Critères et méthodologies d’évaluation


Critères communs

CC : Common criteria for Information Technology Security Evaluation
www.commoncriteriaportal.org

 

Version 2.1


Part. 1 – Introduction and general model Part. 2 – Security functional requirements Part. 3 – Security assurance requirements Evaluation Methodology
CC v2.1 – Part 1 – fr CC v2.1 – Part 2 – fr CC v2.1 – Part 3 – fr CEM v1.0

Version 2.2


Part. 1 – Introduction and general model Part. 2 – Security functional requirements Part. 3 – Security assurance requirements Evaluation Methodology
CC v2.2 – Part 1 – en CC v2.2 – Part 2 – en CC v2.2 – Part 3 – en CEM v2.2

Version 2.3


Part. 1 – Introduction and general model Part. 2 – Security functional requirements Part. 3 – Security assurance requirements Evaluation Methodology
CC v2.3 – Part 1 – en CC v2.3 – Part 2 – en CC v2.3 – Part 3 – en CEM v2.3

Version 3.1r1


Part. 1 – Introduction and general model Part. 2 – Security functional requirements Part. 3 – Security assurance requirements Evaluation Methodology
CC v3.1r1 – Part 1 – en CC v3.1r1 – Part 2 – en CC v3.1r1 – Part 3 – en CEM v3.1r1

Version 3.1 rev.2



Part. 1 – Introduction and general model Part. 2 – Security functional requirements Part. 3 – Security assurance requirements Evaluation Methodology
- CC v3.1r2 – Part 3 – en CC v3.1r2 – Part 2 – en CEM v3.1r2

Version 3.1 rev.3


Part. 1 – Introduction and general model Part. 2 – Security functional requirements Part. 3 – Security assurance requirements Evaluation Methodology
CC v3.1r3 – Part 1 – en CC v3.1r3 – Part 2 – en CC v3.1r3 – Part 3 – en CEM v3.1r3

Version 3.1 rev.4


Part. 1 – Introduction and general model Part. 2 – Security functional requirements Part. 3 – Security assurance requirements Evaluation Methodology
CC v3.1r4 – Part 1 – en CC v3.1r4 – Part 2 – en CC v3.1-R4 – Part3 CEM v3.1r4

Version 3.1 rev.5


Part. 1 – Introduction and general model Part. 2 – Security functional requirements Part. 3 – Security assurance requirements Evaluation Methodology
CC v3.1r5 – Part 1 – en CC v3.1r5 – Part 2 – en CC v3.1r5 – Part 3 – en CEM v3.1r5
 
Addenda au CC version 3 : démarche PP modulaire, version 1.0

 

Certification de Sécurité de Premier Niveau (CSPN)

En application des décisions prises lors du comité interministériel de la société de l’information du 11 juillet 2006, l’ANSSI est chargée de proposer et d’expérimenter un processus de délivrance d’un label de premier niveau pour les produits de sécurité des systèmes d’information permettant notamment de labelliser des logiciels libres. Plus d’information sur la CSPN
 

Critères ITSEC

ITSEC : Critères d’évaluation de la sécurité des systèmes informatiques (ITSEC), version 1.2, juin 1991 (version française, version anglaise)
ITSEM : Manuel d’évaluation de la sécurité des technologies de l’information (ITSEM), version 1.0, septembre 1993 (version française, version anglaise)
JIL : ITSEC Joint Interpretation Library (ITSEC JIL), version 2.0, novembre 1998 (version anglaise)
 

Normes internationales ISO/IEC

ISO/IEC 15408 Information technology – Security techniques – Evaluation criteria for IT security :
version 1999 équivalente aux Critères Communs v2.1 ISO/IEC 15408-1:1999 Part 1 : Introduction and general model ISO/IEC 15408-2:1999 Part 2 : Security functional requirements ISO/IEC 15408-3:1999 Part 3 : Security assurance requirements

version 2005 équivalente aux Critères Communs v2.3 ISO/IEC 15408-1:2005(E) :Introduction and general model ISO/IEC 15408-2:2005(E) : Security functional requirements ISO/IEC 15408-3:2005(E) : Security assurance requirements

ISO/IEC 18045 Information technology – Security techniques – Methodology for IT security evaluation version 2005 équivalente à la CEM v2.3
 

Guides d’aide à l’application des critères d’évaluation

Les documents marqués « mandatory » doivent être utilisés pour les produits concernés. Pour les autres (guidance ou sans mention), il est recommandé de les référencer et des les utiliser dans les évaluations.
CC Supporting Documents (www.commoncriteriaportal.org)
  • AGuidance for smartcard evaluation (guidance)
  • Application of Attack potential to smartcards (mandatory)
  • Application of CC to integrated circuit (mandatory)
  • Composite product evaluation for smartcards and similar devices (mandatory)
  • ETR-template lite for composition (guidance)
  • Requirements to perform integrated circuit evaluations
Guides émis par le groupe de travail JIL Working Group

Général
  • Collection of developer evidence
Cartes à puce et dispositifs similaires
  • Guidance for smartcard evaluation
  • Application of CC to IC
  • Application of attack potential to smartcards
  • Composite product evaluation for Smart Card and similar doves
  • ETR-lite for composite evaluation template
  • Requirements to perform IC evaluations
  • The Security Architecture requirements (ADV_ARC) for smart cards and similar devices
  • Certification of “open” smart card product
  • Minimum site requirements

Equipements matériels avec boitiers sécurisés
  • Application of attack potential to hardware devices with security boxes
  • Terminaux de paiements – Application of attack potential to POIs – CEM refinements for POI evaluation
  • Chronotachygraphe numérique – Security evaluation and certification of digital tachography