as described in
6.2.8); 6.2.8);
— — group evaluation activities into an evaluation method if necessary;
— — state the rationale for the new evaluation activities and the evaluation method under which
they are grouped as described in 5.2.10 and 6.2.10. 5.2.10 and 6.2.10.
EXAMPLE 1 A rationale can include reference to the developer action, and content and presentation elements of the
work units from which they are derived.
A process for starting from an SFR would beis as follows:
— identify the relevant SFR,
— identify the SARs (from ISO/IEC 15408-3:— or a set of extended SARs, or both) to be addressed for
that particular SFR, and the corresponding ISO/IEC 18045:— work units,
— define the new evaluation activities in terms of the specific work to be carried out and evaluation
criteria as described in 6.2 (including, if required, pass/fail criteria as described in 6.2.8). For example
evaluation activities can be defined to:
— examine the presentation of a specific SFR in the TOE Summary Specification (derived from class
ASE (Security Target (ST) evaluation) (see ISO/IEC 15408-3:—, Clause 9)),
— examine the presentation of the SFR in the guidance documentation (derived from class AGD
(Guidance documents) (see ISO/IEC 15408-3:—, Clause 11)),
— to carry out specific tests of the SFR (derived from class ATE (Tests) (see ISO/IEC 15408-3:—,
Clause 13)).
— map the affected work units for the SARs to the new evaluation activities;
— state the rationale for the new evaluation activities, and the evaluation method under which they are
grouped, as described in 5.2.10 and 6.2.10.
— identify the relevant SFR, Formatted: Font: 10 pt
Formatted: Font: 10 pt
— identify the SARs (from ISO/IEC 15408-3 or a set of extended SARs, or both) to be addressed
for that particular SFR, and the corresponding ISO/IEC 18045 work units,
Formatted: Font: 11 pt
Formatted: FooterPageNumber, Space After: 0 pt, Line
spacing: single
4 © ISO #### /IEC 2025 – All rights reserved
Formatted: Font: Bold
Formatted: HeaderCentered
— define the new evaluation activities in terms of the specific work to be carried out and
evaluation criteria as described in 6.2 (including, if required, pass/fail criteria as described in
6.2.8). For example, evaluation activities can be defined to:
— examine the presentation of a specific SFR in the TOE Summary Specification [derived from
class ASE (Security Target (ST) evaluation) (see ISO/IEC 15408-3:—, Clause 9)],
— examine the presentation of the SFR in the guidance documentation [derived from class AGD
(Guidance documents) (see ISO/IEC 15408-3:—, Clause 11)],
— to carry out specific tests of the SFR [derived from class ATE (Tests) (see ISO/IEC 15408-3:—,
Clause 13)].
— map the affected work units for the SARs to the new evaluation activities;
— state the rationale for the new evaluation activities, and the evaluation method under which they
are grouped, as described in 5.2.10 and 6.2.10.
Although an author may choose to start from SARs or SFRs, it is noted that SARs ultimately cover all SFRs.
Formatted: Space Before: 12 pt
Starting from SFRs as described here is a technique that can be useful when clarifying the detail of how an SAR
applies to a particular SFR, and that can be useful for presenting SFRs alongside the description of their
evaluation activities.
It is not required to have a 1:1 mapping between work units and new evaluation activities, and the actual
correspondence is documented in a rationale (as described in 5.2.10).5.2.10). The derivation may be made in
terms of individual work units or groups of work units, and this is depicted in Figure 2.Figure 2. In case a) of
Figure 2Figure 2, the author maps each work unit from ISO/IEC 18045:— to a corresponding evaluation
Formatted: Default Paragraph Font
activity, while in case b)), the author maps different numbers of work units and evaluation activities,
Formatted: Default Paragraph Font
whilstwhile still addressing all aspects of an action (i.e. the collection of work units).
Formatted: Font: 10 pt
Formatted: Font: 10 pt
Formatted: Font: 10 pt
Formatted: FooterCentered, Left, Line spacing: single
Formatted: Font: 11 pt
Formatted: FooterPageNumber, Left, Space After: 0 pt,
Line spacing: single
© ISO /IEC 2025 – All rights reserved
Formatted: Font: Bold
Formatted: HeaderCentered
Evaluator action Evaluation method
a) Direct mapping
Work unit 1 Evaluation activity 1 Rationale 1
Work unit 2 Evaluation activity 2 Rationale 2
Work unit 3 Evaluation activity 3 Rationale 3
. . . . . .
Evaluator Action Evaluation method
b) Group mapping
Work unit 1
Evaluation activity 1
Work unit 2 Global Rationale
Evaluation activity 2
Work unit 3
. . . . . .
ISO/IEC 18045 ISO/IEC 15408-4
Formatted: Figure title, Don't keep with next, Don't
keep lines together
Figure 2 2 — Alternative approaches to mapping CEM to derived evaluation activities
Formatted: Font: 10 pt
Formatted: Font: 10 pt
Other approaches are possible depending on the content of the specific work units and evaluation activities:
Formatted: Font: 11 pt
even where the same number of work units and evaluation activities exist, a simple 1:1 mapping is sometimes
not possible and therefore a mapping at the action level can be appropriate. Some more detailed mapping
Formatted: FooterPageNumber, Space After: 0 pt, Line
situations are described in the examples below.
spacing: single
6 © ISO #### /IEC 2025 – All rights reserved
Formatted: Font: Bold
Formatted: HeaderCentered
NOTE These examples assume that the evaluation activities described are being defined by a community that can
judge the suitability of the rationale for completeness of the evaluation activities. The examples are concerned only with
the form and structure of the mappings, not with the nature or acceptance of the completeness rationale.
