首页 购物车 询价
www.GB-GBT.com

[PDF] GB/T 18336.1-2024 - 英文版

标准搜索结果: 'GB/T 18336.1-2024'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 18336.1-2024 英文版 2594 GB/T 18336.1-2024 [PDF]天数 <=12 网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型 有效

基本信息
标准编号 GB/T 18336.1-2024 (GB/T18336.1-2024)
中文名称 网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型
英文名称 Cybersecurity technology - Evaluation criteria for IT security - Part 1: Introduction and general model
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.030
字数估计 130,140
发布日期 2024-04-25
实施日期 2024-11-01
旧标准 (被替代) GB/T 18336.1-2015
起草单位 中国信息安全测评中心、清华大学、公安部第三研究所、中国电子科技集团公司第十五研究所、吉林信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、华为技术有限公司、北京大学、中国科学院信息工程研究所、中国网络空间研究院、北京快手科技有限公司、上海观安信息技术股份有限公司、紫光同芯微电子有限公司、科来网络技术股份有限公司、深信服科技股份有限公司、杭州迪普科技股份有限公司、北京中测安华科技有限公司、中贸促信息技术有限责任公司、成都中科至善信息技术有限公司、粤港澳大湾区精准医学研究院(广州)、
归口单位 全国网络安全标准化技术委员会(SAC/TC 260)
提出机构 全国网络安全标准化技术委员会(SAC/TC 260)
发布机构 国家市场监督管理总局、国家标准化管理委员会

GB/T 18336.1-2024: 网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型 ICS 35.030 CCSL80 中华人民共和国国家标准 代替GB/T 18336.1-2015 网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型 (ISO/IEC 15408-1:2022,Informationsecurity,cybersecurityand 2024-04-25发布 2024-11-01实施 国 家 市 场 监 督 管 理 总 局 国 家 标 准 化 管 理 委 员 会 发 布 目次 前言 Ⅴ 引言 Ⅶ 1 范围 1 2 规范性引用文件 1 3 术语和定义 2 4 缩略语 11 5 总述 12 5.1 概述 12 5.2 ISO/IEC 15408说明 12 5.3 评估对象 15 5.4 其余部分内容 17 6 一般模型 17 6.1 背景 17 6.2 资产和安全控制 17 6.3 ISO/IEC 15408核心的范式结构 19 7 安全要求的详细说明 23 7.1 安全问题定义 23 7.2 安全目的 24 7.3 安全要求 27 8 安全组件 30 8.1 安全组件的层次结构 30 8.2 操作 31 8.3 组件之间的依赖性 34 8.4 扩展组件 35 9 包 36 9.1 规则 36 9.2 包的类型 36 9.3 包的依赖关系 37 9.4 评估方法和活动 37 10 保护轮廓 37 10.1 概述 37 10.2 PP介绍 37 10.3 符合性声明和符合性陈述 38 10.4 安全保障要求 39 10.5 严格和可论证的符合性所共有的附加要求 40 10.6 严格符合性的特定附加要求 40 10.7 可论证符合性的特定附加要求 41 10.8 精确符合的特定附加要求 41 10.9 PP的使用 42 10.10 在多PP情况下的符合性陈述和声明 42 11 模块化要求的构造 42 11.1 概述 42 11.2 PP-模块 43 11.3 PP-配置 46 12 安全目标 53 12.1 规则 53 12.2 符合性声明和陈述 53 12.3 保障要求 55 12.4 精确符合情况下的附加要求 55 12.5 多重保障情况下的附加要求 56 13 评估和评估结果 58 13.1 概述 58 13.2 评估内容 60 13.3 PP和PP-配置的评估 60 13.4 ST评估 60 13.5 TOE的评估 61 13.6 评估方法和评估活动 61 13.7 评估结果 61 13.8 多重保障评估 62 14 复合保障 63 14.1 概述 63 14.2 复合模型 63 14.3 在复合模型中提供保障的评估技术 65 14.4 使用复合技术进行评估的要求 