標(biāo)準(zhǔn)解讀

《GB/T 18336.1-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第1部分:簡(jiǎn)介和一般模型》相比于其前版《GB/T 18336.1-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第1部分:簡(jiǎn)介和一般模型》,主要在以下幾個(gè)方面進(jìn)行了調(diào)整和更新:

  1. 術(shù)語(yǔ)與定義更新:新版標(biāo)準(zhǔn)對(duì)一些關(guān)鍵術(shù)語(yǔ)和定義進(jìn)行了修訂和增補(bǔ),以反映信息安全領(lǐng)域的新發(fā)展和技術(shù)進(jìn)步,確保術(shù)語(yǔ)的準(zhǔn)確性和時(shí)代性。

  2. 評(píng)估方法論優(yōu)化:對(duì)信息技術(shù)產(chǎn)品的安全評(píng)估方法論進(jìn)行了改進(jìn),引入了更系統(tǒng)化和結(jié)構(gòu)化的評(píng)估流程,增強(qiáng)了評(píng)估的全面性和深度,有助于提高評(píng)估的效率和準(zhǔn)確性。

  3. 安全功能要求調(diào)整:根據(jù)技術(shù)進(jìn)步和安全威脅的演變,對(duì)安全功能要求進(jìn)行了調(diào)整,增加了對(duì)新興安全威脅如云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等領(lǐng)域的考量,確保評(píng)估準(zhǔn)則能夠覆蓋當(dāng)前信息技術(shù)環(huán)境下的安全需求。

  4. 通用安全保護(hù)輪廓(GSP)與安全目標(biāo)(ST)的制定指導(dǎo):提供了更加詳細(xì)和實(shí)際操作性的指導(dǎo),幫助開(kāi)發(fā)者和評(píng)估者更好地理解和制定符合最新安全要求的通用安全保護(hù)輪廓和安全目標(biāo),增強(qiáng)產(chǎn)品的可比性和互操作性。

  5. 國(guó)際標(biāo)準(zhǔn)化一致性增強(qiáng):新版標(biāo)準(zhǔn)進(jìn)一步與國(guó)際上的相關(guān)安全評(píng)估標(biāo)準(zhǔn)如CC(Common Criteria)保持一致,這有助于促進(jìn)國(guó)際間的認(rèn)可和合作,降低跨國(guó)貿(mào)易的技術(shù)壁壘。

  6. 風(fēng)險(xiǎn)管理視角的強(qiáng)化:強(qiáng)調(diào)了在安全評(píng)估過(guò)程中考慮風(fēng)險(xiǎn)管理的重要性,引導(dǎo)組織從風(fēng)險(xiǎn)的角度出發(fā),合理配置資源,實(shí)施有效的安全控制措施。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 18336.1-2024
  • 2015-05-15 頒布
  • 2016-01-01 實(shí)施
?正版授權(quán)
GB/T 18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第1頁(yè)
GB/T 18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第2頁(yè)
GB/T 18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第3頁(yè)
GB/T 18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第4頁(yè)
GB/T 18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型_第5頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T183361—2015/ISO/IEC15408-12009

.代替:

GB/T18336.1—2008

信息技術(shù)安全技術(shù)

信息技術(shù)安全評(píng)估準(zhǔn)則

第1部分簡(jiǎn)介和一般模型

:

Informationtechnology—Securitytechniques—

EvaluationcriteriaforITsecurity—

Part1Introductionandeneralmodel

:g

(ISO/IEC15408-1:2009,IDT)

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T183361—2015/ISO/IEC15408-12009

.:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………15

概述

5………………………16

綜述

5.1…………………16

5.2TOE………………16

目標(biāo)讀者

5.3……………17

不同部分

5.4……………18

評(píng)估背景

5.5……………19

一般模型

6…………………19

簡(jiǎn)介

6.1…………………19

資產(chǎn)和對(duì)策

6.2…………………………19

評(píng)估

6.3…………………22

剪裁安全要求

7……………23

操作

7.1…………………23

組件間的依賴關(guān)系

7.2…………………24

擴(kuò)展組件

7.3……………25

保護(hù)輪廓和包

8……………25

引言

8.1…………………25

8.2……………………25

保護(hù)輪廓

8.3……………26

使用保護(hù)輪廓和包

8.4…………………28

使用多個(gè)保護(hù)輪廓

8.5…………………28

評(píng)估結(jié)果

9…………………28

序言

9.1…………………28

評(píng)估結(jié)果

9.2PP………………………29

評(píng)估結(jié)果

9.3ST/TOE…………………29

符合性聲明

9.4…………………………29

使用評(píng)估結(jié)果

9.5ST/TOE…………30

附錄資料性附錄安全目標(biāo)規(guī)范

A()……………………31

附錄資料性附錄保護(hù)輪廓規(guī)范

B()……………………44

附錄資料性附錄操作指南

C()…………49

附錄資料性附錄符合性

D()PP………………………52

參考文獻(xiàn)

……………………53

GB/T183361—2015/ISO/IEC15408-12009

.:

前言

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則分為以下個(gè)部分

GB/T18336《》3:

第部分簡(jiǎn)介和一般模型

———1:;

第部分安全功能組件

———2:;

第部分安全保障組件

———3:。

本部分為的第部分

GB/T183361。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分代替信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分簡(jiǎn)

GB/T18336.1—2008《1:

介和一般模型

》。

本部分與的主要差異如下

GB/T18336.1—2008:

增加了規(guī)范性引用文件

———“2”;

術(shù)語(yǔ)和定義中增加了與開(kāi)發(fā)類相關(guān)的術(shù)語(yǔ)和定義與指導(dǎo)性文檔

———“3”“3.2(ADV)”、“3.3

類相關(guān)的術(shù)語(yǔ)和定義與生命周期支持類相關(guān)的術(shù)語(yǔ)和定義與

(AGD)”、“3.4(ALC)”、“3.5

脆弱性評(píng)定類相關(guān)的術(shù)語(yǔ)和定義與組合類相關(guān)的術(shù)語(yǔ)和定義

(AVA)”、“3.6(ACO)”;

概述中增加了

———“5”“5.2TOE”;

將適用的產(chǎn)品和系統(tǒng)改為產(chǎn)品

———GB/T18336“IT”“IT”;

安全相關(guān)要素保證方法調(diào)整為本部分的資產(chǎn)和對(duì)策評(píng)估

———“5.1”、“5.2”“6.2”、“6.3”;

刪除了的安全概念

———GB/T18336.1—2008“5.3”;

安全要求的表達(dá)調(diào)整為本部分的剪裁安全要求

———“5.4.1”“7”;

刪除了的評(píng)估類型

———GB/T18336.1—2008“5.4.2”;

增加了保護(hù)輪廓和包

———“8”;

要求和評(píng)估結(jié)果調(diào)整為本部分的評(píng)估結(jié)果

———“6GB/T18336”“9”;

附錄保護(hù)輪廓規(guī)范調(diào)整為本部分的附錄保護(hù)輪廓規(guī)范并增加了低保障

———“A”“B”,“B.11

的保護(hù)輪廓在中引用其他標(biāo)準(zhǔn)

”、“B.12PP”;

附錄安全目標(biāo)規(guī)范調(diào)整為本部分的附錄安全目標(biāo)規(guī)范并增加了使用

———“B”“A”,“A.3

可解答的問(wèn)題低保障安全目標(biāo)在中引用其他

ST”、“A.11ST”、“A.12”、“A.13ST

標(biāo)準(zhǔn)

”。

本部分使用翻譯法等同采用國(guó)際標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安

ISO/IEC15408-1:2009《

全評(píng)估準(zhǔn)則第部分簡(jiǎn)介和一般模型

1:》。

與本部分中規(guī)范性引用的國(guó)際文件有一致性對(duì)應(yīng)關(guān)系的我國(guó)文件如下

:

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分安全功能

———GB/T18336.2—20152:

組件

(ISO/IEC15408-2:2008,IDT)

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分安全保障

———GB/T18336.3—20153:

組件

(ISO/IEC15408-3:2008,IDT)

信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估方法

———GB/T30270(GB/T30270—2013,

ISO/IEC18045:2005,IDT)

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本部分起草單位中國(guó)信息安全測(cè)評(píng)中心信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心公安部第三研究所

:、、。

本部分主要起草人張翀斌郭穎石竑松畢海英張寶峰高金萍王峰楊永生李國(guó)俊董晶晶

:、、、、、、、、、、

GB/T183361—2015/ISO/IEC15408-12009

.:

謝蒂王鴻嫻張怡顧健邱梓華宋好好陳妍楊元原賈煒王宇航王亞楠

、、、、、、、、、、。

本部分所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況

:

———GB/T18336.1—2001

———GB/T18336.1—2008

GB/T183361—2015/ISO/IEC15408-12009

.:

引言

可讓各個(gè)獨(dú)立的安全評(píng)估結(jié)果之間具備可比性為此針對(duì)安全

ISO/IEC15408。,ISO/IEC15408

評(píng)估中的信息技術(shù)產(chǎn)品的安全功能及其保障措施提供了一套通用要求這些產(chǎn)品的實(shí)現(xiàn)形式

(IT)。IT

可以是硬件固件或軟件

、。

評(píng)估過(guò)程可為產(chǎn)品的安全功能及其保障措施滿足這些要求的情況建立一個(gè)信任級(jí)別評(píng)估結(jié)

IT。

果可以幫助消費(fèi)者確定該產(chǎn)品是否滿足其安全要求

IT。

可為具有安全功能的產(chǎn)品的開(kāi)發(fā)評(píng)估以及采購(gòu)過(guò)程提供指導(dǎo)

ISO/IEC15408IT、。

有很大的靈活性以便可對(duì)范圍廣泛的產(chǎn)品的眾多安全屬性采用一系列的評(píng)估

ISO/IEC15408,IT

方法因此用戶需謹(jǐn)慎運(yùn)用以避免誤用此類靈活性例如若使用

。,ISO/IEC15408,。,ISO/IEC15408

時(shí)采取了不合適的評(píng)估方法選擇了不相關(guān)的安全屬性或針對(duì)的產(chǎn)品不恰當(dāng)都將導(dǎo)致無(wú)意義的評(píng)

、IT,

估結(jié)果

。

因此產(chǎn)品經(jīng)過(guò)評(píng)估的事實(shí)只有在提及選擇了哪些安全屬性以及采用了何種評(píng)估方法的情況

,IT,

下才有意義評(píng)估授權(quán)機(jī)構(gòu)需要仔細(xì)地審查產(chǎn)品安全屬性及評(píng)估方法以確定對(duì)其評(píng)估是否可產(chǎn)生有

。、

意義的結(jié)論另外評(píng)估產(chǎn)品的購(gòu)買方也需要仔細(xì)地考慮評(píng)估這種情況以確定該產(chǎn)品是否有用且能

。,,,

否滿足其特定的環(huán)境和需要

。

致力于保護(hù)資產(chǎn)免遭未授權(quán)的泄漏修改或喪失可用性此類保護(hù)與三種安全失

ISO/IEC15408、。

效情況對(duì)應(yīng)通常分別稱為機(jī)密性完整性和可用性此外也適用于安全的其他方

,、。,ISO/IEC15408IT

面可用于考慮人為的無(wú)論惡意與否以及非人為的因素導(dǎo)致的風(fēng)險(xiǎn)另外

。ISO/IEC15408()。,

還可用于技術(shù)的其他領(lǐng)域但對(duì)安全領(lǐng)域外的適用性不作申明

ISO/IEC15408IT,。

對(duì)某些問(wèn)題因涉及專業(yè)技術(shù)或?qū)Π踩暂^為次要因此不在范圍之內(nèi)