EXAMPLE 2 For a TOE type that includes both software and hardware, additional evaluation activities can be defined
to deal with the manufacturing environment and its processes. Considering the ALC_DVS (Developer environment
Formatted: Default Paragraph Font
security) (see ISO/IEC 15408-3:—, 12.5) family, a possible approach would beis to adopt all the existing ALC_DVS
Formatted: Default Paragraph Font
(Developer environment security) (see ISO/IEC 15408-3:—, 12.5) work units for the software development environment
and to define additional evaluation activities for each of the relevant hardware and manufacturing aspects. These aspects
can include extensions of the normal ALC_DVS (Developer environment security) (see ISO/IEC 15408-3:—, 12.5) scope
Formatted: Default Paragraph Font
to additional items such as protection of hardware design in the development environment, secure transfer of software
from the development environment to the manufacturing environment, security of the manufacturing site, and protection
of the manufactured product while awaiting delivery. They can also include new aspects related to objects and processes
that arise only in the manufacturing environment, such as:
— — confirming that the firmware used on a manufacturing line is reliably obtained from the authorized version
Formatted: List Continue 1 (-), Bulleted + Level: 1 +
created on the firmware build system;
Aligned at: 0 cm + Indent at: 0 cm, Tab stops: Not at
1.71 cm
— — checking configuration management of test programs for testing the TOE on the manufacturing line;
— — confirming that processes to disable test or debug interfaces on the TOE operate correctly and reliably;
— — examining the physical and logical security of key management systems used to inject keys or certificates into
the TOE during manufacture.
In this example, the original ALC_DVS.1.1E (see ISO/IEC 15408-3:—, 12.5.4) action is mapped to include all
Formatted: Default Paragraph Font
the new evaluation activities. An alternative approach would beis to define additional evaluation activities for
each individual work unit for ALC_DVS.1.1E (see ISO/IEC 15408-3:—, 12.5.4), identifying the additional
Formatted: Default Paragraph Font
activities to cover the manufacturing environment for that work unit.
EXAMPLE 3 IfAnother example can be if AVA_VAN.1 (Vulnerability survey) (see ISO/IEC 15408-3:—, 14.3.3)
Formatted: Default Paragraph Font
vulnerability analysis is applied to a particular type of TOE, whereand there is a specific requirement to achieve
consistency in the public domain vulnerability sources used. A possible approach is to define an evaluation activity that
covers the AVA_VAN (Vulnerability analysis) (see ISO/IEC 15408-3:—, 14.3) work unit dealing with searching public
Formatted: Default Paragraph Font
domain sources by specifying the particular sources to be used. It is possible to do this with particular searches to be
carried out and decision criteria for selecting a resulting list of potential vulnerabilities to be analysed and tested. In this
example the original AVA_VAN.1-–3 (see ISO/IEC 18045:—, 16.3.1.5.2) work unit is mapped to the new evaluation
Formatted: Default Paragraph Font
activity.
Formatted: Default Paragraph Font
EXAMPLE 4
Formatted: Default Paragraph Font
— — For an evaluation method to be used with hardware such as an integrated circuit, evaluation activities can be
Formatted: List Continue 1 (-), Bulleted + Level: 1 +
defined to examine the circuit's architecture, defining required inputs that give the evaluator specific details about
Aligned at: 0 cm + Indent at: 0 cm, Tab stops: Not at
the operations and information available through the circuit's interfaces. The definition of these required inputs can
1.71 cm
then make clear that the relevant interfaces include the circuit's physical surface, its executable programming
instructions, and its communication interfaces.
Formatted: List Continue 1 (-), Bulleted + Level: 1 +
— — Further evaluation activities within the evaluation method can examine the circuit's resistance against physical
Aligned at: 0 cm + Indent at: 0 cm, Tab stops: Not at
probing in order to prevent manipulating or disabling TSF features.
1.71 cm
— — For testing activities, evaluation activities within the evaluation method can define a required input that presents
Formatted: Font: 10 pt
the circuit's design as a flow chart of security functions permeating through the circuit's subsystems. The flow chart
Formatted: Font: 10 pt
can then be used by the evaluator to create test cases and to confirm the test coverage of the circuit.
Formatted: Font: 10 pt
EXAMPLE 5
Formatted: FooterCentered, Left, Line spacing: single
— — For a TOE type such as a network device that provides cryptographically verifiable firmware updates, evaluation Formatted: Font: 11 pt
activities can give specific details of how the evaluator is required to review the Security Target and guidance
Formatted: FooterPageNumber, Left, Space After: 0 pt,
documentation to confirm certain specific characteristics required of the cryptographic update process.
Line spacing: single
© ISO /IEC 2025 – All rights reserved
Formatted: Font: Bold
Formatted: HeaderCentered
— — Other evaluation activities can define specific test cases covering the verification of the current firmware, the
availability of updates, fetching updates, verifying the source of the updates using cryptographic signatures, and the
use of specific types of invalid update in order to test the TOE's acceptance functions.
4.3 Verb usage in the description of evaluation methods and evaluation activities
Where a verb is defined in ISO/IEC 15408-1:— then the description of evaluation activities shall use those
Formatted: Default Paragraph Font
verbs only in accordance with the definitions. Alternative verbs may be used in an evaluation method for use
Formatted: Default Paragraph Font
in its evaluation activities provided that the alternative verbs are defined in the evaluation method. Any such
verb definition shall make clear the extent to which evaluator judgement (as opposed to simple checking) is
involved.
EXAMPLE An evaluation method that includes automated test generation for a protocol can define a verb "“cover",”,
applied to enumerated types in a protocol parameter, to mean trying all defined and undefined values of the parameter
within the available parameter length. Then evaluation activities can be written in forms such as "“The evaluator shall
cover the PaymentMode field". ”.
4.4 Conventions for the description of evaluation methods and evaluation activities
Conventions used in ISO/IEC 15408-3:— and ISO/IEC 18045:— support consistency within, and between,
Formatted: Default Paragraph Font
the descriptions of evaluation methods and evaluation activities.
Formatted: Default Paragraph Font
Formatted: Default Paragraph Font
All work unit and sub-task verbs are preceded by the auxiliary verb "“shall"” and by presenting both the verb
and the "“shall"” in bold italic type face. The auxiliary verb "“shall"” is used only when the provided text is
Formatted: Default Paragraph Font
mandatory and therefore only within the work units and sub-tasks. The work units and sub-tasks contain
mandatory activities that the evaluator shall perform in order to assign verdicts.
