GBT18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件.pdf

GBT18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件.pdf
GBT18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件.pdf
没有资源,无法下载
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:5.1 M
标准类别:国家标准
资源ID:74761
免费资源

标准规范下载简介

GBT18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件.pdf简介:

GBT 18336.3-2015,全称为《信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件简介》,是中国信息安全管理体系(CMMI)的一项标准。这个标准主要针对信息系统安全保障(ISAS)中的安全保障组件进行了详细的定义和描述,用于评估和指导信息安全系统的建设和管理。

安全保障组件是指在信息安全管理体系中,负责实现信息安全目标的特定功能或服务的组件,例如访问控制、加密、安全审计、安全策略管理、灾难恢复等。这些组件共同构成了信息安全的基石,确保信息资产的安全和完整。

该标准提供了关于如何设计、实施、管理和评估这些组件的指导,以确保它们能够有效抵御各种安全威胁,满足组织的业务需求和法律法规要求。通过遵循这个标准,组织可以提高其信息安全管理水平,增强其抵御风险的能力。

GBT18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件.pdf部分内容预览:

上,通过分析一个完整的ST中的安全功能要求来提供保障,以理解安全行为。 这种分析由对TOE安全功能的独立测试、开发者基于功能规范和TOE设计进行测试的证据、对 开发者测试结果的选择性独立确认、证实可抵御具有增强型基本攻击潜力攻击者攻击的脆弱性分析(基 于功能规范、T(E设计、实现表示、结构性设计和提供的指导性证据)等证据来支持、 EAL4还通过使用开发环境控制措施、包括配置管理自动化在内的更多的TOE配置管理措施和安 全交付程序的证据来提供保障。表5列出EAL4级的保障组件。 与EAL3相比,本EAL通过增加更多的设计描述、所有安全功能的实现表示,以及为在开发过程中 T()E不会被算改提供一定信任的改进机制和/或程序,在保障方面提供了有意义的增强

7.7评估保障级5(EAL5)——半形式化设计和测试

EAI.5可使一个开发者从基于严格的商业开发实践的安全工程中获得最大限度的保障,而这种开 发实践是靠专业安全工程技术的适度应用来支持的。设计和开发能够达到EAL5保障要求的TOE。 相对于没有应用专业技术的严格开发而言.由EAI.5要求引起的额外的开销也许不会很大。 EAL5适用于以下这些情况:开发者或用户在一个有计划的开发过程中需要高级别独立的安全性 保障,以及开发者或用户在未由于专业安全工程技术而导致不合理开销的条件下,需要有严格的开发 手段。

评估保障级6(EAL6)一半形式化验证的设计

EAI6可使开发者通过把安全工程技术应用于严格的开发环境情况下《公路沥青路面设计规范 JTG D50-2006》已作废,获得的高级别保障。目的 是为了生产一个质优价高的T(E来保护高价值的资产避免存在重大的风险。 EAL6适用于应用在高风险环境下T()E的开发,其中由于安全所需的额外开销与受保护资产的价 值是相当的,

EAL6在利用功能和全部接口规范、指导性文档、T(E设计和实现的基础上,通过分析个完整的 ST中的安全功能要求来提供保障,以理解安全行为。还通过以下方式额外地获得保障:所选TOE安全 策略的形式化模型描述,TOE设计功能规范的半形式化描述。此外还需要模块化和层次化的TSF 设计。 这种分析由TOE安全功能的独立测试,开发者基于功能规范、TOE设计进行测试的证据,对开发 者测试结果的选择性独立确认,以及证实可抵御具有高等攻击潜力的攻击者攻击的独立的脆弱性分析 等来支持。 EAL6还通过使用结构化的开发过程、开发环境控制措施、包括配置管理完全自动化在内的全面的 TOE配置管理措施和安全交付程序的证据等来提供保障。表7列出EAL6级的保障组件, 与EAL5相比,本EAL通过增加更加全面的分析、实现的结构化描述、更体系化的结构(如分层) 更全面的独立脆弱性分析,以及改进的配置管理和开发环境控制,在保障方面提供了有意义的增强。

舌保障级7(EAL7)—形式化验证的设计和测运

(正设计和结图化的实现表示的基础上,通 个完整的ST中的安全功能要求来提供保障,以理解安全行为。还通过以下这些方式额外地

组合保障包(CAP)在权衡所获得的保障级与达到该组合T()E保障程度所需的代价和可行性上提 供了一个递增的尺度。 需特别注意的是本部分中的族和组件仅有少部分被包含在组合保障包中。这是由于组合保障包是 建立在先前已评估的实体(基本部件和依赖部件)之上,并不是说这些未被选择的族和组件不能提供有 意义的和期望的保障。

