標(biāo)準(zhǔn)解讀

《GB/T 18336.1-2024 網(wǎng)絡(luò)安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第1部分:簡介和一般模型》與《GB/T 18336.1-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第1部分:簡介和一般模型》相比,在多個方面進(jìn)行了更新和完善,以適應(yīng)近年來網(wǎng)絡(luò)安全領(lǐng)域的新挑戰(zhàn)和技術(shù)進(jìn)步。主要變化包括但不限于以下幾點:

首先,標(biāo)題從“信息技術(shù) 安全技術(shù)”調(diào)整為“網(wǎng)絡(luò)安全技術(shù)”,反映了當(dāng)前社會對網(wǎng)絡(luò)安全重視程度的提升以及該領(lǐng)域研究范圍的擴(kuò)大。這種表述上的改變更加符合現(xiàn)代信息技術(shù)環(huán)境下對于安全性的全面理解。

其次,新版本標(biāo)準(zhǔn)中增加了對新興技術(shù)(如云計算、大數(shù)據(jù)、人工智能等)應(yīng)用背景下信息安全風(fēng)險評估方法的描述。這些新增內(nèi)容旨在指導(dǎo)組織如何在采用新技術(shù)時有效識別潛在威脅,并采取適當(dāng)措施加以防范。

再次,《GB/T 18336.1-2024》細(xì)化了安全功能要求分類體系,使其能夠更好地支持不同類型產(chǎn)品和服務(wù)的安全性分析。同時,對于安全保證級別(SAL)的定義也進(jìn)行了修訂,使得評價過程更加科學(xué)合理,更能反映實際操作中的復(fù)雜情況。

此外,新版標(biāo)準(zhǔn)還強(qiáng)化了對整個生命周期內(nèi)安全管理活動的要求,強(qiáng)調(diào)了持續(xù)監(jiān)控和改進(jìn)的重要性。這有助于確保信息系統(tǒng)在整個使用過程中始終保持較高的安全性水平。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2024-04-25 頒布
  • 2024-11-01 實施
?正版授權(quán)
GB/T 18336.1-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分:簡介和一般模型_第1頁
GB/T 18336.1-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分:簡介和一般模型_第2頁
GB/T 18336.1-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分:簡介和一般模型_第3頁
GB/T 18336.1-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分:簡介和一般模型_第4頁
GB/T 18336.1-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分:簡介和一般模型_第5頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T183361—2024/ISO/IEC15408-12022

.:

代替GB/T183361—2015

.

網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第1部分簡介和一般模型

:

Cybersecuritytechnology—EvaluationcriteriaforITsecurity—

Part1Introductionandeneralmodel

:g

ISO/IEC15408-12022Informationsecuritcbersecuritand

(:,y,yy

privacyprotection—EvaluationcriteriaforITsecurity—

Part1IntroductionandeneralmodelIDT

:g,)

2024-04-25發(fā)布2024-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T183361—2024/ISO/IEC15408-12022

.:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅶ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………2

縮略語

4……………………11

總述

5………………………12

概述

5.1…………………12

說明

5.2ISO/IEC15408………………12

評估對象

5.3……………15

其余部分內(nèi)容

5.4………………………17

一般模型

6…………………17

背景

6.1…………………17

資產(chǎn)和安全控制

6.2……………………17

核心的范式結(jié)構(gòu)

6.3ISO/IEC15408…………………19

安全要求的詳細(xì)說明

7……………………23

安全問題定義

7.1………………………23

安全目的

7.2……………24

安全要求

7.3……………27

安全組件

8…………………30

安全組件的層次結(jié)構(gòu)

8.1………………30

操作

8.2…………………31

組件之間的依賴性

8.3…………………34

擴(kuò)展組件

8.4……………35

9…………………………36

規(guī)則

9.1…………………36

包的類型

9.2……………36

包的依賴關(guān)系

9.3………………………37

評估方法和活動

9.4……………………37

保護(hù)輪廓

10………………37

概述

10.1………………37

介紹

10.2PP……………37

符合性聲明和符合性陳述

10.3………………………38

GB/T183361—2024/ISO/IEC15408-12022

.:

安全保障要求

10.4……………………39

嚴(yán)格和可論證的符合性所共有的附加要求

10.5……………………40

嚴(yán)格符合性的特定附加要求

10.6……………………40

可論證符合性的特定附加要求

10.7…………………41

精確符合的特定附加要求

10.8………………………41

的使用

10.9PP…………………………42

在多情況下的符合性陳述和聲明

10.10PP…………42

模塊化要求的構(gòu)造

11……………………42

概述

11.1………………42

模塊

11.2PP-……………43

配置

11.3PP-……………46

安全目標(biāo)

