標準解讀

《GB/T 18336.1-2015 信息技術 安全技術 信息技術安全評估準則 第1部分:簡介和一般模型》相比于其前版《GB/T 18336.1-2008 信息技術 安全技術 信息技術安全性評估準則 第1部分:簡介和一般模型》,主要在以下幾個方面進行了調整和更新:

  1. 術語與定義更新:新版標準對一些關鍵術語和定義進行了修訂和增補,以反映信息安全領域的新發展和技術進步,確保術語的準確性和時代性。

  2. 評估方法論優化:對信息技術產品的安全評估方法論進行了改進,引入了更系統化和結構化的評估流程,增強了評估的全面性和深度,有助于提高評估的效率和準確性。

  3. 安全功能要求調整:根據技術進步和安全威脅的演變,對安全功能要求進行了調整,增加了對新興安全威脅如云計算、大數據、物聯網等領域的考量,確保評估準則能夠覆蓋當前信息技術環境下的安全需求。

  4. 通用安全保護輪廓(GSP)與安全目標(ST)的制定指導:提供了更加詳細和實際操作性的指導,幫助開發者和評估者更好地理解和制定符合最新安全要求的通用安全保護輪廓和安全目標,增強產品的可比性和互操作性。

  5. 國際標準化一致性增強:新版標準進一步與國際上的相關安全評估標準如CC(Common Criteria)保持一致,這有助于促進國際間的認可和合作,降低跨國貿易的技術壁壘。

  6. 風險管理視角的強化:強調了在安全評估過程中考慮風險管理的重要性,引導組織從風險的角度出發,合理配置資源,實施有效的安全控制措施。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現行標準GB/T 18336.1-2024
  • 2015-05-15 頒布
  • 2016-01-01 實施
?正版授權
GB/T 18336.1-2015信息技術安全技術信息技術安全評估準則第1部分:簡介和一般模型_第1頁
GB/T 18336.1-2015信息技術安全技術信息技術安全評估準則第1部分:簡介和一般模型_第2頁
GB/T 18336.1-2015信息技術安全技術信息技術安全評估準則第1部分:簡介和一般模型_第3頁
GB/T 18336.1-2015信息技術安全技術信息技術安全評估準則第1部分:簡介和一般模型_第4頁
GB/T 18336.1-2015信息技術安全技術信息技術安全評估準則第1部分:簡介和一般模型_第5頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T183361—2015/ISO/IEC15408-12009

.代替:

GB/T18336.1—2008

信息技術安全技術

信息技術安全評估準則

第1部分簡介和一般模型

:

Informationtechnology—Securitytechniques—

EvaluationcriteriaforITsecurity—

Part1Introductionandeneralmodel

:g

(ISO/IEC15408-1:2009,IDT)

2015-05-15發布2016-01-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T183361—2015/ISO/IEC15408-12009

.:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………15

概述

5………………………16

綜述

5.1…………………16

5.2TOE………………16

目標讀者

5.3……………17

不同部分

5.4……………18

評估背景

5.5……………19

一般模型

6…………………19

簡介

6.1…………………19

資產和對策

6.2…………………………19

評估

6.3…………………22

剪裁安全要求

7……………23

操作

7.1…………………23

組件間的依賴關系

7.2…………………24

擴展組件

7.3……………25

保護輪廓和包

8……………25

引言

8.1…………………25

8.2……………………25

保護輪廓

8.3……………26

使用保護輪廓和包

8.4…………………28

使用多個保護輪廓

8.5…………………28

評估結果

9…………………28

序言

9.1…………………28

評估結果

9.2PP………………………29

評估結果

9.3ST/TOE…………………29

符合性聲明

9.4…………………………29

使用評估結果

9.5ST/TOE…………30

附錄資料性附錄安全目標規范

A()……………………31

附錄資料性附錄保護輪廓規范

B()……………………44

附錄資料性附錄操作指南

C()…………49

附錄資料性附錄符合性

D()PP………………………52

參考文獻

……………………53

GB/T183361—2015/ISO/IEC15408-12009

.:

前言

信息技術安全技術信息技術安全評估準則分為以下個部分

GB/T18336《》3:

第部分簡介和一般模型

———1:;

第部分安全功能組件

———2:;

第部分安全保障組件

———3:。

本部分為的第部分

GB/T183361。

本部分按照給出的規則起草

GB/T1.1—2009。

本部分代替信息技術安全技術信息技術安全評估準則第部分簡

GB/T18336.1—2008《1:

介和一般模型

》。

本部分與的主要差異如下

GB/T18336.1—2008:

增加了規范性引用文件

———“2”;

術語和定義中增加了與開發類相關的術語和定義與指導性文檔

———“3”“3.2(ADV)”、“3.3

類相關的術語和定義與生命周期支持類相關的術語和定義與

(AGD)”、“3.4(ALC)”、“3.5

脆弱性評定類相關的術語和定義與組合類相關的術語和定義

(AVA)”、“3.6(ACO)”;

概述中增加了

———“5”“5.2TOE”;

將適用的產品和系統改為產品

———GB/T18336“IT”“IT”;

安全相關要素保證方法調整為本部分的資產和對策評估

———“5.1”、“5.2”“6.2”、“6.3”;

刪除了的安全概念

———GB/T18336.1—2008“5.3”;

安全要求的表達調整為本部分的剪裁安全要求

———“5.4.1”“7”;

刪除了的評估類型

———GB/T18336.1—2008“5.4.2”;

增加了保護輪廓和包

———“8”;

要求和評估結果調整為本部分的評估結果

———“6GB/T18336”“9”;

附錄保護輪廓規范調整為本部分的附錄保護輪廓規范并增加了低保障

———“A”“B”,“B.11

的保護輪廓在中引用其他標準

”、“B.12PP”;

附錄安全目標規范調整為本部分的附錄安全目標規范并增加了使用

———“B”“A”,“A.3

可解答的問題低保障安全目標在中引用其他

ST”、“A.11ST”、“A.12”、“A.13ST

標準

”。

本部分使用翻譯法等同采用國際標準信息技術安全技術信息技術安

ISO/IEC15408-1:2009《

全評估準則第部分簡介和一般模型

1:》。

與本部分中規范性引用的國際文件有一致性對應關系的我國文件如下

:

信息技術安全技術信息技術安全評估準則第部分安全功能

———GB/T18336.2—20152:

組件

(ISO/IEC15408-2:2008,IDT)

信息技術安全技術信息技術安全評估準則第部分安全保障

———GB/T18336.3—20153:

組件

(ISO/IEC15408-3:2008,IDT)

信息技術安全技術信息技術安全性評估方法

———GB/T30270(GB/T30270—2013,

ISO/IEC18045:2005,IDT)

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分起草單位中國信息安全測評中心信息產業信息安全測評中心公安部第三研究所

:、、。

本部分主要起草人張翀斌郭穎石竑松畢海英張寶峰高金萍王峰楊永生李國俊董晶晶

:、、、、、、、、、、

GB/T183361—2015/ISO/IEC15408-12009

.:

謝蒂王鴻嫻張怡顧健邱梓華宋好好陳妍楊元原賈煒王宇航王亞楠

、、、、、、、、、、。

本部分所代替標準的歷次版本發布情況

:

———GB/T18336.1—2001

———GB/T18336.1—2008

GB/T183361—2015/ISO/IEC15408-12009

.:

引言

可讓各個獨立的安全評估結果之間具備可比性為此針對安全

ISO/IEC15408。,ISO/IEC15408

評估中的信息技術產品的安全功能及其保障措施提供了一套通用要求這些產品的實現形式

(IT)。IT

可以是硬件固件或軟件

、。

評估過程可為產品的安全功能及其保障措施滿足這些要求的情況建立一個信任級別評估結

IT。

果可以幫助消費者確定該產品是否滿足其安全要求

IT。

可為具有安全功能的產品的開發評估以及采購過程提供指導

ISO/IEC15408IT、。

有很大的靈活性以便可對范圍廣泛的產品的眾多安全屬性采用一系列的評估

ISO/IEC15408,IT

方法因此用戶需謹慎運用以避免誤用此類靈活性例如若使用

。,ISO/IEC15408,。,ISO/IEC15408

時采取了不合適的評估方法選擇了不相關的安全屬性或針對的產品不恰當都將導致無意義的評

、IT,

估結果

因此產品經過評估的事實只有在提及選擇了哪些安全屬性以及采用了何種評估方法的情況

,IT,

下才有意義評估授權機構需要仔細地審查產品安全屬性及評估方法以確定對其評估是否可產生有

。、

意義的結論另外評估產品的購買方也需要仔細地考慮評估這種情況以確定該產品是否有用且能

。,,,

否滿足其特定的環境和需要

致力于保護資產免遭未授權的泄漏修改或喪失可用性此類保護與三種安全失

ISO/IEC15408、。

效情況對應通常分別稱為機密性完整性和可用性此外也適用于安全的其他方

,、。,ISO/IEC15408IT

面可用于考慮人為的無論惡意與否以及非人為的因素導致的風險另外

。ISO/IEC15408()。,

還可用于技術的其他領域但對安全領域外的適用性不作申明

ISO/IEC15408IT,。

對某些問題因涉及專業技術或對安全而言較為次要因此不在范圍之內

,IT,ISO/IEC15408,

例如

:

不包括那些與安全措施沒有直接關聯的屬于行政性管理安全措施的安全

a)ISO/IEC15408IT

評估準則但是應該認識到安全的某些重要組成部分可通過諸如組織的人員的物

。,TOE、、

理的程序的控制等行政性管理措施來實現

、;

沒有明確涵蓋電磁輻射控制等安全中技術性物理方面的評估雖然標準中

b)ISO/IEC15408IT,

的許多概念適用于該領域換句話說只涉及物理保護的某些方面

。,ISO/IEC15408TOE;

并不涉及評估方法具體的評估方法在中給出

c)ISO/IEC15408,ISO/IEC18045;

不涉及評估管理機構使用本準則的管理和法律框架但也可

d)ISO/IEC15408,ISO/IEC15408

被用于此框架下的評估

;

評估結果用于產品認可的程序不屬于的范圍產品的認可是行政性的管理

e)ISO/IEC15408。

過程據此準許產品在其整個運行環境中投入使用評估側重于產品的安全部分以及

,IT。IT,

直接影響到單元安全使用的那些運行環境因此評估結果是認可過程的重要輸入但是

IT,,。,

由于其他技術更適合于評估非相關屬性以及其與安全部分的關系認可者應針對這些

ITIT,

情況分別制定不同的條款

;

不包括評價密碼算法固有質量相關的標準條款如果需要對嵌入的密

f)ISO/IEC15408。TOE

碼算法的數學特性進行獨立評估則必須在使用的評估體制中為相關評估制

,ISO/IEC15408

定專門條款

GB/T183361—2015/ISO/IEC15408-12009

.:

信息技術安全技術

信息技術安全評估準則

第1部分簡介和一般模型

:

1范圍

的本部分建立了安全評估的一般概念和原則詳細描述了各部分

GB/T18336IT,ISO/IEC15408

給出的一般評估模型該模型整體上可作為評估產品安全屬性的基礎

,IT。

本部分給出了的總體概述它描述了的各部分內容定義了在

ISO/IEC15408。ISO/IEC15408;

各部分將使用的術語及縮略語建立了關于評估對象的核心概念論述了評估

ISO/IEC15048;(TOE);

背景并描述了評估準則針對的讀者對象此外還介紹了產品評估所需的基本安全概念

;。,IT。

本部分定義了裁剪和描述的功能和保障組件時可用的各種

ISO/IEC15408-2ISO/IEC15408-3

操作

本部分還詳細說明了保護輪廓安全要求包和符合性這些關鍵概念并描述了評估產生的結

(PP)、,

果和評估結論的本部分給出了規范安全目

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論