Guidance text accompanying work units and sub-tasks gives further explanation on how to apply the work
units and sub-tasks in an evaluation.
5 Structure of an evaluation method
5.1 Ove
...
PROJET FINAL
Norme
internationale
ISO/IEC
FDIS
15408-4
ISO/IEC JTC 1/SC 27
Sécurité de l'information,
Secrétariat: DIN
cybersécurité et protection de la
Début de vote:
vie privée — Critères d'évaluation
2025-12-08
pour la sécurité des technologies de
Vote clos le:
l'information —
2026-02-02
Partie 4:
Cadre de spécification de méthodes
et activités d'évaluation
Information security, cybersecurity and privacy protection —
Evaluation criteria for IT security —
Part 4: Framework for the specification of evaluation methods
and activities
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSERVATIONS,
NOTIFICATION DES DROITS DE PROPRIÉTÉ DONT ILS
AURAIENT ÉVENTUELLEMENT CONNAISSANCE ET À
FOURNIR UNE DOCUMENTATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-MERCIALES,
AINSI QUE DU POINT DE VUE DES UTILISATEURS, LES
PROJETS DE NORMES
TRAITEMENT PARALLÈLE ISO/CEN
INTERNATIONALES DOIVENT PARFOIS ÊTRE CONSIDÉRÉS
DU POINT DE VUE DE LEUR POSSI BILITÉ DE DEVENIR DES
NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTATION
NATIONALE.
Numéro de référence
PROJET FINAL
Norme
internationale
ISO/IEC
FDIS
15408-4
ISO/IEC JTC 1/SC 27
Sécurité de l'information,
Secrétariat: DIN
cybersécurité et protection de la
Début de vote:
vie privée — Critères d'évaluation
2025-12-08
pour la sécurité des technologies de
Vote clos le:
l'information —
2026-02-02
Partie 4:
Cadre de spécification de méthodes
et activités d'évaluation
Information security, cybersecurity and privacy protection —
Evaluation criteria for IT security —
Part 4: Framework for the specification of evaluation methods
and activities
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSERVATIONS,
NOTIFICATION DES DROITS DE PROPRIÉTÉ DONT ILS
AURAIENT ÉVENTUELLEMENT CONNAISSANCE ET À
FOURNIR UNE DOCUMENTATION EXPLICATIVE.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
© ISO/IEC 2025
INDUSTRIELLES, TECHNOLOGIQUES ET COM-MERCIALES,
AINSI QUE DU POINT DE VUE DES UTILISATEURS, LES
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
PROJETS DE NORMES
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, TRAITEMENT PARALLÈLE ISO/CEN
INTERNATIONALES DOIVENT PARFOIS ÊTRE CONSIDÉRÉS
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut DU POINT DE VUE DE LEUR POSSI BILITÉ DE DEVENIR DES
NORMES POUVANT
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTATION
NATIONALE.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
Numéro de référence
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
4 Modèle général des méthodes d'évaluation et des activités d'évaluation . 2
4.1 Concepts et modèle .2
4.2 Dérivation des méthodes d'évaluation et des activités d'évaluation .3
4.3 Utilisation des verbes dans la description des méthodes d'évaluation et des activités
d'évaluation .6
4.4 Conventions de description des méthodes d'évaluation et des activités d'évaluation .7
5 Structure d'une méthode d'évaluation. 7
5.1 Vue d'ensemble .7
5.2 Spécification d'une méthode d'évaluation .8
5.2.1 Vue d'ensemble.8
5.2.2 Identification des méthodes d'évaluation .9
5.2.3 Entité responsable de la méthode d'évaluation .10
5.2.4 Domaine d'application de la méthode d'évaluation .10
5.2.5 Dépendances .10
5.2.6 Données d'entrée requises de la part du développeur ou d'autres entités .11
5.2.7 Types d'outils requis .11
5.2.8 Compétences de l'évaluateur requises .11
5.2.9 Exigences applicables aux rapports .11
5.2.10 Justification de la méthode d'évaluation . 12
5.2.11 Définitions supplémentaires des verbes . 13
5.2.12 Ensemble d'activités d'évaluation . 13
6 Structure des activités d'évaluation . 14
6.1 Vue d'ensemble .14
6.2 Spécification d'une activité d'évaluation.14
6.2.1 Identification unique de l'activité d'évaluation .14
6.2.2 Objectif de l'activité d'évaluation .14
6.2.3 Liens de l'activité d'évaluation avec les SFR, les SAR et les autres activités
d'évaluation .14
6.2.4 Données d'entrée requises de la part du développeur ou d'autres entités . 15
6.2.5 Types d'outils requis . 15
6.2.6 Compétences de l'évaluateur requises . 15
6.2.7 Stratégie d'appréciation . 15
6.2.8 Critères de réussite/échec .16
6.2.9 Exigences applicables aux rapports .16
6.2.10 Justification de l'activité d'évaluation .17
Bibliographie .18
© ISO/IEC 2025 – Tous droits réservés
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO
ou de l'IEC participent au développement de Normes Internationales par l'intermédiaire des comités
techniques créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité
technique. Les comités techniques de l'ISO et de l'IEC collaborent dans des domaines d'intérêt commun.
D'autres organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et
l'IEC participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L'ISO et l'IEC attirent l'attention sur le fait que la mise en application du présent document peut entraîner
l'utilisation d'un ou de plusieurs brevets. L'ISO et L'IEC ne prennent pas position quant à la preuve, à la
validité et à l'applicabilité de tout droit de propriété revendiqué à cet égard. À la date de publication du
présent document, l'ISO et l'IEC n'avaient pas reçu notification qu'un ou plusieurs brevets pouvaient être
nécessaires à sa mise en application. Toutefois, il y a lieu d'avertir les responsables de la mise en application
du présent document que des informations plus récentes sont susceptibles de figurer dans la base de données
de brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L'ISO et l'IEC ne sauraient
être tenues pour responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en
collaboration avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité
européen de normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN
(Accord de Vienne).
