首页 购物车 询价
www.GB-GBT.com

[PDF] GB/T 20274.4-2008 - 自动发货. 英文版

标准搜索结果: 'GB/T 20274.4-2008'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 20274.4-2008 英文版 145 GB/T 20274.4-2008 3分钟内自动发货[PDF] 信息安全技术 信息系统安全保障评估框架 第4部分:工程保障 有效

基本信息
标准编号 GB/T 20274.4-2008 (GB/T20274.4-2008)
中文名称 信息安全技术 信息系统安全保障评估框架 第4部分:工程保障
英文名称 Information security technology - Evaluation framework for information systems security assurance - Part 4: Engineering assurance
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 86,844
发布日期 2008-07-18
实施日期 2008-12-01
起草单位 中国信息安全产品测评认证中心
归口单位 全国信息安全标准化技术委员会
标准依据 国家标准批准发布公告2008年第14号(总第127号)
提出机构 全国信息安全标准化技术委员会
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围 GB/T 20274的本部分建立了信息系统安全工程保障的框架, 确立了组织机构启动、实施、维护、评估和改进信息安全工程的指南和通用原则。GB/T 20274的本部分定义和说明了信息系统安全工程保障工作中反映组织机构信息安全工程保障能力的安全工程能力级, 以及提供组织机构信息安全工程保障内容的安全工程保障控制类要求。GB/T 20274的本部分适用于启动、实施、维护、评估和改进信息安全工程的组织机构和涉及信息系统安全工程工作的所有用户、开发人员和评估人员。

GB/T 20274.4-2008: 信息安全技术 信息系统安全保障评估框架 第4部分:工程保障 GB/T 20274.4-2008 英文名称: Information security technology -- Evaluation framework for information systems security assurance -- Part 4: Engineering assurance ICS 35.040 L80 中华人民共和国国家标准 5 信息系统安全工程保障框架 5.1 信息系统安全工程保障概述 本标准第1部分中提出了信息安全保障模型(参见本标准第1部分图3),在模型中,描述了信息系 统安全中保障要素(技术、工程、管理和人员)、安全特征和生命周期三者的关系。 信息安全工程保障框架是信息系统安全保障框架的一个重要组成部分,信息安全工程保障主要涉 及同信息系统安全工程建设实施相关的工程保障内容和要求,信息系统安全工程保障结合了信息安全 工程保障建设的特殊内容和要求,建立了信息安全管理保障的能力成熟度模型。 信息安全工程保障能力成熟度模型包含了两个相互依赖的维度,即“安全工程保障控制维”和“安全 工程保障能力成熟度级维”,它反映了信息安全工程保障在控制措施和能力成熟度这两个方面的要求。 a) “安全工程保障控制维”由信息安全工程保障控制组成,它建立了组织机构信息安全工程保障 框架的内容和工作范围。信息安全工程保障控制使用类-子类-组件的层次化结构,每个信 息安全工程保障控制类反映了信息安全工程保障特定领域工作的范围和内容,是信息安全工 程保障特定领域工作最佳实践的总结。在本部分中,共包含了3个信息安全工程保障控制类, 它们给出了信息安全工程保障中“做什么”这个关于内容和范围的答复; b) “安全工程保障能力成熟度级维”由六级能力成熟度级别组成,它代表了组织机构实施信息安 全工程保障控制的能力。