Définition et objectif

Le principal objectif de l'ISO/IEC 15408 ou Common Criteria est de fournir un ensemble de normes pour les fonctionnalités de sécurité des produits TI et pour les mesures de garantie appliquées à ces produits lors d'une évaluation de sécurité. Il permet aux fournisseurs de faire évaluer et certifier leurs produits de manière indépendante selon des normes de sécurité reconnues, et fournit aux acheteurs une métrique pour déterminer les propriétés de sécurité des produits TI.

Organisme de régulation

La norme est développée conjointement et publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC).

Dernière mise à jour

ISO/IEC 15288 a été mis à jour pour la dernière fois en 2022, connu sous le nom d'ISO/IEC15288-1:2022.

S'applique à

L'ISO/IEC 15408 s'applique aux industries des TI et à tout autre secteur qui dépend des produits TI et souhaite s'assurer que ces produits répondent à certains critères de sécurité spécifiques. Cela inclut, mais sans s'y limiter, des secteurs tels que le gouvernement, la défense, la santé, les finances et les télécommunications.

Contrôles et exigences

Le cadre des Common Criteria se compose de trois parties principales :

• Introduction et modèle général - Cela englobe les concepts et principes généraux de l'évaluation de la sécurité des TI et jette les bases pour les autres parties.
• Composants fonctionnels de sécurité - Définit un ensemble d'exigences fonctionnelles de sécurité, qui sont utilisées comme critères pour évaluer les capacités de sécurité d'un produit.
• Composants d'assurance de sécurité - Décrit les critères détaillés pour les mesures de garantie appliquées aux produits lors d'une évaluation de la sécurité.

Pour obtenir la certification, un produit doit répondre à des profils de protection spécifiques (PP) qui définissent un ensemble standard d'exigences de sécurité pour un type particulier de produit ou de système.

Veuillez vous référer à la documentation officielle ISO/IEC15288-1:2022 pour une liste détaillée des contrôles et exigences.

Type d'audit, fréquence et durée

Les évaluations selon les Critères Communs sont effectuées dans des installations d'évaluation agréées, ce qui conduit à l'octroi d'une certification de sécurité par l'organisme de certification d'un pays participant. La fréquence des évaluations est souvent déterminée par les modifications apportées au produit, la nécessité d'atteindre un niveau d'assurance d'évaluation (EAL) supérieur ou l'expiration d'une certification existante.

Le temps nécessaire pour une évaluation dépend de la profondeur et de la portée de l'évaluation et du niveau d'assurance d'évaluation (EAL) recherché, l'EAL1 étant le plus basique et l'EAL7 le plus rigoureux.