8.1组合保障包(CAP)概述

表9组合保障级别汇总

8.3~8.5对CAP进行了定义,使用粗体强调了在特定要求和其他普通要求之间的不同。

9APE类:保护轮廊评估

图8APE类:保护轮廓评估类分解

9.1 PP引言(APE INT)

本族的自的以叙述的方式描述TOE。 对PP引言的评估需要证实PP已被正确标识,并且PP参考和TOE概述是相互一致的

9.1.2APE INT.1PP

9.1.2.1开发者行为元素

9.1.2.2内容和形式元素

9.1.2.2.3APE INT.1.3

9.1.2.2.4 APE INT.1.4

9.1.2.3评估者行为元素

9.1.2.3.1 APE INT.1.

应确认所提供的信息满足证据的内容和形式的

9.2符合性声明(APECCL

本族的目的是确定符合性声明的正确性。另外,本族详细阐明了如何声明ST和其他PP是与本 PP符合的

APE.CCL.1符合性声

9.2.2.1开发者行为元素

开发者应提供符合性声明

9.2.2.12 APE CCL.1.

开发者应提供符合性声明的基本原理

9.2.2.1.3APE CCL.1

9.2.2.2内容和形式元

2.2.2.1 APE CCL.1.1

PP的符合性声明应包含ISO/IEC15408的符合性声明,用于标识PP声明符合性遵从的ISO/IEC 15408的版本

2.2.2.2APE CCL.1.2d

9.2.2.2.3APECCL.1.

ISO/IEC15408符合性声明应描述PP与本部分的符合性,无论是与本部分相符还是与本部分的扩 展部分相符。

9.2.2.2.4APE CCL.1.4C

ISO/IEC15408符合性声明应与扩展组件定义是相得的

9.2.2.2.5 APE CCL.1.5C

9.2.2.2.6 APE CCL.1.6(

9.2.2.2.7 APE CCL.1.70

符合性声明的基本原理应证实TOE类型与符合性声明所遵从的PP中的TOE类型是相符的

9.2.2.2.8 APE CCL.1.80C

9.2.2.2.9 APE CCL.1.9C

9.2.23评估者行为元

9.2.2.3.1APE CCL.1.1E

PP的本部分定义T(E及其运行环境所负责处理的安全问题。 安全问题定义评估要求证实T()E及其运行环境所负责处理的安全问题被明确的定义。

PP的本部分定义TOE及其运行环境所负责处理的安全问题。 安全问题定义评估要求证实T()E及其运行环境所负责处理的安全问题被明确的定义

9.3.2.1开发者行为元素

3.2.1.1APE SPD.1.1D

3.2.2.1 APE SPD.1.10

安全问题定义应描述威胁。

9.3.2.2.2 APE SPD.1.2C

9.3.2.2.4APE SPD.1.4

9.3.2.3评估者行为元素

3.2.3.1APE SPD.1.1F

评估者应确认所提供的信息满足证据的内容和形式的所有要求。 28

9.4安全且的(APEOBD

本族中的组件是基于是否仅规定了运行坏境安全目的,或者也规定了T(的安全目的 级的。

9.4.3APEOBJ.1运行环境安全目的

4.3.1开发者行为元素

9.4.3.1.1 APE OBI.1.1D

开发者应提供安全目的的陈述

4.3.2内容和形式元素

9.4.3.2.1APE OBJ.1.1C

安全目的的陈述应描述运行环境安全目的。

9.4.3.3评估者行为元素

9.4.3.3.1APE OBJ.1.1F

还确认所提供的信息满足证据的内容和形式的所

9.4.4APEOBI.2安全目的

9.4.4.1开发者行为元素

9.4.4.1.1APE OBJ.2.1D

开发者应提供安全目的的陈述。

9.4.4.1.2 APE OBJ.2.

开发者应提供安全目的的基本原理

9.4.4.2内容和形式元素

且的的陈述应描述TOE的安全目的和运行环境

安全的基本原理应追溯到TOE的每一个安全月的,以使于能追溯到安全日的所对抗 实施的组织安全策略。

9.4.4.2.3APE OBJ.2.3C

安全日的基本原理店 且的强制实施的组织安全策略和安全 的假设

2.4.4.2.4APEOBJL.2.4

9.4.4.3评估者行为元素

4.4.3.1APE OBJ.2.1F

评估者应确认所提供的信息满足证据的内容和形式的所有要求。 9.5扩展组件定义(APEECD)