Cette deuxième édition annule et remplace la première édition (ISO/IEC 15408-4:2022), qui a fait l’objet
d’une révision technique.
Les principales modifications sont les suivantes:
— correction d’erreurs typographiques et rédactionnelles mineures.
Une liste de toutes les parties de la série ISO 15408 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve aux adresses www.iso.org/fr/members.html et www.iec.ch/national-committees.
© ISO/IEC 2025 – Tous droits réservés
iv
Introduction
Le modèle d'évaluation de la sécurité dans l'ISO/IEC 15408-1 indique que des activités d'évaluation
génériques de haut niveau sont définies dans l'ISO/IEC 18045, mais que des activités d'évaluation (EA)
plus spécifiques peuvent être définies comme des adaptations technologiques spécifiques de ces activités
génériques pour des contextes d'évaluation particuliers, par exemple pour des exigences fonctionnelles de
sécurité (SFR) ou des exigences d'assurance de sécurité (SAR) appliquées à des technologies spécifiques ou
à certains types de cibles d'évaluation (TOE). La spécification de ces activités d'évaluation est déjà en cours
chez les praticiens, ce qui crée un besoin de spécification pour la définition de ces activités d'évaluation.
Le présent document décrit un cadre qui peut être utilisé pour obtenir des activités d'évaluation à partir
des unités de travail de l'ISO/IEC 18045 et pour les regrouper en méthodes d'évaluation (EM). Les activités
ou méthodes d'évaluation peuvent être incluses dans les profils de protection (PP) et dans tout document
les étayant. Lorsqu'un PP, une configuration de PP, un module de PP, un paquet ou une cible de sécurité (ST)
indique que des méthodes/activités d’évaluation spécifiques doivent être utilisées, les évaluateurs sont
tenus, par l’ISO/IEC 18045, de suivre et de rapporter les méthodes/activités d’évaluation pertinentes
lors de l’attribution des verdicts. Comme indiqué dans l’ISO/IEC 15408-1, dans certains cas, une autorité
d’évaluation peut décider de ne pas approuver l’utilisation de méthodes/activités d’évaluation particulières.
Dans ce cas, l’autorité d’évaluation peut décider de ne pas effectuer d’évaluations à la suite d’une ST qui exige
ces méthodes d’évaluation/activités d’évaluation.
Le présent document permet également de définir des activités d'évaluation pour les SAR étendues, auquel
cas la dérivation des activités d'évaluation se rapporte aux éléments d'action de l'évaluateur et aux unités
de travail équivalents définis pour cette SAR étendue. Lorsqu'il est fait référence dans le présent document
à l'utilisation de l'ISO/IEC 18045 ou de l'ISO/IEC 15408-3 pour les SAR (par exemple lorsque l'on définit les
argumentaires pour les activités d'évaluation), alors dans le cas d'une SAR étendue, la référence s'applique
aux éléments d'action de l'évaluateur et aux unités de travail équivalentes définies pour cette SAR étendue.
Par souci de clarté, le présent document précise comment définir les méthodes et les activités d'évaluation,
mais ne décrit pas lui-même des exemples de méthodes ou d'activités d'évaluation.
© ISO/IEC 2025 – Tous droits réservés
v
PROJET FINAL Norme internationale ISO/IEC FDIS 15408-4:2025(fr)
Sécurité de l'information, cybersécurité et protection de
la vie privée — Critères d'évaluation pour la sécurité des
technologies de l'information —
Partie 4:
Cadre de spécification de méthodes et activités d'évaluation
1 Domaine d'application
Le présent document spécifie les exigences, ainsi qu’un cadre normalisé pour la spécification de méthodes
d'évaluation et d’activités d’évaluation objectives, répétables et reproductibles.
Le présent document ne précise pas comment évaluer, adopter ou maintenir les méthodes et les activités
d'évaluation. Ces aspects relèvent de la compétence de ceux qui sont à l'origine des méthodes et des activités
d'évaluation dans leur domaine d'intérêt particulier.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 15408-1, Sécurité de l’information, cybersécurité et protection de la vie privée — Critères d’évaluation
de la sécurité informatique — Partie 1: Introduction et modèle général
ISO/IEC 15408-2, Sécurité de l’information, cybersécurité et protection de la vie privée — Critères d’évaluation
de la sécurité informatique — Partie 2: Composants fonctionnels de sécurité
1)
ISO/IEC 15408-3 , Sécurité de l’information, cybersécurité et protection de la vie privée — Critères d’évaluation
de la sécurité informatique — Partie 3: Composants d’assurance de sécurité
2)
ISO/IEC 18045 , Sécurité de l’information, cybersécurité et protection de la vie privée — Critères d’évaluation
de la sécurité informatique — Méthodologie d’évaluation de la sécurité informatique
3 Termes, définitions et abréviations
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/IEC 15408-1,
l'ISO/IEC 15408-2, l'ISO/IEC 15408-3, et l'ISO/IEC 18045 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse https:// www .electropedia .org/
1) En cours d'élaboration. Stade à la date de publication : ISO/IEC FDIS 15408-3:2025.
2) En cours d'élaboration. Stade à la date de publication : ISO/IEC FDIS 18045:2025.
© ISO/IEC 2025 – Tous droits réservés
4 Modèle général des méthodes d'évaluation et des activités d'évaluation
4.1 Concepts et modèle
L'ISO/IEC 18045 définit un ensemble générique d'unités de travail qu'un évaluateur exécute afin de rendre
un verdict pour la plupart des classes, familles et composants d'assurance définis dans l'ISO/IEC 15408-3.
La relation entre la structure d’une SAR de l’ISO/IEC 15408-3 et les unités de travail de l’ISO/IEC 18045 est
décrite dans l’ISO/IEC 18045 et résumée à la Figure 1 en montrant que la dérivation est flexible et qu’il n’est
pas exigé qu’elle soit simplement de type 1:1).
