路径: 主页 > GB/T > 第210页 > GB/T 30270-2013 | 标准编号 | GB/T 30270-2013 (GB/T30270-2013) | | 中文名称 | 信息技术 安全技术 信息技术安全性评估方法 | | 英文名称 | Information technology -- Security technology -- Methodology for IT security evaluation | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 221,246 | | 引用标准 | ISO/IEC 15408-1; ISO/IEC 15408-2; ISO/IEC 15408-3 | | 采用标准 | ISO/IEC 18045-2005, IDT | | 标准依据 | 国家标准公告2013年第27号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准描述了在采用ISO/IEC 15408《信息技术 安全技术 信息技术安全性评估准则》所定义的准则和评估证据进行评估时, 评估者应执行的最小行为集, 是ISO/IEC 15408的配套标准。 | GB/T 30270-2013
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术
信息技术安全性评估方法
(ISO/IEC 18045:2005,IDT)
2013-12-31发布
2014-07-15实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 3
5 概述 3
6 文档约定 3
6.1 行文方式 3
6.2 动词用法 3
6.3 通用评估指南 4
6.4 ISO/IEC 15408和本标准结构间的关系 4
6.5 评估者裁定 4
7 通用评估任务 5
7.1 简介 5
7.2 评估输入任务 5
7.3 评估输出任务 7
8 保护轮廓评估 12
8.1 简介 12
8.2 PP评估相互关系 12
8.3 PP评估活动 12
9 ASE类:安全目标评估 28
9.1 简介 28
9.2 ST评估相互关系 28
9.3 ST评估活动 29
10 EAL1评估 50
10.1 简介 50
10.2 目的 50
10.3 EAL1评估相互关系 50
10.4 配置管理活动 50
10.5 交付和运行活动 51
10.6 开发活动 52
10.7 指导性文档活动 56
10.8 测试活动 60
11 EAL2评估 63
11.1 简介 63
11.2 目的 64
11.3 EAL2评估相互关系 64
11.4 配置管理活动 64
11.5 交付和运行活动 66
11.6 开发活动 68
11.7 指导性文档活动 74
11.8 测试活动 78
11.9 脆弱性评定活动 87
12 EAL3评估 94
12.1 简介 94
12.2 目的 94
12.3 EAL3评估相互关系 94
12.4 配置管理活动 94
12.5 交付和运行活动 98
12.6 开发活动 100
12.7 指导性文档活动 107
12.8 生命周期支持活动 112
12.9 测试活动 114
12.10 脆弱性评定活动 126
13 EAL4评估 134
13.1 简介 134
13.2 目的 134
13.3 EAL4评估相互关系 135
13.4 配置管理活动 135
13.5 交付和运行活动 141
13.6 开发活动 144
13.7 指导性文档活动 159
13.8 生命周期支持活动 163
13.9 测试活动 167
13.10 脆弱性评定活动 179
14 缺陷纠正子活动 193
14.1 缺陷纠正评估(ALC_FLR.1) 193
14.2 缺陷纠正评估(ALC_FLR.2) 194
14.3 缺陷纠正评估(ALC_FLR.3) 197
附录A(规范性附录) 通用评估指南 202
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准采用翻译法等同采用国际标准ISO/IEC 18045:2005《信息技术 安全技术 信息技术安全
性评估方法》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 18336-2008 信息技术 安全技术 信息技术安全性评估准则(ISO/IEC 15408:
2005,IDT)。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准主要起草单位:中国信息安全测评中心、吉林信息安全测评中心、华中信息安全测评中心。
本标准主要起草人:李守鹏、吴世忠、黄元飞、李斌、刘晖、刘春明、郭颖、付敏、谭运猛、徐长醒、
宋小龙、简余良、郭涛、甘杰夫、张宝峰、石竑松、杨永生、毕海英、高金萍、王峰、李凤娟、唐喜庆、曾华春。
引 言
本标准提出的信息技术(IT)安全性评估方法仅限于对ISO/IEC 15408中定义的EAL1~EAL4评
估,不提供EAL5~EAL7及其他保证包的评估指南。
本标准的读者对象主要是采用ISO/IEC 15408的评估者和确认评估者行为的认证者,以及评估发
起者、开发者、PP/ST作者和其他对IT安全感兴趣的团体。
本标准并不能解决所有有关IT安全评估的问题,有些问题还需要进一步的解释。这些解释将由
各评估体制决定如何处理,即便它们要遵从多方互认协议。可以由各体制处理的评估方法相关活动列
表见附录A。
本标准提出了依据ISO/IEC 15408《信息技术 安全技术 信息技术安全性评估准则》进行信息技
术安全评估时的评估方法,是ISO/IEC 15408的配套标准。
信息技术 安全技术
信息技术安全性评估方法
1 范围
本标准描述了在采用ISO/IEC 15408《信息技术 安全技术 信息技术安全性评估准则》所定义的
准则和评估证据进行评估时,评估者应执行的最小行为集,是ISO/IEC 15408的配套标准。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。
ISO/IEC 15408(所有部分) 信息技术 安全技术 信息技术安全性评估准则(Informationtech-
3 术语和定义
下列术语和定义适用于本文件。
3.1
行为 action
ISO/IEC 15408-3的评估者行为元素。这些行为在ISO/IEC 15408-3保证组件中要么是直接声明
为评估者行为,要么是间接从开发者行为(隐含的评估者行为)中导出。
3.2
活动 activity
ISO/IEC 15408-3保证类的施用。
3.3
核查 ......
|