GB/Z 29830.3-2013信息技术安全技术信息技术安全保障框架第3部分：保障方法分析

ICS35040

L80.

中华人民共和国国家标准化指导性技术文件

GB/Z298303—2013/ISO/IECTR15443-32007

.:

信息技术安全技术

信息技术安全保障框架

第3部分保障方法分析

:

Informationtechnology—Securitytechnology—AframeworkforITsecurity

assurance—Part3Analsisofassurancemethods

:y

(ISO/IECTR15443-3:2007,IDT)

2013-11-12发布2014-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/Z298303—2013/ISO/IECTR15443-32007

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

意图

1.1…………………1

应用

1.2…………………1

适用领域

1.3……………1

限制

1.4…………………1

术语和定义

2………………1

缩略语

3……………………3

对保障的理解

4……………4

保障目标的设置

4.1……………………4

保障方法的应用

4.2……………………6

保障结果的评估

4.3……………………10

例子

4.4…………………11

保障的比较选择和组合

5、………………11

保障途径的选择

5.1……………………11

保障方法的组合

5.2……………………13

保障方法的比较

5.3……………………13

关注的保障特性

5.4……………………14

指导

6………………………18

开发保障

6.1(DA)……………………19

集成保障

6.2(IA)………………………20

运行保障

6.3(OA)……………………23

附录资料性附录列表比较

A()…………26

附录资料性附录所选方法的保障特性

B()……………28

附录资料性附录保障方法的组合

C()…………………43

参考文献

……………………45

图保障供给

1………………5

图生存周期过程管理

2……………………9

图可用方法

3……………13

图矩阵比较原理

4………………………14

图保障关注

5……………19

图系统测试和评价

6……………………22

Ⅰ

GB/Z298303—2013/ISO/IECTR15443-32007

.:

图测试要求演进

B.1……………………31

表供给的保障类型

1………………………5

表保障供给的使用

2………………………6

表保障的严格程度

3………………………7

表保障途径应用范围

4……………………7

表生存周期保障模型

5……………………8

表保障途径

6……………10

表比较的关键方面

7……………………15

表安全域

8………………24

表安全管理特性

9………………………24

表整个的成熟度

10OA…………………25

表方法和目标用户群

A.1………………26

表基本认证模式

A.2……………………27

表可用保障方法

A.3……………………27

Ⅱ

GB/Z298303—2013/ISO/IECTR15443-32007

.:

前言

信息技术安全技术信息技术安全保障框架分为以下个部分

GB/Z29830《》3:

第部分综述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分为的第部分

GB/Z298303。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分采用翻译法等同采用信息技术安全技术信息技术安全保

ISO/IECTR15443-3:2007《

障框架第部分保障方法分析

3:》。

本部分做了下列编辑性修改

:

国际标准中的附录附录为资料性附录转标时予以删除

———D、E,。

本部分由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本部分主要起草单位中国电子技术标准化研究院北京化工大学

:、。

本部分主要起草人王晶张明天罗锋盈王延鸣陈星杨建军

:、、、、、。

Ⅲ

GB/Z298303—2013/ISO/IECTR15443-32007

.:

引言

本指导性技术文件的目的是为了获得一个给定交付件满足其所指出的信息安全保障需求的信心

,,

给出各种保障方法并指导信息安全专业人员如何选择一个合适的保障方法或组合一些方法本指

,()。

导性技术文件审视了不同类型组织所提出的保障方法和途径包括已批准的标准和事实标准

,。

为了达到这一目的本指导性技术文件由以下个方面内容组成

,7:

一个框架模型用于定位现有的保障方法并给出它们之间的关系

a),;

一组保障方法以及对它们的描述和引用

b);

特定保障方法的共性和个性的表达

c);

现有保障方法的定性比较其中尽可能进行定量比较

d),;

与当前保障方法关联的保障模式的标识

e);

不同保障方法之间关系的描述以及

f);

有关保障方法的应用组合和认知的指导

g)、。

本指导性技术文件由部分组成对保障途径分析和相互间的关系处理如下

3,、:

第部分综述和框架概述了一些基础性概念例如保障保障框架等并给出了安全保障方法

1:。,、。

的一般性描述其目的是帮助理解本指导性技术文件的第部分和第部分内容第部分针对信息

。23。1

安全管理人员和其他人员其中包括负责开发安全保障程序确定他们的交付件的安全保障参加安全

,、、

评估审计或参加其他保障活动的人员

。

第部分保障方法描述由不同类型的组织提出和使用的各种安全保障方法和途径不论它

2:。IT,

们是被一般公认的事实上被认可的或标准的并把这些保障方法与第部分的保障模型关联起来重

、;1。

点是识别对保障有影响的保障方法的定性特征在可能的地方还将定义保障级别该材料面向安

,,。IT

全专业人员帮助理解如何在产品或服务的特定的生存周期阶段中获得保障

,。

使用定义在中的术语和定义

GB/Z29830.2—2013GB/Z29830.1—2013。

该部分应与一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各种保障方法的保障特征这个分析有助于保障机构在确定每

3:。。

一种保障途径的相对值并确定保障途径使这些途径提供最适合于运行环境的具体上下文的需求的保

,

障结果而且这个分析还有助于保障机构运用保障方法的结果实现交付件所预想的确信度这部分

。,,。

材料面向的对象是那些必须选择保障方法和保障途径的安全专业人员

IT。

使用定义在中的术语和定义

GB/Z29830.3—2013GB/Z29830.1—2013。

该部分应与一并使用

GB/Z29830.1—2013。

本指导性技术文件分析了一些可能不为安全所专有的保障方法然而在指导性技术文件中所

IT;,

给出的指导将限于安全需求只对安全领域提供相应的指导并不期望这一指导对一般的质量

IT。IT,

管理评估或符合性具有指导意义

、IT。

Ⅳ

GB/Z298303—2013/ISO/IECTR15443-32007

.:

信息技术安全技术

信息技术安全保障框架

第3部分保障方法分析

:

1范围

11意图

.

的本部分的意图是为保障机构选择合适类型的信息通信技术保障方法提供指

GB/Z29830:ICT()

导并为特定环境铺设分析特定保障方法的框架

,。

12应用

.

本部分可使用户把特定保障需求和或典型保障情况与一些可用的保障方法所提供的一般性表现

/

特征相匹配

。

13适用领域

.

本部分的指导适用于具有安全需求的产品和系统的开发实现及运行

ICTICT、。

14限制

.