,IT,ISO/IEC15408,

例如

:

不包括那些與安全措施沒(méi)有直接關(guān)聯(lián)的屬于行政性管理安全措施的安全

a)ISO/IEC15408IT

評(píng)估準(zhǔn)則但是應(yīng)該認(rèn)識(shí)到安全的某些重要組成部分可通過(guò)諸如組織的人員的物

。,TOE、、

理的程序的控制等行政性管理措施來(lái)實(shí)現(xiàn)

、;

沒(méi)有明確涵蓋電磁輻射控制等安全中技術(shù)性物理方面的評(píng)估雖然標(biāo)準(zhǔn)中

b)ISO/IEC15408IT,

的許多概念適用于該領(lǐng)域換句話說(shuō)只涉及物理保護(hù)的某些方面

。,ISO/IEC15408TOE;

并不涉及評(píng)估方法具體的評(píng)估方法在中給出

c)ISO/IEC15408,ISO/IEC18045;

不涉及評(píng)估管理機(jī)構(gòu)使用本準(zhǔn)則的管理和法律框架但也可

d)ISO/IEC15408,ISO/IEC15408

被用于此框架下的評(píng)估

;

評(píng)估結(jié)果用于產(chǎn)品認(rèn)可的程序不屬于的范圍產(chǎn)品的認(rèn)可是行政性的管理

e)ISO/IEC15408。

過(guò)程據(jù)此準(zhǔn)許產(chǎn)品在其整個(gè)運(yùn)行環(huán)境中投入使用評(píng)估側(cè)重于產(chǎn)品的安全部分以及

,IT。IT,

直接影響到單元安全使用的那些運(yùn)行環(huán)境因此評(píng)估結(jié)果是認(rèn)可過(guò)程的重要輸入但是

IT,,。,

由于其他技術(shù)更適合于評(píng)估非相關(guān)屬性以及其與安全部分的關(guān)系認(rèn)可者應(yīng)針對(duì)這些

ITIT,

情況分別制定不同的條款

;

不包括評(píng)價(jià)密碼算法固有質(zhì)量相關(guān)的標(biāo)準(zhǔn)條款如果需要對(duì)嵌入的密

f)ISO/IEC15408。TOE

碼算法的數(shù)學(xué)特性進(jìn)行獨(dú)立評(píng)估則必須在使用的評(píng)估體制中為相關(guān)評(píng)估制

,ISO/IEC15408

定專門條款

。

GB/T183361—2015/ISO/IEC15408-12009

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全評(píng)估準(zhǔn)則

第1部分簡(jiǎn)介和一般模型

:

1范圍

的本部分建立了安全評(píng)估的一般概念和原則詳細(xì)描述了各部分

GB/T18336IT,ISO/IEC15408

給出的一般評(píng)估模型該模型整體上可作為評(píng)估產(chǎn)品安全屬性的基礎(chǔ)

,IT。

本部分給出了的總體概述它描述了的各部分內(nèi)容定義了在

ISO/IEC15408。ISO/IEC15408;

各部分將使用的術(shù)語(yǔ)及縮略語(yǔ)建立了關(guān)于評(píng)估對(duì)象的核心概念論述了評(píng)估

ISO/IEC15048;(TOE);

背景并描述了評(píng)估準(zhǔn)則針對(duì)的讀者對(duì)象此外還介紹了產(chǎn)品評(píng)估所需的基本安全概念

;。,IT。

本部分定義了裁剪和描述的功能和保障組件時(shí)可用的各種

ISO/IEC15408-2ISO/IEC15408-3

操作

。

本部分還詳細(xì)說(shuō)明了保護(hù)輪廓安全要求包和符合性這些關(guān)鍵概念并描述了評(píng)估產(chǎn)生的結(jié)

(PP)、,

果和評(píng)估結(jié)論的本部分給出了規(guī)范安全目

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

最新文檔

評(píng)論

0/150

提交評(píng)論