安全工程保障能力成熟度级同特定的安全工程保障控制类相结合, 给出了信息安全工程保障中“做得如何好”这个关于能力的答复,同时能力成熟度方法也为组 织机构提供了可以持续改进的长效机制。 通过设置这两个相互依赖的维,信息安全工程保障框架在各个能力级别上覆盖了整个安全工程活动范围。 5.2 信息系统安全工程保障控制 5.2.1 信息系统安全工程保障控制类 本部分中将信息系统安全工程划分为三个基本的过程域(即信息系统安全工程保障控制类):风险、 工程和保障。虽然这些域决不是互相独立的,但可以分开考虑它们。在最简单的级别中,风险过程识别 并优先级排序对开发出的产品或系统的内在危险。安全工程过程与其他工程学科共同作用来决定和实 施危险引起的问题的解决方案。最后,保障过程建立对安全解决方案的信心并将这种信心传递给用户。 5.2.2 信息系统安全工程生命周期 信息系统安全更强调在整个生命周期中融入安全并强调动态可持续改进的能力发展,在信息系统 安全工程过程中,主要是基于信息系统安全工程的生命周期思想有效地提炼出信息系统安全工程的生 命周期中的一些关键的过程域,通过对这些过程域的基本实施的要求,覆盖信息系统安全工程的整个生 命周期,再通过每个过程域中执行通用实践的能力实践、改进每个过程域的执行能力。这样才能真正有 效、科学、可重复、可不断改进地、动态发展地实现信息系统安全保障的目标。 安全工程过程生命周期包含以下根据信息流向划分的安全工程阶段:挖掘安全需求、定义安全要 求、设计体系结构、详细安全设计、实现系统安全和有效性评估。有效性评估贯穿整个信息系统工程过 程的所有阶段,以确保系统能够满足用户需求。图1反映工程过程中各活动之间的关系,箭头表明各活 动之间的信息流向,而不是活动的顺序或时限。 5.2.3 安全工程生命周期和过程域对应关系 安全工程生命周期同过程域关系如表1: 6 信息安全工程保障控制类结构 6.1 概述 本章定义了本部分所使用的信息安全工程保障控制类的结构。信息安全工程保障控制类以安全工 程保障控制类、安全工程保障控制子类、安全工程保障控制组件来表达。 6.2 安全工程保障控制类结构 每个安全工程保障控制类包括一个安全工程保障控制类名、安全工程保障控制类介绍以及一个或 多个安全工程保障控制子类。图2描述了本部分中所使用的安全工程保障控制类的结构。 安全工程保障控制类结构的详细描述如下: a) 安全工程保障控制类名:安全工程保障控制类名提供了标识和划分安全工程保障控制类所必 需的信息,每个安全工程保障控制类都有一个唯一的名称。安全工程保障控制类的分类信息 由三个英文字符的简名组成,此简名将用于该安全工程保障控制类的子类的简名规范中; b) 安全工程保障控制类介绍:安全工程保障控制类介绍部分提供了该安全工程保障控制类定 义、要求和目的等的整体描述。安全工程保障控制类介绍中用图来具体描述此域中的子类、组 件组成结构; c) 安全工程保障控制子类:安全工程保障控制子类部分对该安全工程保障控制类所包含的子类 进行了详细描述。一个安全工程保障控制类包含了一个或多个安全工程保障控制子类。 6.3 安全工程保障控制子类结构 一个安全工程保障控制类包含了一个或多个安全工程保障控制子类。每个安全工程保障控制子类 包含一个安全工程保障控制子类名、一个安全保障工程目的和一个或多个实现此安全工程保障目的的 安全工程保障控制组件(控制措施)。图3描述了安全工程保障控制子类的描述结构。 安全工程保障控制子类结构的详细描述如下: a) 安全工程保障控制子类名:安全工程保障控制子类名部分提供了标识和划分安全工程保障控 制子类所必需的分类和描述信息,每个安全工程保障控制子类有一个唯一的名称。安全工程 保障控制子类的分类信息由七个英文字符的简名组成,前三个英文字符与其所属的安全工程 保障控制类名相同,第四个字符是下划线用于连接安全工程保障控制类名和安全工程保障控 制子类名,最后三个英文字符是安全工程保障控制子类名,例如XXX_YYY。唯一的简名安 全工程保障控制子类名为安全工程保障控制组件提供了引用名; b) 安全保障工程目的:安全工程保障目的描述了此安全工程保障控制子类所要达到的目的; c) 安全工程保障控制组件:一个安全工程保障控制子类包含了一个或多个安全工程保障控制组 件。