信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件 现行
Information technology—Security techniques—Evaluation criteria for IT security—Part 3:Security assurance components
标准号:GB/T 18336.3-2015
基本信息
标准号:GB/T 18336.3-2015
发布时间:2015-05-15
实施时间:2016-01-01
首发日期:
出版单位:中国标准出版社查看详情>
起草人:张翀斌、郭颖、石竑松、毕海英、张宝峰、高金萍、王峰、杨永生、李国俊、董晶晶、谢蒂、王鸿娴、张怡、顾健、邱梓华、宋好好、陈妍、杨元原、许源、饶华一、吴毓书、毛军捷
出版机构:中国标准出版社
标准分类: 数据加密
ICS分类:字符集和信息编码
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
起草单位:中国信息安全测评中心、信息产业信息安全测评中心、公安部第三研究所
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:全国信息安全标准化技术委员会(SAC/TC 260)
标准简介
GB/T18336的本部分定义了保障要求,包括:评估保障级(EAL)———为度量部件TOE的保障定义了一种尺度;组合保障包(CAP)———为度量组合TOE的保障提供了一种尺度;组成保障级和保障包的单个保障组件;PP和ST的评估准则。
标准摘要
|
GB/T18336《信息技术 安全技术 信息技术安全评估准则》分为以下三部分: ———第1部分:简介和一般模型; ———第2部分:安全功能组件; ———第3部分:安全保障组件。 本部分是GB/T18336的第3部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分代替GB/T18336.3—2008《信息技术 安全技术 信息技术安全评估准则 第3部分:安全保证要求》。 本部分与GB/T18336.3—2008的主要差异如下: ———将“保证”(assurance)改为“保障”; ———将“6 安全保证要求”改为“6 安全保障组件”; ———删除了“6.3 保护轮廓和安全目标评估准则类结构”、“6.4 本部分中术语的用法”、“6.5 保证分类”、“6.6 保证类和族概况”; ———将“6.1.5 EAL结构”调整为本部分的“6.2 评估保障级结构”; ———增加了“6.3 组合保障包结构”; ———删除了“7 保护轮廓与安全目标评估准则”、“11 保证类、族和组件”; ———增加了“8 组合保障包”; ———删除了“8.1 TOE描述”; ———增加了“9.2 符合性声明”; ———将“8.2 安全环境”、“8.6 明确陈述的IT 安全要求”改为本部分的“9.3 安全问题定义”、“9.5 扩展组件定义”; ———删除了“9.1 TOE描述”、“9.5 PP声明”; ———增加了“10.2 符合性声明”; ———将“9.2 安全环境”、“9.7 明确陈述的IT 安全要求”改为本部分的“10.3 安全问题定义”、“10.5 扩展组件定义”; ———删除了“ADV 类:开发”中的“高层设计(ADV_HLD)”、“低层设计(ADV_LLD)”、“表示对应性(ADV_RCR)”; ———在“ADV 类:开发”中增加了“安全架构(ADV_ARC)”、“TOE设计(ADV_TDS)”; ———将AGD类的“管理员指南(AGD_ADM)”和“用户指南(AGD_USR)”调整为本部分的“操作用户指南(AGD_OPE)”和“准备程序(AGD_PRE)”; ———将ACM 类的“CM 能力(ACM_CAP)”、“CM 范围(ACM_SCP)”,ADO 类的“交付(ADO_DEL)”合到了ALC类中; ———删除了“ACM 类:配置管理”中的“CM 自动化(ACM_AUT)”; ———删除了“ADO 类:交付和运行”中的“安装、生成和启动(ADO_IGS)”; ———将“测试覆盖(ATE_COV)”改为“覆盖(ATE_COV)”,将“测试深度(ATE_DPT)”改为“深度(ATE_DPT)”; ———删除了“AVA 类:脆弱性评定”中的“隐蔽信道分析(AVA_CCA)”、“误用(AVA_MSU)”、“TOE安全功能强度(AVASOF)”; Ⅴ GB/T18336.3—2015/ISO/IEC15408-3:2008 ———将“脆弱性分析(AVA_VLA)”改为“脆弱性分析(AVA_VAN)”; ———增加了“16 ACO 类:组合”; ———增加了“附录A 开发(ADV)”、“附录B 组合(ACO)”、“附录D PP和保障组件的交叉引用”、“附录F CAP和保障组件的交叉引用”; ———将“附录A 保证组件依赖关系的交叉引用”调整为“附录C 保障组件依赖关系的交叉引用”,将“附录B EAL 和保证组件的交叉引用”调整为“附录E EAL 和保障组件的交叉 引用”。 本部分使用翻译法等同采用ISO/IEC15408-3:2008《信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件》。 