标准解读

《GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件》相比于《GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求》,主要在以下几个方面进行了调整和更新:

  1. 标准名称调整:首先,标准名称中的“安全性评估准则”被修订为“信息安全评估准则”,这一变化体现了对信息安全领域更精确的界定,强调了信息的保护与评估。

  2. 内容结构优化:2015版标准对内容结构进行了优化,更加系统化地组织了安全保障组件的相关要求,以适应信息技术快速发展下安全评估的新需求。这有助于评估者和实施者更清晰地理解和应用标准。

  3. 安全保障组件细化:新版本对安全保障组件进行了细化和扩展,引入或更新了多个安全功能组件和评估方法,以覆盖更广泛的网络安全场景和技术发展,确保评估准则的全面性和时效性。

  4. 增强可操作性:2015版标准增强了具体评估过程的指导性和可操作性,提供了更详细的评估指南和案例示例,帮助评估机构和组织更好地执行安全评估工作,确保评估结果的准确性和有效性。

  5. 国际标准接轨:该版本还进一步与国际信息安全评估标准(如CC, Common Criteria)接轨,吸收了国际上的最新研究成果和实践经验,提高了中国信息安全评估准则的国际化水平,有利于促进国际间的信息安全产品和服务互认。

  6. 关注新兴技术安全:鉴于云计算、大数据、物联网等新兴信息技术的发展,2015版标准在安全保证要求中融入了对这些新技术安全性的考量,反映了信息安全评估准则对技术进步的响应。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2015-05-15 颁布
  • 2016-01-01 实施
©正版授权
GB/T 18336.3-2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件_第1页
GB/T 18336.3-2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件_第2页
GB/T 18336.3-2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件_第3页
GB/T 18336.3-2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件_第4页
GB/T 18336.3-2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件_第5页
已阅读5页,还剩159页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T183363—2015/ISO/IEC15408-32008

.代替:

GB/T18336.3—2008

信息技术安全技术

信息技术安全评估准则

第3部分安全保障组件

:

Informationtechnology—Securitytechniques—

EvaluationcriteriaforITsecurity—

Part3Securitassurancecomonents

:yp

(ISO/IEC15408-3:2008,IDT)

2015-05-15发布2016-01-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T183363—2015/ISO/IEC15408-32008

.:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅶ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………1

本部分的结构

4.1………………………1

保障范型

5…………………2

的基本原则

5.1ISO/IEC15408………………………2

保障方法

5.2……………2

评估保障尺度

5.3ISO/IEC15408……………………3

安全保障组件

6……………3

安全保障类族和组件结构

6.1、…………3

评估保障级结构

6.2……………………7

组合保障包结构

6.3……………………8

评估保障级

7………………10

评估保障级概述

7.1(EAL)……………11

评估保障级细节

7.2……………………12

评估保障级功能测试

7.31(EAL1)———……………12

评估保障级结构测试

7.42(EAL2)———……………13

评估保障级系统地测试和检查

7.53(EAL3)———…………………14

评估保障级系统地设计测试和复查

7.64(EAL4)———、……………15

评估保障级半形式化设计和测试

7.75(EAL5)———………………17

评估保障级半形式化验证的设计和测试

7.86(EAL6)———………18

评估保障级形式化验证的设计和测试

7.97(EAL7)———…………19

组合保障包

8………………21

组合保障包概述

8.1(CAP)……………21

组合保障包细节

8.2……………………22

组合保障级结构组合

8.3A(CAP-A)—………………22

组合保障级别系统组合

8.4B(CAP-B)—……………23

组合保障级系统组合测试和复查

8.5C(CAP-C)—、………………24

类保护轮廓评估

9APE:…………………25

引言

9.1PP(APE_INT)………………26

符合性声明

9.2(APE_CCL)…………26

安全问题定义

9.3(APE_SPD)………………………28

GB/T183363—2015/ISO/IEC15408-32008

.:

安全目的

9.4(APE_OBJ)……………29

扩展组件定义

9.5(APE_ECD)………………………30

安全要求

9.6(APE_REQ)……………31

类安全目标评估

10ASE:………………33

引言

10.1ST(ASE_INT)……………34

符合性声明

10.2(ASE_CCL)…………35

安全问题定义

10.3(ASE_SPD)………………………36

安全目的

10.4(ASE_OBJ)……………37

扩展组件定义

10.5(ASE_ECD)………………………38

安全要求

10.6(ASE_REQ)……………39

概要规范

10.7TOE(ASE_TSS)……………………41

类开发

11ADV:…………………………43

安全架构

11.1(ADV_ARC)…………46

功能规范

11.2(ADV_FSP)……………48

实现表示

11.3(ADV_IMP)……………56

内部

11.4TSF(ADV_INT)…………58

安全策略模型

11.5(ADV_SPM)……………………61

设计

11.6TOE(ADV_TDS)…………63

类指导性文档

12AGD:…………………71

操作用户指南

12.1(AGD_OPE)……………………71

准备程序

12.2(AGD_PRE)……………73

类生命周期支持

13ALC:………………74

能力

13.1CM(ALC_CMC)……………75

范围

13.2CM(ALC_CMS)……………82

交付

13.3(ALC_DEL)…………………86

开发安全

13.4(ALC_DVS)……………87

缺陷纠正

13.5(ALC_FLR)……………89

生命周期定义

13.6(ALC_LCD)………………………92

工具和技术

13.7(ALC_TAT)………………………94

类测试

14ATE:…………………………97

覆盖

14.1(ATE_COV)………………98

深度

14.2(ATE_DPT)………………100

功能测试

14.3(ATE_FUN)…………103

独立测试

14.4(ATE_IND)…………105

类脆弱性评定

15AVA:………………108

应用注释

15.1…………………………108

脆弱性分析

15.2(AVA_VAN)………………………109

类组合

16ACO:…………………………113

组合基本原理

16.1(ACO_COR)……………………116

开发证据

16.2(ACO_DEV)…………116

依赖部件的依赖性

16.3(ACO_REL)………………119

GB/T183363—2015/ISO/IEC15408-32008

.:

组合测试

16.4TOE(ACO_CTT)…………………121

组合脆弱性分析

16.5(ACO_VUL)…………………123

附录资料性附录开发

A()(ADV)……………………127

附录资料性附录组合

B()(ACO)……………………140

附录资料性附录保障组件依赖关系的交叉引用

C()………………145

附录资料性附录和保障组件的交叉引用

D()PP……………………150

附录资料性附录和保障组件的交叉引用

E()EAL…………………151

附录资料性附录和保障组件的交叉引用

F()CAP…………………152

GB/T183363—2015/ISO/IEC15408-32008

.:

前言

信息技术安全技术信息技术安全评估准则分为以下三部分

GB/T18336《》:

第部分简介和一般模型

———1:;

第部分安全功能组件

———2:;

第部分安全保障组件

———3:。

本部分是的第部分

GB/T183363。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分代替信息技术安全技术信息技术安全评估准则第部分安

GB/T18336.3—2008《3:

全保证要求

》。

本部分与的主要差异如下

GB/T18336.3—2008:

将保证改为保障

———“”(assurance)“”;

将安全保证要求改为安全保障组件

———“6”“6”;

删除了保护轮廓和安全目标评估准则类结构本部分中术语的用法保

———“6.3”、“6.4”、“6.5

证分类保证类和族概况

”、“6.6”;

将结构调整为本部分的评估保障级结构

———“6.1.5EAL”“6.2”;

增加了组合保障包结构

———“6.3”;

删除了保护轮廓与安全目标评估准则保证类族和组件

———“7”、“11、”;

增加了组合保障包

———“8”;

删除了描述

———“8.1TOE”;

增加了符合性声明

———“9.2”;

将安全环境明确陈述的安全要求改为本部分的安全问题定义

———“8.2”、“8.6IT”“9.3”、

扩展组件定义

“9.5”;

删除了描述声明

———“9.1TOE”、“9.5PP”;

增加了符合性声明

———“10.2”;

将安全环境明确陈述的安全要求改为本部分的安全问题定义

———“9.2”、“9.7IT”“10.3”、

扩展组件定义

“10.5”;

删除了类开发中的高层设计低层设计表示对应

———“ADV:”“(ADV_HLD)”、“(ADV_LLD)”、“

(ADV_RCR)”;

在类开发中增加了安全架构设计

———“ADV:”“(ADV_ARC)”、“TOE(ADV_TDS)”;

将类的管理员指南和用户指南调整为本部分的操作用

———AGD“(AGD_ADM)”“(AGD_USR)”“

户指南和准备程序

(AGD_OPE)”“(AGD_PRE)”;