Figure 1 — Mise en correspondance de P3 et CEM avec le présent document
Aux fins de la définition de nouvelles méthodes et activités d’évaluation, le point essentiel à retenir est que
chaque action (représentant un élément d’action de l’évaluateur selon l’ISO/IEC 15408-3 ou un élément
d’action implicite de l’évaluateur) est représentée dans l’ISO/IEC 18045 comme un ensemble d’unités de
travail exécutées par un évaluateur.
Le présent document spécifie comment de nouvelles activités d’évaluation peuvent être dérivées des unités
de travail génériques de l’ISO/IEC 18045 et combinées dans une méthode d’évaluation destinée à être utilisée
dans un contexte d’évaluation particulier. Un type particulier de TOE ou un type particulier de technologie
sont des exemples représentatifs d’un tel contexte d’évaluation.
EXEMPLE 1
— Type de TOE: appareil en réseau.
— Type de technologie: fonctions cryptographiques spécifiques.
Si l’utilisation de méthodes d’évaluation (EM) et d’activités d’évaluation (EA) est exigée pour un PP, un
module de PP ou une configuration de PP spécifique, cette exigence doit être indiquée dans la déclaration
de conformité du PP, du module de PP ou de la configuration de PP. Si l'utilisation de méthodes d'évaluation
et d'activités d'évaluation est exigée pour un paquet particulier, cette exigence doit être indiquée dans la
section des exigences de sécurité du paquet. Si des EM et des EA sont revendiquées par une ST à la suite de sa
revendication de conformité à un PP, à une configuration de PP ou à un paquet, les EM/EA utilisées doivent
© ISO/IEC 2025 – Tous droits réservés
être identifiées dans la revendication de conformité de la ST. Aucune revendication formelle de conformité
au présent document n’a été formulée dans l’un de ces cas.
NOTE 1 Le contenu des PP, des modules de PP, des configurations de PP et des paquets est décrit plus en détail dans
l’ISO/IEC 15408-1.
Un PP, une configuration de PP, un module de PP ou un paquet peut utiliser plus d'une méthode d'évaluation
ou plus d'un ensemble distinct d'activités d'évaluation.
EXEMPLE 2 Plusieurs méthodes d’évaluation peuvent être utilisées lorsque des méthodes d’évaluation distinctes
ont été définies pour les opérations cryptographiques et pour les protocoles de canaux sécurisés utilisés dans un PP.
NOTE 2 Lorsqu’une conformité exacte est utilisée, l’ISO/IEC 15408-1 indique que les méthodes d’évaluation ou les
activités d’évaluation ne sont pas autorisées à être définies dans une configuration de PP: les méthodes d’évaluation
ou activités d’évaluation à utiliser sont incluses dans les PP et les modules de PP et non dans la configuration de PP.
Lorsqu’un PP, un module de PP, une configuration de PP ou un paquet indique que certaines méthodes
d’évaluation ou activités d’évaluation doivent être utilisées, cela se fait au moyen d’une formulation
standard qui énonce l’exigence et renvoie à la définition des méthodes d’évaluation ou activités d’évaluation
à utiliser. Une ST doit indiquer seulement les méthodes d’évaluation et les activités d’évaluation exigées
qui sont incluses dans un PP, un module de PP, une configuration de PP ou un paquet auquel la ST déclare
être conforme (c’est-à-dire que la ST elle-même ne doit pas ajouter, modifier ou supprimer des méthodes
d’évaluation ou des activités d’évaluation). Une ST doit inclure l’identification de toutes les méthodes
d’évaluation ou activités d’évaluation qu’elle exige (c’est-à-dire y compris celles qui sont exigées par les PP,
les modules de PP, les configurations de PP ou les paquets auxquels la ST déclare être conforme), afin qu’il
existe une liste unique qui puisse être utilisée à des fins de vérification et de référence par les évaluateurs et
par les lecteurs de la ST.
Les méthodes d’évaluation et les activités d’évaluation peuvent être définies au sein d’un PP ou être
exigées en externe dans un autre document (ou dans une combinaison des deux). Bien que l’identification
soit requise comme décrit dans le paragraphe ci-dessus, il n’est pas nécessaire de reproduire le texte des
méthodes d’évaluation/activités d’évaluation dans d’autres documents. Par exemple, une ST n’est pas tenue
d’inclure le texte intégral des méthodes d’évaluation et des activités d’évaluation d’un PP auquel elle déclare
être conforme.
4.2 Dérivation des méthodes d'évaluation et des activités d'évaluation
En général, la définition des activités d'évaluation et des méthodes d’évaluation peut partir soit d’une SAR,
afin de rendre plus spécifiques certaines ou toutes les parties de ses unités de travail, soit d’une SFR, afin de
définir les aspects spécifiques des unités de travail associées à cette SFR.
Le processus à partir d’une SAR est le suivant:
— identifier les unités de travail pertinentes de l’ISO/IEC 18045, à partir desquelles au moins une activité
d’évaluation individuelle ou des groupes d’activités d’évaluation doivent être dérivés;
— pour chaque unité de travail dont une activité d’évaluation est dérivée:
— définir les nouvelles activités d’évaluation en spécifiant les travaux spécifiques à effectuer et les
critères d’évaluation comme indiqué en 6.2 (y compris, si nécessaire, les critères de réussite ou
d’échec décrits en 6.2.8);
— regrouper les activités d’évaluation dans une méthode d’évaluation si nécessaire;
— justifier les nouvelles activités d’évaluation et la méthode d’évaluation dans laquelle elles sont
regroupées comme indiqué en 5.2.10 et 6.2.10.
EXEMPLE 1 Une justification peut inclure une référence à l’action du développeur, ainsi qu’aux éléments de contenu
et de présentation des unités de travail dont ils sont dérivés.