12………………53

規(guī)則

12.1………………53

符合性聲明和陳述

12.2………………53

保障要求

12.3…………………………55

精確符合情況下的附加要求

12.4……………………55

多重保障情況下的附加要求

12.5……………………56

評估和評估結(jié)果

13………………………58

概述

13.1………………58

評估內(nèi)容

13.2…………………………60

和配置的評估

13.3PPPP-……………60

評估

13.4ST……………60

的評估

13.5TOE………………………61

評估方法和評估活動

13.6……………61

評估結(jié)果

13.7…………………………61

多重保障評估

13.8……………………62

復(fù)合保障

14………………63

概述

14.1………………63

復(fù)合模型

14.2…………………………63

在復(fù)合模型中提供保障的評估技術(shù)

14.3……………65

使用復(fù)合技術(shù)進(jìn)行評估的要求

14.4…………………74

通過復(fù)合和多重保障進(jìn)行評估

14.5…………………76

附錄規(guī)范性包的規(guī)范

A()………………77

本附錄的目標(biāo)和結(jié)構(gòu)

A.1……………77

包的族

A.2……………77

A.3…………………77

附錄規(guī)范性保護(hù)輪廓的規(guī)范

B()………………………81

GB/T183361—2024/ISO/IEC15408-12022

.:

本附錄的目標(biāo)和結(jié)構(gòu)

B.1………………81

的規(guī)范

B.2PP…………………………81

的強(qiáng)制性內(nèi)容

B.3PP…………………82

參考中的其他標(biāo)準(zhǔn)

B.4PP……………87

直接基本原理

B.5PP…………………88

的可選內(nèi)容

B.6PP……………………90

附錄規(guī)范性模塊和配置的規(guī)范

C()PP-PP-…………91

本附錄的目標(biāo)和結(jié)構(gòu)

C.1………………91

模塊規(guī)范

C.2PP-………………………91

配置規(guī)范

C.3PP-………………………98

附錄規(guī)范性安全目標(biāo)和直接基本原理規(guī)范

D()(ST)ST…………103

本附錄的目標(biāo)和結(jié)構(gòu)

D.1……………103

使用

D.2ST…………………………103

的強(qiáng)制性內(nèi)容

D.3ST………………104

直接基本原理

D.4ST………………110

中的其他參考標(biāo)準(zhǔn)

D.5ST…………112

附錄規(guī)范性配置的符合性

E()PP/PP-………………113

概述

E.1………………113

可論證的符合性

E.2…………………113

嚴(yán)格的符合性

E.3……………………114

精確符合性

E.4………………………114

參考文獻(xiàn)

……………………118

GB/T183361—2024/ISO/IEC15408-12022

.:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)

GB/T1.1—2020《1:》

定起草

本文件是網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則的第部分已經(jīng)

GB/T18336《》1。GB/T18336

發(fā)布了以下部分

:

第部分簡介和一般模型

———1:;

第部分安全功能組件

———2:;

第部分安全保障組件

———3:;

第部分評估方法和活動的規(guī)范框架

———4:;

第部分預(yù)定義的安全要求包

———5:。

本文件代替信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第部分簡

GB/T18336.1—2015《1:

介和一般模型與相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

》。GB/T18336.1—2015,,:

增加了精確符合性類型及相關(guān)要求見

———“”(6.3.2、10.3、10.8、E.4);

刪除了低保障的保護(hù)輪廓見年版的

———“”(2015B.11);

增加了直接基本原理的術(shù)語見

———“”(3.34);

增加了多重保障評估的術(shù)語見

———“”(3.60);

適用的情況及相關(guān)要求見

———(6.3.4.3、12.5、13.8);

增加了用于模塊化評估的模塊和配置第章

———“PP-”“PP-”(11);

增加了復(fù)合保障一章見第章

———“”(14);

增加了直接基本原理保護(hù)輪廓和直接基本原理安全目標(biāo)內(nèi)容要求見

———“”“”(B.5、D.4)。

本文件等同采用信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)

ISO/IEC15408-1:2022《、

則第部分簡介和一般模型

1:》。

本文件做了下列最小限度的編輯性改動

:

為與現(xiàn)有標(biāo)準(zhǔn)協(xié)調(diào)將標(biāo)準(zhǔn)名稱改為網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第部分簡

———,《1:

介和一般模型

》;

增加了腳注見第章

———“”(1)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國信息安全測評中心清華大學(xué)公安部第三研究所中國電子科技集團(tuán)公司第

:、、、

十五研究所吉林信息安全測評中心中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國電子技術(shù)標(biāo)準(zhǔn)化研究院

