この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受領した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受領した特許宣言の IEC リスト ( https://patents.iec.ch を参照) に記載されます。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、 www.iso.org/iso/foreword.html を参照してください。 IEC については、 www.iec.ch/ Understanding-standards を参照してください。
この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
ISO/IEC 23532 シリーズのすべての部品のリストは、ISO および IEC の Web サイトでご覧いただけます。
導入
ISO/IEC 19790 および ISO/IEC 24759 のテスト要件に準拠するためのテストを実施する研究所は、ISO/IEC 17025:2017 を利用し、ISO/IEC 17025:2017 への準拠を要求する場合があります。 ISO/IEC 17025:2017 は、広範な試験および校正ラボが適切に機能し、有効な結果を生成できることを実証できるようにするための一般的な要件を規定しています。
このような検証を行う研究所には、有効な結果を生成できるようにする ISO/IEC 19790 に対する特定の能力要件があります。
この文書は、情報セキュリティ試験および評価研究所に特有の ISO/IEC 17025:2017 に対する追加の詳細と補足要件を提供することにより、研究所と他の団体間の協力とより良い適合性および調和を促進します。この文書は、国および認定機関によって、研究所の評価および認定のための一連の要件として使用される場合があります。
実装者を支援するために、この文書には ISO/IEC 17025:2017 と同じ番号が付けられています。補足要件は、ISO/IEC 17025:2017 に追加されるサブ条項として提示されます。
1 スコープ
この文書は、ISO/IEC 19790 および ISO/IEC 24759 に基づいて試験を実施する研究所向けに、ISO/IEC 17025:2017 に記載されている手順および一般要件を補完および補足します。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 17000, 適合性評価 - 語彙と一般原則
- ISO/IEC 17025:2017, 試験および校正機関の能力に関する一般要件
- ISO/IEC 19790, 情報技術 - セキュリティ技術 - 暗号モジュールのセキュリティ要件
- ISO/IEC 19896-1, IT セキュリティ技術 — 情報セキュリティテスターおよび評価者の能力要件 — Part 1: はじめに、概念および一般要件
- ISO/IEC 19896-2, IT セキュリティ技術 — 情報セキュリティテスターおよび評価者の能力要件 — Part 2: ISO/IEC 19790 テスターの知識、スキル、有効性要件
3 用語と定義
この文書の目的上、ISO/IEC 17000, ISO/IEC 17025:2017, ISO/IEC 19790, ISO/IEC 19896-1, ISO/IEC 19896-2, および以下に示される用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
暗号セキュリティ試験研究所
試験所
暗号モジュールのセキュリティテストや暗号アルゴリズムの適合性テストを実施する研究所
注記 1:暗号モジュールのセキュリティー・テストについては、ISO/IEC 24759 を参照。
注記 2:暗号アルゴリズム適合性テストについては、ISO/IEC 18367 を参照。
3.2
テスト中の実装
IUT
このドキュメントで指定されたメソッドに基づいてテストされる実装
[出典:ISO/IEC 17825:2016, 3.9, 修正 - 「国際規格」を「文書」に変更。]
参考文献
| 1 | ISO/IEC 17825:2016, 情報技術 — セキュリティ技術 — 暗号モジュールに対する非侵襲的攻撃クラスの軽減のためのテスト方法 |
| 2 | ISO/IEC 18367, 情報技術 - セキュリティ技術 - 暗号化アルゴリズムとセキュリティ メカニズムの適合性テスト |
| 3 | ISO/IEC 20085-1, IT セキュリティ技術 — 暗号モジュールにおける非侵襲的攻撃軽減技術のテストに使用するテスト ツール要件とテスト ツール調整方法 — Part 1: テスト ツールと技術 |
| 4 | ISO/IEC 20085-2, IT セキュリティ技術 — 暗号モジュールにおける非侵襲的攻撃軽減技術のテストに使用するテスト ツール要件およびテスト ツール調整方法 — Part 2: テスト キャリブレーション方法および装置 |
| 5 | ISO/IEC TS 20540, 情報技術 - セキュリティ技術 - 運用環境での暗号化モジュールのテスト |
| 6 | ISO/IEC 20543, 情報技術 - セキュリティ技術 - ISO/IEC 19790 および ISO/IEC 15408 内のランダム ビット ジェネレーターのテストおよび分析方法 |
| 7 | ISO/IEC 24759, 情報技術 - セキュリティ技術 - 暗号化モジュールのテスト要件 |
| 8 | ISO/IEC TS 30104, 情報技術 - セキュリティ技術 - 物理的セキュリティ攻撃、緩和技術およびセキュリティ要件 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see https://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
A list of all parts in the ISO/IEC 23532 series can be found on the ISO and IEC websites.