74 14.5 通过复合和多重保障进行评估 76 附录A(规范性) 包的规范 77 A.1 本附录的目标和结构 77 A.2 包的族 77 A.3 包 77 附录B(规范性) 保护轮廓的规范 81 B.1 本附录的目标和结构 81 B.2 PP的规范 81 B.3 PP的强制性内容 82 B.4 参考PP中的其他标准 87 B.5 直接基本原理PP 88 B.6 PP的可选内容 90 附录C(规范性) PP-模块和PP-配置的规范 91 C.1 本附录的目标和结构 91 C.2 PP-模块规范 91 C.3 PP-配置规范 98 附录D(规范性) 安全目标(ST)和直接基本原理ST规范 103 D.1 本附录的目标和结构 103 D.2 使用ST 103 D.3 ST的强制性内容 104 D.4 直接基本原理ST 110 D.5 ST中的其他参考标准 112 附录E(规范性) PP/PP-配置的符合性 113 E.1 概述 113 E.2 可论证的符合性 113 E.3 严格的符合性 114 E.4 精确符合性 114 参考文献 118 前言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规 定起草。 本文件是GB/T 18336《网络安全技术 信息技术安全评估准则》的第1部分。GB/T 18336已经 发布了以下部分: ---第1部分:简介和一般模型; ---第2部分:安全功能组件; ---第3部分:安全保障组件; ---第4部分:评估方法和活动的规范框架; ---第5部分:预定义的安全要求包。 本文件代替GB/T 18336.1-2015《信息技术 安全技术 信息技术安全评估准则 第1部分:简 介和一般模型》。与GB/T 18336.1-2015相比,除结构调整和编辑性改动外,主要技术变化如下: ---增加了“精确符合性”类型及相关要求(见6.3.2、10.3、10.8、E.4); ---删除了“低保障的保护轮廓”(见2015年版的B.11); ---增加了“直接基本原理”的术语(见3.34); ---增加了“多重保障评估”的术语(见3.60); ---适用的情况及相关要求(见6.3.4.3、12.5、13.8); ---增加了用于模块化评估的“PP-模块”和“PP-配置”(第11章); ---增加了“复合保障”一章(见第14章); ---增加了“直接基本原理保护轮廓”和“直接基本原理安全目标”内容要求(见B.5、D.4)。 本文件等同采用ISO/IEC 15408-1:2022《信息安全、网络安全和隐私保护 信息技术安全评估准 则 第1部分:简介和一般模型》。 本文件做了下列最小限度的编辑性改动: ---为与现有标准协调,将标准名称改为《网络安全技术 信息技术安全评估准则 第1部分:简 介和一般模型》; ---增加了“脚注”(见第1章)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国信息安全测评中心、清华大学、公安部第三研究所、中国电子科技集团公司第 十五研究所、吉林信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、 华为技术有限公司、北京大学、中国科学院信息工程研究所、中国网络空间研究院、北京快手科技有限公 司、上海观安信息技术股份有限公司、紫光同芯微电子有限公司、科来网络技术股份有限公司、深信服科 技股份有限公司、杭州迪普科技股份有限公司、北京中测安华科技有限公司、中贸促信息技术有限责任 公司、成都中科至善信息技术有限公司、粤港澳大湾区精准医学研究院(广州)、中通服咨询设计研究院 有限公司、马上消费金融股份有限公司、中国软件评测中心、国家计算机网络应急技术处理协调中心、 中国航天系统科学与工程研究院、国家广播电视总局广播电视科学研究院、科大讯飞股份有限公司、 北京京东尚科信息技术有限公司、OPPO广东移动通信有限公司、长扬科技(北京)股份有限公司、北京 赛博英杰科技有限公司。 本文件主要起草人:张宝峰、高金萍、杨永生、石竑松、王亚楠、高松、谢仕华、叶晓俊、上官晓丽、 霍珊珊、郭昊、谢安明、王晓楠、落红卫、李凤娟、许源、孙亚飞、熊琦、庞博、王峰、杨元原、刘健、何阳、 刘占丰、冯云、谭儒、孙楠、郑亮、刘吉林、左坚、唐川、谢江、姜伟、吴巍、孔勇、李婧、余明明、盛志凡、 谭晓生、赵恬、蒲雄、王小鹏、杨波、陈亮、丁峰、蒋宁、冯娜、赵华、李根、贾炜、毕海英、邓辉、陈锋。 本文件于2001年首次发布为GB/T 18336.1-2001,2008年第一次修订,2015年第二次修订,本次 为第三次修订。 引 言 GB/T 18336针对安全评估中的信息技术(IT)产品的安全功能及其保障措施,提供了一套通用的 要求,为具有安全功能的IT产品的开发、评估以及采购过程提供指导。基于GB/T 18336的评估过 程,为IT产品的安全功能及其保障措施满足这些要求的情况建立一个信任级别,让各个独立的安全评 估结果之间具备可比性,评估结果能够帮助消费者确定该IT产品是否满足其安全要求。 GB/T 18336拟由五部分构成。 ---第1部分:简介和一般模型。对GB/T 18336进行整体概述,定义信息技术安全评估的一般概 念和原则,并给出评估的一般模型。 ---第2部分:安全功能组件。建立一套用于描述安全功能要求的功能组件标准化模板。这些功 能组件按类和族的方式进行结构化组织,通过组件选择、细化、裁剪等方式构造出具体的安全 功能要求。 ---第3部分:安全保障组件。建立一套用于描述安全保障要求的保障组件标准化模板。这些安 全保障组件按类和族的方式进行结构化组织,定义针对PP、ST和TOE进行评估的准则,通 过组件选择、细化、裁剪等方式构造出具体的安全保障要求。 ---第4部分:评估方法和活动的规范框架。为规范评估方法和活动提供一个标准化框架。这些 评估方法和活动包含在 PP、ST 及任意支持这些方法和活动的文档中,供评估者基于 GB/T 18336其他部分中描述的模型开展评估工作。 ---第5部分:预定义的安全要求包。提供利益相关者通常使用的安全保障要求和安全功能要求 的包,提供的包示例包括评估保障级(EAL)和组合保障包(CAP)。 GB/T 18336具有很大的灵活性,将评估方法应用于对一系列IT产品的一系列安全属性的评估 中。因此,用户需谨慎运用GB/T 18336,以避免误用该标准的灵活性。例如,若使用GB/T 18336时采 取了不合适的评估方法/活动、选择了不相关的安全属性或针对的IT产品不恰当,都可能导致无意义 的评估结果。 因此,IT产品经过评估的事实只有在提及选择了哪些安全属性,采用了何种评估方法的情况下才 有意义。评估授权机构需要仔细地审查产品、安全属性及评估方法,以确定对其评估是否可产生有意义 的结论。另外,被评估产品的购买方也需要仔细地考虑评估的具体情况,以确定该产品是否有用,且能 否满足其特定的使用场景和需求。 GB/T 18336致力于保护资产免遭未授权的信息泄露、数据篡改或丧失可用性。此类保护与三种 安全失效情况相对应,通常称为保密性、完整性和可用性。此外,GB/T 18336也适用于这三种情况之 外的IT安全的其他方面。GB/T 18336用于考虑人为的(无论恶意与否)以及非人为因素导致的风险。 另外,GB/T 18336还应用于IT技术的其他领域,但对安全领域外的适用性不作声明。 对某些问题,因涉及专业技术或对IT安全而言较为次要,因此不在GB/T 18336范围之内,例如下 面内容。 a) GB/T 18336不包括那些与IT安全措施没有直接关联的属于行政性管理安全措施的安全评 估准则。但是,众所周知某些重要的安全组成部分可通过诸如组织的、人员的、物理的、程序的 控制等行政性管理措施来实现。 b) GB/T 18336并不涉及应用本文件的评估方法。 注1:GB/T 30270定义了基础的评估方法,GB/T 18336.4用于从GB/T 302705进一步派生评估活动和方法。 c) GB/T 18336不涉及评估管理机构使用本文件的行政管理和法律框架,但GB/T 18336也被用 于此框架下的评估。 d) 评估结果用于产品认可的程序不属于GB/T 18336的范围。产品的认可是行政性的管理过 程,据此准许IT产品(或其集合)在其整个运行环境中投入使用。评估侧重于产品的IT安全 部分,以及那些直接影响到IT单元安全使用的运行环境,因此评估结果是认可过程的重要输 入。但是,由于其他技术更适合于评估非IT相关属性以及其与IT安全部分的关系,认可者 应针对这些情况分别制定不同的条款。 e) GB/T 18336不包括评价密码算法固有质量相关的条款。如果需要对密码算法的数学特性进 行独立的评估,则在使用GB/T 18336的评估体制中为相关评价制定专门的条款。 注2:本文件在某些情况下使用粗体字和斜体字来区分术语和其余部分文本。族内组件之间的关系约定使用 粗体突出显示,对所有新的要求也约定使用粗体字。对于分层的组件,当要求被增强或修改,且超出了 前一个组件的要求时,以粗体显示。此外,除了前面的组件之外,任何新的或增强的允许操作也会使用 粗体突出显示。约定使用斜体来表示具有精确含义的文本。对于安全保障要求,该约定也适用于与评 估相关的特殊动词。 网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型 1 范围 本文件建立了信息技术安全评估的一般概念和原则,并规定了ISO/IEC 15408各部分所给出的一 般评估模型,该模型整体上可作为评估IT产品安全属性的基础。 本文件给出了ISO/IEC 15408(所有部分)1)的总体概述。它描述了ISO/IEC 15408各个部分内 容;定义了各部分使用的术语及缩略语;建立了评估对象(TOE)的核心概念;描述了评估背景和评估准 则所针对的目标读者。本文件还给出了信息技术产品评估所需的基本安全概念。 1) ISO/IEC 15408-1~ISO/IEC 15408-5分别被采标对应我国国家标准GB/T 18336.1~GB/T 18335.5。 本文件介绍了: ---保护轮廓(PP)、PP-模块、PP-配置、包、安全目标(ST)和符合性类型等核心概念; ---整个模型中安全组件的组织化描述;......