Un processus à partir d’une SFR est indiqué ci-après:
© ISO/IEC 2025 – Tous droits réservés
— identifier la SFR concernée;
— identifier les SAR (dans l’ISO/IEC 15408-3 ou dans un ensemble de SAR étendues, ou les deux) à
traiter pour cette SFR particulière, et les unités de travail correspondantes de l’ISO/IEC 18045;
— définir les nouvelles activités d’évaluation en indiquant les travaux spécifiques à effectuer et les
critères d’évaluation comme indiqué en 6.2 (y compris, si nécessaire, les critères de réussite ou
d’échec décrits en 6.2.8). Par exemple, les activités d’évaluation peuvent être définies comme suit:
— examiner la présentation d’une SFR spécifique dans les spécifications globales de la TOE [dérivée
de l’évaluation de la classe ASE (cible de sécurité (ST)) (voir ISO/IEC 15408-3:—, Article 9)],
— examiner la présentation de la SFR dans la documentation de recommandations [dérivée de la
classe AGD (documents de recommandations) (voir ISO/IEC 15408-3:—, Article 11)],
— pour réaliser des essais spécifiques de la SFR [dérivée de la classe ATE (Essais) (voir ISO/IEC 15408-
3:—, Article 13)];
— établir une correspondance entre les unités de travail concernées par les SAR et les nouvelles activités
d’évaluation;
— justifier les nouvelles activités d’évaluation et la méthode d’évaluation dans laquelle elles sont regrou-
pées, comme indiqué en 5.2.10 et 6.2.10.
Bien qu'un auteur puisse choisir de partir des SAR ou des SFR, il est à noter que les SAR couvrent en fin
de compte toutes les SFR. Partir des SFR comme indiqué ici est une technique qui peut s’avérer utile pour
clarifier en détails la manière dont une SAR s'applique à une SFR particulière, et qui peut être pratique pour
présenter les SFR en même temps que la description de leurs activités d'évaluation.
Une correspondance de 1:1 n'est pas exigée entre les unités de travail et les nouvelles activités d’évaluation,
et la correspondance réelle est consignée dans une justification (comme indiqué en 5.2.10). La dérivation
peut se faire en termes d’unités de travail individuelles ou de groupes d’unités de travail, comme illustré à
la Figure 2. Dans le cas a) de la Figure 2, l’auteur associe chaque unité de travail de l’ISO/IEC 18045 à une
activité d’évaluation correspondante, tandis que dans le cas b), l’auteur associe un nombre différent d’unités
de travail et d’activités d’évaluation, tout en continuant à traiter tous les aspects d’une action (c’est-à-dire
l’ensemble des unités de travail).
© ISO/IEC 2025 – Tous droits réservés
Figure 2 — Approches alternatives pour la mise en correspondance de la CEM avec les activités
d’évaluation dérivées
D’autres approches sont possibles en fonction du contenu des unités de travail et des activités d’évaluation
spécifiques: même lorsqu’il existe le même nombre d’unités de travail et d’activités d’évaluation, une simple
mise en correspondance de 1:1 est parfois impossible et une mise en correspondance au niveau de l’action
peut donc être appropriée. Quelques situations de mise en correspondance plus détaillées sont décrites dans
les exemples ci-dessous.
NOTE Dans ces exemples, l’hypothèse retenue est que les activités d’évaluation décrites sont définies par une
communauté capable de juger que la justification du caractère complet des activités d’évaluation est adéquate.
Les exemples concernent seulement la forme et la structure des correspondances, et non la nature ou l'acceptation de
la justification du caractère complet.
EXEMPLE 2 Pour un type de TOE qui comprend à la fois des logiciels et du matériel, des activités d’évaluation
supplémentaires peuvent être définies pour traiter l’environnement et les processus associés. En ce qui concerne
la famille ALC_DVS (Sécurité du développement) (voir ISO/IEC 15408-3:—, 12.5), une approche possible consiste à
adopter toutes les unités de travail relatives à l’ALC_DVS (Sécurité du développement) (voir ISO/IEC 15408-3:—, 12.5)
pour l’environnement de développement logiciel et à définir des activités d’évaluation supplémentaires pour chacun
des aspects matériels et de fabrication pertinents. Ces aspects peuvent inclure des extensions du domaine d’application
normal de l’ALC_DVS (Sécurité du développement) (voir ISO/IEC 15408-3:—, 12.5) à des éléments supplémentaires
comme la protection de la conception du matériel dans l’environnement de développement, le transfert sécurisé de
logiciels de l’environnement de développement à l’environnement de fabrication, la sécurité du site de fabrication et
la protection du produit fabriqué dans l’attente de la livraison. Ils peuvent également inclure de nouveaux aspects liés
aux objets et aux processus qui surviennent seulement dans l'environnement de fabrication, par exemple:
— confirmer que le microprogramme utilisé sur une chaîne de fabrication est obtenu de manière fiable à partir de la
version autorisée créée sur le système de construction du microprogramme;
© ISO/IEC 2025 – Tous droits réservés
— vérifier la gestion de la configuration des programmes d’essai pour soumettre la TOE à l’essai sur la chaîne de
fabrication;
— confirmer que les processus de désactivation des interfaces d’essai ou de débogage de la TOE fonctionnent de
manière correcte et fiable;
— examiner la sécurité physique et logique des systèmes de gestion des clés utilisés pour injecter des clés ou des
certificats dans la TOE au cours de sa fabrication.
Dans cet exemple, l’action ALC_DVS.1.1E d’origine (voir ISO/IEC 15408-3:—, 12.5.4) est mise en
correspondance pour inclure toutes les nouvelles activités d’évaluation. Une approche alternative consiste à
définir des activités d’évaluation supplémentaires pour chaque unité de travail individuelle de l’ALC_DVS.1.1E
(voir ISO/IEC 15408-3:—, 12.5.4), en identifiant les activités supplémentaires pour couvrir l’environnement
de fabrication de cette unité de travail.