安全工程保障控制组件就是实现安全工程保障目的的信息安全保障工程控制措施。 6.4 安全工程保障控制组件结构 安全工程保障控制组件是实现安全工程保障目的的信息安全保障工程控制措施。每个安全工程保 障控制组件包括一个安全工程保障控制组件名、一个安全工程保障控制组件控制和一个可选的安全工 程保障控制组件注解。图4描述了安全工程保障控制组件的描述结构。 安全工程保障控制组件结构的详细描述如下: a) 安全工程保障控制组件名:安全工程保障控制组件名用于标识安全工程保障控制组件。安全 工程保障控制组件的简名是由安全工程保障控制组件名,后面使用句点作为连接符,在句点连 接符后用阿拉伯数字按顺序标明不同的组件构成的。 b) 安全工程保障控制组件控制:安全工程保障控制组件控制部分定义了满足其安全工程保障控 制子类安全工程保障目的特定的控制措施。 c) 安全工程保障控制组件注解:可选的安全工程保障控制组件注解部分为该安全工程保障控制 组件提供了进一步描述性的解释说明,以及实施该控制措施的最佳实践的建议等。安全工程 保障控制组件注解中所提供的最佳实践等内容可能不一定适合所有的情况,本部分的使用者 也可以根据其自身信息安全工程保障的特殊需求和要求使用其他更合适的实施方法。 7 PRM安全工程保障控制类:风险过程 7.1 风险过程安全工程保障控制类介绍 安全工程的一个主要目标是降低风险。风险评估是识别尚未发生的问题的过程。风险的评估是通 过检查威胁的可能性、脆弱性并考虑意外事件的潜在影响。可能性是不确定的因素,所以它会因特定的 环境而不同。这意味着可能性只能在一定的限制下进行预测。另外,评估特定风险的影响也具有不确 定性,因为意外事件可能不像所预料的那样出现。这些因素可能有很大的不确定性影响到预测的正确 性,所以安全的规划和评定就会很难。这个问题的一个不完全解决方法是用技术手段来检测意外事件的发生。 意外事件由三项构成:威胁、脆弱性和影响。脆弱性是资产可能被威胁利用的属性,也包括弱点。 如果威胁或脆弱性其一不存在,就不会有意外事件,也就没有风险。风险管理是评估和量化风险并设定 组织的风险可接受程度的过程。管理风险是安全管理的重要部分。 通过保护措施的实施降低风险,风险可以描述威胁、脆弱性、影响,或者风险本身。然而,降低所有 风险或完全根除任一特定风险都是不可能的。这主要是因为风险降低的成本,以及相关的不确定性。 因此,总是必须接受一些残余风险。在不确定性很高的情况下,由于不能精确地描述风险,接受风险会 有很大问题。信息安全工程的过程域包括确保服务提供方组织进行分析威胁、脆弱性、影响,并综合这 些活动所得到的威胁、脆弱性和影响信息进行风险分析,然后得到风险信息。 7.2 系统定义(PRM_SDF) 7.2.1 安全工程保障目的 系统定义安全工程保障控制子类的目的是识别信息系统的任务和使命,即系统的任务要求和它所 要达到的能力,这些能力包括系统应执行的功能、所需的接口及这些接口相关的能力、所要处理的信息、 所支持的运行结构以及运行的威胁等。 7.2.2 PRM_SDF.1 详细系统描述 7.2.2.1 安全工程保障控制组件控制 描述信息系统的目的、任务和使命;信息系统的信息类划分、边界、信息流;信息系统的业务体系、技术体系和管理体系等。 7.2.2.2 安全工程保障控制组件注解 详细系统描述实际上就是确定STOE的过程,这是非常重要的一个步骤,是后续各个步骤的基础。 因为只有明确定义和描述系统的范围等性质,对系统的分析才有意义,才能准确和有效。 应按照GB/T 20274第1部分附录C的图C.1信息系统安全保障评估信息系统描述规范中的要 求,描述信息系统的使命,信息系统的环境、评估边界和接口、安全域;再分别从信息系统的管理体系、技 术体系、业务体系等角度对信息系统进行详细描述。 7.3 评估威胁(PRM_ATT) 7.3.1 安全工程保障目的 评估威胁安全工程保障控制子类的目标是对系统安全的威胁进行标识和特征化。 