、、、、

華為技術(shù)有限公司北京大學(xué)中國科學(xué)院信息工程研究所中國網(wǎng)絡(luò)空間研究院北京快手科技有限公

、、、、

司上海觀安信息技術(shù)股份有限公司紫光同芯微電子有限公司科來網(wǎng)絡(luò)技術(shù)股份有限公司深信服科

、、、、

技股份有限公司杭州迪普科技股份有限公司北京中測安華科技有限公司中貿(mào)促信息技術(shù)有限責(zé)任

、、、

公司成都中科至善信息技術(shù)有限公司粵港澳大灣區(qū)精準(zhǔn)醫(yī)學(xué)研究院廣州中通服咨詢設(shè)計研究院

、、()、

有限公司馬上消費金融股份有限公司中國軟件評測中心國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

、、、、

中國航天系統(tǒng)科學(xué)與工程研究院國家廣播電視總局廣播電視科學(xué)研究院科大訊飛股份有限公司

、、、

北京京東尚科信息技術(shù)有限公司廣東移動通信有限公司長揚(yáng)科技北京股份有限公司北京

、OPPO、()、

賽博英杰科技有限公司

本文件主要起草人張寶峰高金萍楊永生石竑松王亞楠高松謝仕華葉曉俊上官曉麗

:、、、、、、、、、

GB/T183361—2024/ISO/IEC15408-12022

.:

霍珊珊郭昊謝安明王曉楠落紅衛(wèi)李鳳娟許源孫亞飛熊琦龐博王峰楊元原劉健何陽

、、、、、、、、、、、、、、

劉占豐馮云譚儒孫楠鄭亮劉吉林左堅唐川謝江姜偉吳巍孔勇李婧余明明盛志凡

、、、、、、、、、、、、、、、

譚曉生趙恬蒲雄王小鵬楊波陳亮丁峰蔣寧馮娜趙華李根賈煒畢海英鄧輝陳鋒

、、、、、、、、、、、、、、。

本文件于年首次發(fā)布為年第一次修訂年第二次修訂本次

2001GB/T18336.1—2001,2008,2015,

為第三次修訂

GB/T183361—2024/ISO/IEC15408-12022

.:

引言

針對安全評估中的信息技術(shù)產(chǎn)品的安全功能及其保障措施提供了一套通用的

GB/T18336(IT),

要求為具有安全功能的產(chǎn)品的開發(fā)評估以及采購過程提供指導(dǎo)基于的評估過

,IT、。GB/T18336

程為產(chǎn)品的安全功能及其保障措施滿足這些要求的情況建立一個信任級別讓各個獨立的安全評

,IT,

估結(jié)果之間具備可比性評估結(jié)果能夠幫助消費者確定該產(chǎn)品是否滿足其安全要求

,IT。

擬由五部分構(gòu)成

GB/T18336。

第部分簡介和一般模型對進(jìn)行整體概述定義信息技術(shù)安全評估的一般概

———1:。GB/T18336,

念和原則并給出評估的一般模型

,。

第部分安全功能組件建立一套用于描述安全功能要求的功能組件標(biāo)準(zhǔn)化模板這些功

———2:。。

能組件按類和族的方式進(jìn)行結(jié)構(gòu)化組織通過組件選擇細(xì)化裁剪等方式構(gòu)造出具體的安全

,、、

功能要求

第部分安全保障組件建立一套用于描述安全保障要求的保障組件標(biāo)準(zhǔn)化模板這些安

———3:。。

全保障組件按類和族的方式進(jìn)行結(jié)構(gòu)化組織定義針對和進(jìn)行評估的準(zhǔn)則通

,PP、STTOE,

過組件選擇細(xì)化裁剪等方式構(gòu)造出具體的安全保障要求

、、。

第部分評估方法和活動的規(guī)范框架為規(guī)范評估方法和活動提供一個標(biāo)準(zhǔn)化框架這些

———4:。。

評估方法和活動包含在及任意支持這些方法和活動的文檔中供評估者基于

PP、ST,

其他部分中描述的模型開展評估工作

GB/T18336。

第部分預(yù)定義的安全要求包提供利益相關(guān)者通常使用的安全保障要求和安全功能要求

———5:。

的包提供的包示例包括評估保障級和組合保障包

,(EAL)(CAP)。

具有很大的靈活性將評估方法應(yīng)用于對一系列產(chǎn)品的一系列安全屬性的評估

GB/T18336,IT

中因此用戶需謹(jǐn)慎運(yùn)用以避免誤用該標(biāo)準(zhǔn)的靈活性例如若使用時采

。,GB/T18336,。,GB/T18336

取了不合適的評估方法活動選擇了不相關(guān)的安全屬性或針對的產(chǎn)品不恰當(dāng)都可能導(dǎo)致無意義

/、IT,

的評估結(jié)果

因此產(chǎn)品經(jīng)過評估的事實只有在提及選擇了哪些安全屬性采用了何種評估方法的情況下才

,IT,

有意義評估授權(quán)機(jī)構(gòu)需要仔細(xì)地審查產(chǎn)品安全屬性及評估方法以確定對其評估是否可產(chǎn)生有意義

。、,

的結(jié)論另外被評估產(chǎn)品的購買方也需要仔細(xì)地考慮評估的具體情況以確定該產(chǎn)品是否有用且能

。,,,

否滿足其特定的使用場景和需求

致力于保護(hù)資產(chǎn)免遭未授權(quán)的信息泄露數(shù)據(jù)篡改或喪失可用性此類保護(hù)與三種

GB/T18336、。

安全失效情況相對應(yīng)通常稱為保密性完整性和可用性此外也適用于這三種情況之

,、。,GB/T18336

外的安全的其他方面用于考慮人為的無論惡意與否以及非人為因素導(dǎo)致的風(fēng)險

IT。GB/T18336()。

另外還應(yīng)用于技術(shù)的其他領(lǐng)域但對安全領(lǐng)域外的適用性不作聲明

,GB/T18336IT,。

對某些問題因涉及專業(yè)技術(shù)或?qū)Π踩暂^為次要因此不在范圍之內(nèi)例如下

,IT,GB/T18336,

面內(nèi)容

不包括那些與安全措施沒有直接關(guān)聯(lián)的屬于行政性管理安全措施的安全評

a)GB/T18336IT

估準(zhǔn)則但是眾所周知某些重要的安全組成部分可通過諸如組織的人員的物理的程序的

。,、、、

控制等行政性管理措施來實現(xiàn)

并不涉及應(yīng)用本文件的評估方法

b)GB/T18336。

注1定義了基礎(chǔ)的評估方法用于從進(jìn)一步派生評估活動和方法

:GB/T30270,GB/T18336.4GB/T302705。

不涉及評估管理機(jī)構(gòu)使用本文件的行政管理和法律框架但也被用

c)GB/T18336,GB/T18336

GB/T183361—2024/ISO/IEC15408-12022

.:

于此框架下的評估

評估結(jié)果用于產(chǎn)品認(rèn)可的程序不屬于的范圍產(chǎn)品的認(rèn)可是行政性的管理過

d)GB/T18336。

程據(jù)此準(zhǔn)許產(chǎn)品或其集合在其整個運(yùn)行環(huán)境中投入使用評估側(cè)重于產(chǎn)品的安全

,IT()。IT

部分以及那些直接影響到單元安全使用的運(yùn)行環(huán)境因此評估結(jié)果是認(rèn)可過程的重要輸

,IT,

入但是由于其他技術(shù)更適合于評估非相關(guān)屬性以及其與安全部分的關(guān)系認(rèn)可者

。,ITIT,

應(yīng)針對這些情況分別制定不同的條款

不包括評價密碼算法固有質(zhì)量相關(guān)的條款如果需要對密碼算法的數(shù)學(xué)特性進(jìn)

e)GB/T18336。

行獨立的評估則在使用的評估體制中為相關(guān)評價制定專門的條款

,GB/T18336。

注2本文件在某些情況下使用粗體字和斜體字來區(qū)分術(shù)語和其余部分文本族內(nèi)組件之間的關(guān)系約定使用

:。

粗體突出顯示對所有新的要求也約定使用粗體字對于分層的組件當(dāng)要求被增強(qiáng)或修改且超出了

,。,,

前一個組件的要求時以粗體顯示此外除了前面的組件之外任何新的或增強(qiáng)的允許操作也會使用

,。,,

粗體突出顯示約定使用斜體來表示具有精確含義的文本對于安全保障要求該約定也適用于與評

。。,

估相關(guān)的特殊動詞

GB/T183361—2024/ISO/IEC15408-12022

.:

網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第1部分簡介和一般模型

:

1范圍

本文件建立了信息技術(shù)安全評估的一般概念和原則并規(guī)定了各部分所給出的一

,ISO/IEC15408

般評估模型該模型整體上可作為評估產(chǎn)品安全屬性的基礎(chǔ)

,IT。

本文件給出了所有部分1)的總體概述它描述了各個部分內(nèi)

ISO/IEC15408()。ISO/IEC15408

容定義了各部分使用的術(shù)語及縮略語建立了評估對象的核心概念描述了評估背景和評估準(zhǔn)

;;(TOE)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論