EXEMPLE 3 Un autre exemple peut être que l’analyse de vulnérabilité AVA_VAN.1 (étude des vulnérabilités) (voir
ISO/IEC 15408-3:—, 14.3.3) s’applique à un type particulier de TOE, et qu’il existe une exigence spécifique pour
assurer la cohérence des sources d’informations utilisées sur les vulnérabilités dans le domaine public. Une approche
possible consiste à définir une activité d’évaluation qui couvre l’unité de travail AVA_VAN (analyse de vulnérabilité)
(voir ISO/IEC 15408-3:—, 14.3) traitant de la recherche des sources dans le domaine public en spécifiant les sources
particulières à utiliser. Il est possible de le faire à l’aide de recherches particulières et de critères de décision pour la
sélection d’une liste de vulnérabilités potentielles à analyser et à tester. Dans cet exemple, l’unité de travail AVA_VAN.1-
3 d’origine (voir ISO/IEC 18045:—, 16.3.1.5.2) est mise en correspondance avec la nouvelle activité d’évaluation.
EXEMPLE 4
— Pour une méthode d’évaluation à utiliser avec du matériel comme un circuit intégré, il est possible de définir
les activités d’évaluation qui visent à examiner l’architecture du circuit en déterminant les données d’entrée
requises qui donnent à l’évaluateur des détails spécifiques sur les opérations et les informations disponibles via
les interfaces du circuit. La définition de ces données d’entrée requises peut alors indiquer clairement que les
interfaces pertinentes comprennent la surface physique du circuit, ses instructions de programmation exécutables
et ses interfaces de communication.
— D’autres activités d’évaluation comprises dans la méthode d’évaluation peuvent examiner la résistance du circuit
au sondage physique afin d’empêcher la manipulation ou la désactivation des fonctionnalités de la TSF.
— Pour les activités d’essai, les activités d’évaluation comprises dans la méthode d’évaluation peuvent définir des
données d’entrée requises qui présentent la conception du circuit sous la forme d’un organigramme des fonctions
de sécurité intégrées dans les sous-systèmes du circuit. L'organigramme peut ensuite être utilisé par l'évaluateur
pour créer des cas d'essai et confirmer la couverture du circuit par l'essai.
EXEMPLE 5
— Pour un type de TOE comme un appareil en réseau qui fournit des mises à jour de microprogrammes
cryptographiquement vérifiables, les activités d’évaluation peuvent donner des détails spécifiques sur la manière
dont l’évaluateur est tenu d’examiner la cible de sécurité et les documents d’orientation pour confirmer certaines
caractéristiques spécifiques exigées dans le processus de mise à jour cryptographique.
— D’autres activités d’évaluation peuvent définir des cas d’essai spécifiques qui couvrent la vérification du
microprogramme actuel, la disponibilité des mises à jour, l’obtention des mises à jour, la vérification de la source
des mises à jour au moyen de signatures cryptographiques, et l’utilisation de types de mises à jour non valides
spécifiques afin de tester les fonctions d’acceptation de la TOE.
4.3 Utilisation des verbes dans la description des méthodes d'évaluation et des activités
d'évaluation
Lorsqu’un verbe est défini dans l’ISO/IEC 15408-1, ce verbe doit être utilisé seulement conformément à la
définition dans la description des activités d’évaluation. Des verbes alternatifs peuvent être utilisés dans
une méthode d'évaluation pour ses activités d'évaluation, à condition que les verbes alternatifs soient définis
© ISO/IEC 2025 – Tous droits réservés
dans la méthode d'évaluation. Cette définition du verbe doit indiquer clairement dans quelle mesure le
jugement de l'évaluateur est impliqué (par opposition à une simple vérification).
EXEMPLE Une méthode d’évaluation qui comprend la génération automatique d’essais pour un protocole peut
définir le verbe «couvrir», appliqué aux types énumérés dans un paramètre de protocole, comme le fait d’essayer toutes
les valeurs définies et indéfinies du paramètre dans la limite de la longueur disponible du paramètre. Les activités
d'évaluation peuvent alors être rédigées sous des formes comme «L'évaluateur doit couvrir le champ PaymentMode».
4.4 Conventions de description des méthodes d'évaluation et des activités d'évaluation
Les conventions utilisées dans l’ISO/IEC 15408-3 et l’ISO/IEC 18045 assurent la cohérence à l’intérieur des
descriptions des méthodes d’évaluation et des activités d’évaluation et entre ces descriptions.
Tous les verbes relatifs aux unités de travail et aux sous-tâches sont précédés de la forme verbale «doit»
et par la présentation du verbe et de la forme verbale «doit» en caractères italiques gras. La forme verbale
«doit» est utilisée uniquement lorsque le texte fourni est obligatoire et donc uniquement dans les unités de
travail et les sous-tâches. Les unités de travail et les sous-tâches contiennent des activités obligatoires que
l’évaluateur doit effectuer pour attribuer des verdicts.
Le texte de recommandation accompagnant les unités de travail et les sous-tâches donne des explications
supplémentaires sur la manière d'appliquer les unités de travail et les sous-tâches dans une évaluation.
5 Structure d'une méthode d'évaluation
5.1 Vue d'ensemble
Une méthode d'évaluation et les activités d'évaluation qui la composent sont définies pour être utilisées dans
un contexte d'évaluation particulier. Par exemple, des méthodes d’évaluation distinctes peuvent être définies
pour des domaines technologiques spécifiques, qui peuvent aller de fonctions spécifiques à des types de
produits spécifiques, voire, dans des cas extrêmes, pour un produit spécifique, lorsque le produit est évalué
pour ses caractéristiques uniques, mais qu’une exigence impose de l’évaluer au moyen d’une méthode définie
séparément qui favorise la visibilité, la répétabilité et la reproductibilité de l’évaluation.
EXEMPLE Les contextes d’évaluation pour lesquels des méthodes d’évaluation distinctes peuvent être définies
sont les suivants:
— les types de produits spécifiques comme les appareils en réseau, les cartes à puce, les dispositifs biométriques et
les dispositifs mobiles;
— les fonctions de sécurité spécifiques réutilisées pour plusieurs types de produits, comme les fonctions
cryptographiques, les protocoles cryptographiques, la validation des certificats numériques, les systèmes
d’identification et d’authentification.