Introduction
Laboratories performing testing for conformance to ISO/IEC 19790 and the test requirements in ISO/IEC 24759 may utilize and require conformance to ISO/IEC 17025:2017. ISO/IEC 17025:2017 gives generalized requirements for a broad range of testing and calibration laboratories to enable them to demonstrate that they operate competently and are able to generate valid results.
Laboratories that perform such validations have specific requirements for competence to ISO/IEC 19790 that will enable them to generate valid results.
By providing additional details and supplementary requirements to ISO/IEC 17025:2017 that are specific to information security testing and evaluation laboratories, this document will facilitate cooperation and better conformity and harmonization between laboratories and other bodies. This document may be used by countries and accreditation bodies as a set of requirements for lab assessments and accreditations.
To help implementers, this document is numbered identically to ISO/IEC 17025:2017. Supplementary requirements are presented as subclauses additional to ISO/IEC 17025:2017.
1 Scope
This document complements and supplements the procedures and general requirements found in ISO/IEC 17025:2017 for laboratories performing testing based on ISO/IEC 19790 and ISO/IEC 24759.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 17000, Conformity assessment — Vocabulary and general principles
- ISO/IEC 17025:2017, General requirements for the competence of testing and calibration laboratories
- ISO/IEC 19790, Information technology — Security techniques — Security requirements for cryptographic modules
- ISO/IEC 19896-1, IT security techniques — Competence requirements for information security testers and evaluators — Part 1: Introduction, concepts and general requirements
- ISO/IEC 19896-2, IT security techniques — Competence requirements for information security testers and evaluators — Part 2: Knowledge, skills and effectiveness requirements for ISO/IEC 19790 testers
3 Terms and definitions
For the purposes of this document, the terms and definitions given in in ISO/IEC 17000, ISO/IEC 17025:2017, ISO/IEC 19790, ISO/IEC 19896-1, ISO/IEC 19896-2 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
cryptographic security testing laboratory
testing laboratory
laboratory performing cryptographic module security testing and/or cryptographic algorithms conformance testing
Note 1 to entry: See ISO/IEC 24759 for cryptographic module security testing.
Note 2 to entry: See ISO/IEC 18367 for cryptographic algorithms conformance testing.
3.2
implementation under test
IUT
implementation which is tested based on methods specified in this document
[SOURCE:ISO/IEC 17825:2016, 3.9, modified —"International Standard" changed to"document".]
Bibliography
| 1 | ISO/IEC 17825:2016, Information technology — Security techniques — Testing methods for the mitigation of non-invasive attack classes against cryptographic modules |
| 2 | ISO/IEC 18367, Information technology — Security techniques — Cryptographic algorithms and security mechanisms conformance testing |
| 3 | ISO/IEC 20085-1, IT Security techniques — Test tool requirements and test tool calibration methods for use in testing non-invasive attack mitigation techniques in cryptographic modules — Part 1: Test tools and techniques |
| 4 | ISO/IEC 20085-2, IT Security techniques — Test tool requirements and test tool calibration methods for use in testing non-invasive attack mitigation techniques in cryptographic modules — Part 2: Test calibration methods and apparatus |
| 5 | ISO/IEC TS 20540, Information technology — Security techniques — Testing cryptographic modules in their operational environment |
| 6 | ISO/IEC 20543, Information technology — Security techniques — Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC 15408 |
| 7 | ISO/IEC 24759, Information technology — Security techniques — Test requirements for cryptographic modules |
| 8 | ISO/IEC TS 30104, Information Technology — Security Techniques — Physical Security Attacks, Mitigation Techniques and Security Requirements |