9.5扩展组件定义(APEECD

扩展安全要求不是基于1S0/1EC15408第2部分或第3部分的组件要求,而是基于PF作者定义 的扩展组件, 对扩展组件定义的评估需要确定这些组件是明确的、没有歧义的并且是必要的,如:他们可能没有 使用ISO/1EC15408第2部分或第3部分已 有的组件进行清晰的描述

9.5.2APEECD.1扩展组件的定义

9.5.2.1开发者行为元

9.5.2.1.1 APE ECD.1.11

安全要求陈述应标识所有扩展的安全要求

9.5.2.2.2APE ECD.1.20

9.5.2.3评估者行为元

9.5.2.3.2APE ECD.1.

安全功能要求(SFR)对TOE预期安全行为进行了清晰、无歧) SAR)对TOE获得保障而采取的预期活动进行了清晰、无歧义且规范的描述。 对安全要求的评估要求确保这些安全要求是清晰的、无歧义的并且是准确定义的

9.6.3APEREQ.1陈述的安全要求

赖关系:APEECD.1扩展组件的定义

9.6.3.1开发者行为元

JC∕T 2126.2-2012 水泥制品工艺技术规程 第2部分:预应力混凝土管9.6.3.2内容和形式元

要求陈述应描述安全功能要求和安全保障要求

9.6.3.2.2APE REO.1.2C

确认所提供的信息满足证据的内容和形式的所有

9.6.4APEREO.2推导出的安全要求

9.6.4.1开发者行为元素

9.6.4.2内容和形式元

QX/T 617-2021 气象数字对象标识符 总则.pdf9.6.4.2.3APEREO.2.

汽车标准 环保标准 规章规范 综合标准 勘测测绘标准 地方图集 安装设计标准 交通标准 门窗玻璃标准 国标图集 路桥标准
©版权声明
资源来自互联网,如有侵权请联系删除
同类资源: 信息技术
相关文章

1 《公安派出所建设标准 2016修订版》

2 《公路工程项目建设用地指标 建标[2011]124号》

3 GB 6920-86 水质 pH值的测定 玻璃电极法.pdf

4 《公安机关业务技术用房建设标准 建标130-2010》

5 《城市道路交叉口设计规程 CJJ 152-2010》

6 《人民法院法庭建设标准 建标138-2010》

7 GB Z42192-2022智慧城市基础设施绩效评价的原则和要求.pdf

8 《工程勘察设计收费标准——工程勘察收费标准》2002年修订本

9 《生活垃圾卫生填埋场岩土工程技术规范 CJJ176-2012》

10 《城镇道路养护技术规范 CJJ 36-2016》

11 《城镇供水厂运行、维护及安全技术规程 CJJ58-2009》

12 《公路工程技术标准》(JTGB01-2003).pdf

13 《公路水泥混凝土路面设计规范 JTGD40-2011》

14 《城镇燃气设施运行、维护和抢修安全技术规程 CJJ51-2016》

15 《建设工程造价咨询成果文件质量标准 CECA/GC7-2012》

16 《建设项目全过程造价咨询规程 CECA/GC4-2017》

1 09BD13 建筑物防雷装置

2 JT∕T 583-2004 水运工程 钢弦式锚杆测力计

3 T/CECA-G 0007-2016 高效能吸油烟机评价规范

4 中小型水利水电工程典型设计图集 挡水建筑物分册 橡胶坝与翻板坝.pdf

5 DB13/T 5448.3-2021 工业取水定额 第3部分:医药行业.pdf

6 JTG/T 3520-2021 公路机电工程测试规程(高清扫描版).pdf

7 某医院车库施工方案

8 某220m 跨度大桥施工组织设计

9 Ⅳ级围岩工法技术交底2008-33

10 二次结构砌体工程施工技术交底

11 T/EBA 40003-2023 瞬态电阻测试设备校准规范.pdf

同类主题
建筑工程公路路桥桥梁工程电力弱电金属材料规范市政工程国家规范地方其他ehs工程环保工程设备安装水利工程施工建材标准装修工程