与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下: ———GB/T18336.1 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型(GB/T18336.1—2015,ISO/IEC15408-1:2009,IDT) ———GB/T18336.2 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件(GB/T18336.2—2015,ISO/IEC15408-2:2008,IDT) 本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本部分起草单位:中国信息安全测评中心、信息产业信息安全测评中心、公安部第三研究所。 本部分主要起草人:张翀斌、郭颖、石竑松、毕海英、张宝峰、高金萍、王峰、杨永生、李国俊、董晶晶、谢蒂、王鸿娴、张怡、顾健、邱梓华、宋好好、陈妍、杨元原、许源、饶华一、吴毓书、毛军捷。 本部分所代替标准的历次版本发布情况为: ———GB/T18336.3—2001 ———GB/T18336.3—2008 |
标准目录
| 前言 Ⅴ 引言 Ⅶ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 概述 1 4.1 本部分的结构 1 5 保障范型 2 5.1 ISO/IEC15408的基本原则 2 5.2 保障方法 2 5.3 ISO/IEC15408评估保障尺度 3 6 安全保障组件 3 6.1 安全保障类、族和组件结构 3 6.2 评估保障级结构 7 6.3 组合保障包结构 8 7 评估保障级 10 7.1 评估保障级(EAL)概述 11 7.2 评估保障级细节 12 7.3 评估保障级1(EAL1)———功能测试 12 7.4 评估保障级2(EAL2)———结构测试 13 7.5 评估保障级3(EAL3)———系统地测试和检查 14 7.6 评估保障级4(EAL4)———系统地设计、测试和复查 15 7.7 评估保障级5(EAL5)———半形式化设计和测试 17 7.8 评估保障级6(EAL6)———半形式化验证的设计和测试 18 7.9 评估保障级7(EAL7)———形式化验证的设计和测试 19 8 组合保障包 21 8.1 组合保障包(CAP)概述 21 8.2 组合保障包细节 22 8.3 组合保障级A(CAP-A)—结构组合 22 8.4 组合保障级别B(CAP-B)—系统组合 23 8.5 组合保障级C(CAP-C)—系统组合、测试和复查 24 9 APE类:保护轮廓评估 25 9.1 PP引言(APE_INT) 26 9.2 符合性声明(APE_CCL) 26 9.3 安全问题定义(APE_SPD) 28 9.4 安全目的(APE_OBJ) 29 9.5 扩展组件定义(APE_ECD) 30 9.6 安全要求(APE_REQ) 31 10 ASE类:安全目标评估 33 10.1 ST引言(ASE_INT) 34 10.2 符合性声明(ASE_CCL) 35 10.3 安全问题定义(ASE_SPD) 36 10.4 安全目的(ASE_OBJ) 37 10.5 扩展组件定义(ASE_ECD) 38 10.6 安全要求(ASE_REQ) 39 10.7 TOE概要规范(ASE_TSS) 41 11 ADV 类:开发 43 11.1 安全架构(ADV_ARC) 46 11.2 功能规范(ADV_FSP) 48 11.3 实现表示(ADV_IMP) 56 11.4 TSF内部(ADV_INT) 58 11.5 安全策略模型(ADV_SPM) 61 11.6 TOE设计(ADV_TDS) 63 12 AGD类:指导性文档 71 12.1 操作用户指南(AGD_OPE) 71 12.2 准备程序(AGD_PRE) 73 13 ALC类:生命周期支持 74 13.1 CM 能力(ALC_CMC) 75 13.2 CM 范围(ALC_CMS) 82 13.3 交付(ALC_DEL) 86 13.4 开发安全(ALC_DVS) 87 13.5 缺陷纠正(ALC_FLR) 89 13.6 生命周期定义(ALC_LCD) 92 13.7 工具和技术(ALC_TAT) 94 14 ATE类:测试 97 14.1 覆盖(ATE_COV) 98 14.2 深度(ATE_DPT) 100 14.3 功能测试(ATE_FUN) 103 14.4 独立测试(ATE_IND) 105 15 AVA 类:脆弱性评定 108 15.1 应用注释 108 15.2 脆弱性分析(AVA_VAN) 109 16 ACO 类:组合 113 16.1 组合基本原理(ACO_COR) 116 16.2 开发证据(ACO_DEV) 116 16.3 依赖部件的依赖性(ACO_REL) 119 16.4 组合TOE测试(ACO_CTT) 121 16.5 组合脆弱性分析(ACO_VUL) 123 附录A (资料性附录) 开发(ADV) 127 附录B(资料性附录) 组合(ACO) 140 附录C (资料性附录) 保障组件依赖关系的交叉引用 145 附录D (资料性附录) PP和保障组件的交叉引用 150 附录E (资料性附录) EAL和保障组件的交叉引用 151 附录F(资料性附录) CAP和保障组件的交叉引用 152 |
推荐检测机构
申请入驻
暂未检测到相关机构,邀您申请入驻~
推荐认证机构
申请入驻
暂未检测到相关机构,邀您申请入驻~
推荐培训机构
申请入驻
暂未检测到相关机构,邀您申请入驻~
© 2018 北京寰标伟业科技发展有限公司版权所有并保留所有权利。
ICP备案证书号:京ICP备17031081号-1 客服电话:010-62050868