将类的能力范围类的交付

———ACM“CM(ACM_CAP)”、“CM(ACM_SCP)”,ADO“(ADO_DEL)”

合到了类中

ALC;

删除了类配置管理中的自动化

———“ACM:”“CM(ACM_AUT)”;

删除了类交付和运行中的安装生成和启动

———“ADO:”“、(ADO_IGS)”;

将测试覆盖改为覆盖将测试深度改为深度

———“(ATE_COV)”“(ATE_COV)”,“(ATE_DPT)”“

(ATE_DPT)”;

删除了类脆弱性评定中的隐蔽信道分析误用

———“AVA:”“(AVA_CCA)”、“(AVA_MSU)”、

安全功能强度

“TOE(AVASOF)”;

GB/T183363—2015/ISO/IEC15408-32008

.:

将脆弱性分析改为脆弱性分析

———“(AVA_VLA)”“(AVA_VAN)”;

增加了类组合

———“16ACO:”;

增加了附录开发附录组合附录和保障组件的交叉引

———“A(ADV)”、“B(ACO)”、“DPP

用附录和保障组件的交叉引用

”、“FCAP”;

将附录保证组件依赖关系的交叉引用调整为附录保障组件依赖关系的交叉引

———“A”“C

用将附录和保证组件的交叉引用调整为附录和保障组件的交叉

”,“BEAL”“EEAL

引用

”。

本部分使用翻译法等同采用信息技术安全技术信息技术安全评估准

ISO/IEC15408-3:2008《

则第部分安全保障组件

3:》。

与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下

:

信息技术安全技术信息技术安全评估准则第部分简介和一般模型

———GB/T18336.11:

(GB/T18336.1—2015,ISO/IEC15408-1:2009,IDT)

信息技术安全技术信息技术安全评估准则第部分安全功能组件

———GB/T18336.22:

(GB/T18336.2—2015,ISO/IEC15408-2:2008,IDT)

本部分由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本部分起草单位中国信息安全测评中心信息产业信息安全测评中心公安部第三研究所

:、、。

本部分主要起草人张翀斌郭颖石竑松毕海英张宝峰高金萍王峰杨永生李国俊董晶晶

:、、、、、、、、、、

谢蒂王鸿娴张怡顾健邱梓华宋好好陈妍杨元原许源饶华一吴毓书毛军捷

、、、、、、、、、、、。

本部分所代替标准的历次版本发布情况为

:

———GB/T18336.3—2001

———GB/T18336.3—2008

GB/T183363—2015/ISO/IEC15408-32008

.:

引言

本部分定义的安全保障组件是在保护轮廓或安全目标中描述安全保障要求的基础

(PP)(ST)。

这些要求建立了一种描述评估对象保障要求的标准方法本部分列出了一组保障组件族

(TOE)。、

和类还定义了评估和的准则定义了评估保障级别来描述中预定义的

,PPST,(EAL)ISO/IEC15408

用于评定保障要求满足情况的尺度

TOE。

本部分的目标读者主要包括安全产品的消费者开发者和评估者提供了关

IT、。ISO/IEC15408-1

于的目标读者以及目标读者群体如何使用的补充信息这些读者群

ISO/IEC15408,ISO/IEC15408。

体可以如下方式使用本部分

:

消费者在选取组件描述保障要求以满足或中提出的安全目的以及确定所需的安全

a),,PPST,

保障级别时都可使用本部分

;

开发者在构造以响应实际的或预想的消费者安全要求时可参考本部分以解释保障要

b),TOE,

求陈述并确定的保障方法

TOE;

评估者在确定的保障级别以及评估和时使用本部分所定义的保障要求作为评

c),TOEPPST,

估准则的强制性陈述

GB/T183363—2015/ISO/IEC15408-32008

.:

信息技术安全技术

信息技术安全评估准则

第3部分安全保障组件

:

1范围

的本部分定义了保障要求包括评估保障级为度量部件的保障定

GB/T18336,:(EAL)———TOE

义了一种尺度组合保障包为度量组合的保障提供了一种尺度组成保障级和保障包

;(CAP)———TOE;

的单个保障组件和的评估准则

;PPST。

2规范性引用文件

下列文件对于本文件的应用是必不可

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论