Une méthode d'évaluation se compose d'un ensemble d'activités d'évaluation individuelles, avec des
informations supplémentaires sur la manière dont les activités d'évaluation répondent collectivement à un
objectif lié à un contexte d'évaluation identifié.
La description d'une méthode d'évaluation comprend:
— l’identification de l’entité responsable de la définition et de la mise à jour de la méthode d’évaluation;
— le domaine d’application prévu de la méthode d’évaluation, en identifiant l’objectif permettant de dériver
les activités d’évaluation dans la méthode d’évaluation, le contexte d’évaluation dans lequel il est prévu
de l’appliquer, et toute limite connue de la méthode d’évaluation ou tout aspect qu’elle n’est pas prévue de
couvrir;
— les types d’outils et/ou les compétences de l’évaluateur exigées pour mener à bien les activités d’évaluation
comprises dans la méthode d’évaluation;
— les exigences éventuelles en matière de communication des résultats de l’application de la méthode
d’évaluation;
© ISO/IEC 2025 – Tous droits réservés
— l’identification de chaque unité de travail de l’ISO/IEC 18045 (ou l’équivalent pour une SAR étendue) qui
est traitée par les activités d’évaluation comprises dans la méthode d’évaluation;
— l’identification de toutes les SAR étendues à partir desquelles une méthode d’évaluation est dérivée (le
cas échéant);
— tout verbe supplémentaire utilisé dans la description des activités d’évaluation à la place des verbes
définis dans l’ISO/IEC 15408-1.
Une description plus détaillée du contenu, y compris l’identification des éléments de contenu obligatoires et
la manière dont les éléments de contenu peuvent être répartis entre la méthode d’évaluation et ses activités
d’évaluation, est indiquée en 5.2 et 6.2, et résumée dans le Tableau 1. Lorsqu’un élément de contenu est
facultatif (par exemple, l’identification des compétences spécifiques de l’évaluateur ou des types d’outils
exigés), cette partie peut simplement être omise de la définition correspondante: il n’est pas nécessaire
d’inclure une section vierge.
5.2 Spécification d'une méthode d'évaluation
5.2.1 Vue d'ensemble
Une méthode d’évaluation est spécifiée en fonction des informations identifiées de 5.2.2 à 5.2.12. Aucun
format spécifique n’est exigé pour fournir ou présenter ces informations, sauf en cas d’indication relative
à des éléments individuels de 5.2.2 à 5.2.12. L’objet de la spécification de la description des méthodes
d’évaluation de 5.2.2 à 5.2.12 est d’assurer que les techniques d’assurance utilisées dans une évaluation
puissent être identifiées sans ambiguïté et que la méthode d’évaluation soit utilisée de manière appropriée
(dans le contexte pour lequel elle a été conçue) et d’une manière qui permet d’obtenir des résultats
d’évaluation cohérents.
En général, la description d'une méthode d'évaluation peut être utilisée pour inclure la description des
activités d'évaluation individuelles qu'elle contient. Cela signifie que certains aspects de la description de la
méthode d'évaluation peuvent être déduits de la description des activités d'évaluation.
La Figure 3 représente le contenu d’une méthode d’évaluation décrit dans le présent document. Elle ne
définit pas de structure obligatoire pour décrire une méthode d'évaluation.
Figure 3 — Contenu d'une méthode d'évaluation
© ISO/IEC 2025 – Tous droits réservés
Le contenu présenté à la Figure 3 est décrit plus en détail de 5.2.2 à 5.2.12 et en 6.2. Un résumé des exigences
obligatoires et facultatives relatives à la spécification des méthodes d’évaluation et des activités d’évaluation
est donné dans le Tableau 1.
Tableau 1 — Répartition du contenu entre les méthodes d'évaluation et les activités d'évaluation
Élément de contenu Méthode d'évalua- Activité d'évalua-
tion tion
Identifiant Obligatoire Obligatoire
Entité responsable Obligatoire Non applicable
Domaine d'application Obligatoire Non applicable
Dépendances Facultatif Facultatif
Données d'entrée requises Obligatoire Obligatoire
Types d'outils requis Facultatif Facultatif
Compétences de l'évaluateur requises Facultatif Facultatif
Exigences applicables aux rapports Facultatif Facultatif
Justification Obligatoire Obligatoire
Activités d'évaluation Obligatoire Non applicable
Définitions supplémentaires des verbes Facultatif Non applicable
Objectif Non applicable Obligatoire
Liens de l'activité d'évaluation avec les SFR, les SAR et les autres acti- Non applicable Facultatif
vités d'évaluation
Stratégie d'appréciation Non applicable Obligatoire
Critères de réussite/échec Non applicable Facultatif
5.2.2 Identification des méthodes d'évaluation
La définition d'une méthode d'évaluation doit comprendre un identifiant unique qui permet d'identifier
sans ambiguïté l'ensemble des activités d'évaluation à appliquer dans le cadre d'une évaluation donnée.
Un identifiant doit être attribué au niveau de la méthode d’évaluation (plutôt qu’au niveau des activités
d’évaluation qu’elle contient), étant donné qu’une méthode d’évaluation est destinée à être appliquée dans
son ensemble et associée à une justification, ainsi qu’à un but et à des objectifs définis à ce niveau. Si un
ensemble d'activités d'évaluation a été regroupé dans une méthode d'évaluation, celle-ci doit être identifiée
comme la même méthode d'évaluation seulement lorsque l'ensemble complet des activités d'évaluation de la
méthode d'évaluation est utilisé, avec la même justification que celle contenue dans la méthode d'évaluation
initiale. S'il est nécessaire de diviser la méthode d'évaluation en sous-ensembles d'activités d'évaluation plus
petits, une méthode d'évaluation distincte, avec sa propre justification, do
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...