评估威胁安全工程保障控制子类的目的在于标识安全威胁及其性质和特征。 本安全工程保障控制子类产生的威胁信息将与评估脆弱性得到的脆弱性信息以及评估影响得到的 影响信息一起用于评估安全风险中。虽然收集威胁、脆弱性和影响信息的活动被分组为几个单独的过 程域,但它们是互相依赖的。其目标是要得到足以用作判定的威胁、脆弱性和影响的组合。因此,确定 威胁调查的范围应结合相应的脆弱性和影响。 威胁容易变化,所以必须定期监视威胁,以确保一直维持理解本过程域产生的结果。 7.3.2 PRM_ATT.1 标识自然威胁 7.3.2.1 安全工程保障控制组件控制 标识由自然原因引起的威胁。 由自然原因引起的威胁,包括地震、海啸和台风。不过,并非有威胁的所有自然灾害都会在所有地 方发生。例如,在大量内陆中心地带就不可能出现台风。因此,重要的是标识出在特定地方到底会发生 哪一种具有威胁的自然灾害。 7.3.2.2 安全工程保障控制组件注解 评估所需的大量信息可以从实际清单和自然现象数据库中获得。这些信息是具有价值的,它们也 可能很通用而要谨慎使用这些信息---可能需要根据特定环境来描述。 标识自然威胁的工作产品示例如下: a) 适用的自然威胁表---文档化自然威胁的特征和可能性的表格。 7.3.3 PRM_ATT.2 标识人为威胁 7.3.3.1 安全工程保障控制组件控制 标识出无意的或有意的人为原因所引起的威胁。 人为原因引起的威胁基本上有两种:一是由意外原因引起的威胁;二是由有意行为引起的威胁。某 些人为威胁在目标环境中并不适用,应在进一步分析后予以取消。 标识人为威胁的工作产品示例如下: a) 威胁情景描述---描述威胁是如何工作的。 b) 威胁严重性估计---衡量威胁的可能性。 7.3.3.2 安全工程保障控制组件注解 有时,描绘威胁将会如何发生的情景,有助于理解故意威胁。一般人为威胁数据库的使用,应考虑 它们的完整性和关联性。 7.3.4 PRM_ATT.3 标识威胁的测量块 7.3.4.1 安全工程保障控制组件控制 标识特定环境中合适的测量块和适用范围。 大多数的自然威胁和许多人为威胁都有其与之相关的测量块。大多数情况下,整个的测量块并不 适用于特定情况。因此,在特定情况下,有时需要最大化事件发生概率,有时需要最小化事件发生的概率,这样考虑才恰当。 7.3.4.2 安全工程保障控制组件注解 在对某一特定威胁没有可接受的度量标准单位时,应生成针对该位置的度量标准单位。恰当的话, 应该在测试表关系中对相关范围和度量标准单位进行描述。 标识威胁的测量块的工作产品示例如下: a) 威胁表,包括测量块和所在位置范围。 7.3.5 PRM_ATT.4 评估威胁源能力 7.3.5.1 安全工程保障控制组件控制 评估人为威胁的威胁源的能力和动机。 本安全工程保障控制组件集确定成功对系统进行攻击的潜在的人类敌对势力的才能和能力。才能 指的是敌对者的攻击知识(例如,他们是否拥有知识、经过训练)。能力则衡量一个有才能的敌手能够进 行攻击的可能性(例如,他们是否拥有资源)。 7.3.5.2 安全工程保障控制组件注解 人为的故意威胁在很大程度上取决于威胁源的能力以及供威胁支配的资源。因此,经验欠缺的黑 客如果获得了经验丰富、能力高的黑客的工具,将会造成更危险的威胁,但话说回来,还是不如经验丰富 的黑客自己来使用更危险。但是,缺乏经验的黑客又可能造成非故意的伤害,经验丰富的黑客则不会。 除威胁源的能力之外,对威胁源所拥有资源的评估,应该与威胁源的攻击动机一起考虑,因为攻击的动 机大小往往与目标资产的吸引力有关。 威胁可能按顺序或并发地多次进行攻击来达到其预期目标。应考虑顺序或并发的多次攻击的影 响,威胁场景研究有助于此。 评估威胁源能力的工作产品示例如下: a) 威胁源描述---能力评估和描述。 7.3.6 PRM_ATT.5 评估威胁的可能性 评估威胁事件发生的可能性。 7.3.6.1 安全工程保障控制组件控制 评估威胁事件发生的可能性是怎样的。对自然事件发生的机会以及故意行为或个别意外事件的评 估中,需要考虑多种因素。考虑的诸多因素并不一定要进行计算或衡量,只需要报告中有一致......