搜索结果: GB/T 18336.5-2024, GB/T18336.5-2024, GBT 18336.5-2024, GBT18336.5-2024
| 标准编号 | GB/T 18336.5-2024 (GB/T18336.5-2024) | | 中文名称 | 网络安全技术 信息技术安全评估准则 第5部分:预定义的安全要求包 | | 英文名称 | Cybersecurity technology - Evaluation criteria for IT security - Part 5: Pre-defined packages of security requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 34,355 | | 发布日期 | 2024-04-25 | | 实施日期 | 2024-11-01 | | 旧标准 (被替代) | GB/T 18336.3-2015; GB/T 18336.3-2015 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 18336.5-2024: 网络安全技术 信息技术安全评估准则 第5部分:预定义的安全要求包
ICS 35.030
CCSL80
中华人民共和国国家标准
部分代替GB/T 18336.3-2015
网络安全技术 信息技术安全评估准则
第5部分:预定义的安全要求包
2024-04-25发布
2024-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅴ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 评估保障级 2
4.1 族名 2
4.2 评估保障级概述 2
4.3 评估保障级的目的 4
4.4 评估保障级 4
5 组合保障包 14
5.1 族名 14
5.2 组合保障包概述 14
5.3 组合保障包的目的 15
5.4 CAP族中的包 16
6 复合产品包 20
6.1 包名 20
6.2 包类型 20
6.3 包概述 20
6.4 目的 20
6.5 安全保障组件 20
7 保护轮廓保障 21
7.1 族名 21
7.2 PPA族概述 21
7.3 PPA族目的 21
7.4 PPA包 21
8 安全目标保障 23
8.1 族名 23
8.2 STA族概述 23
8.3 STA族目的 23
8.4 STA包 23
附录NA(资料性) 缩略语 25
参考文献 26
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件是GB/T 18336《网络安全技术 信息技术安全评估准则》的第5部分。GB/T 18336已经
发布以下部分:
---第1部分:简介和一般模型;
---第2部分:安全功能组件;
---第3部分:安全保障组件;
---第4部分:评估方法和活动的规范框架;
---第5部分:预定义的安全要求包。
本文件和GB/T 18336.3-2024《网络安全技术 信息技术安全评估准则 第3部分:安全保障组
件》、GB/T 18336.4-2024《网络安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规
范框架》共同代替GB/T 18336.3-2015《信息技术 安全技术 信息技术安全评估准则 第3部分:安
全保障组件》。
本文件部分代替GB/T 18336.3-2015《信息技术 安全技术 信息技术安全评估准则 第3部
分:安全保障组件》。与GB/T 18336.3-2015相比,除结构调整和编辑性改动外,主要技术变化如下:
---删除了保障范型(见GB/T 18336.3-2015年版的第5章);
---删除了安全保障组件(见GB/T 18336.3-2015年版的第6章);
---增加了复合产品包(COMP)(见第6章);
---增加了保护轮廓保障(PPA)(见第7章);
---增加了安全目标保障(STA)(见第8章);
---删除了APE类:保障轮廓评估(见GB/T 18336.3-2015年版的第9章);
---删除了ASE类:安全目标评估(见GB/T 18336.3-2015年版的第10章);
---删除了ADV类:开发(见GB/T 18336.3-2015年版的第11章);
---删除了AGD类:指导性文档(见GB/T 18336.3-2015年版的第12章);
---删除了ALC类:生命周期支持(见GB/T 18336.3-2015年版的第13章);
---删除了ATE类:测试(见GB/T 18336.3-2015年版的第14章);
---删除了AVA类:脆弱性评定(见GB/T 18336.3-2015年版的第15章)。
本文件等同采用ISO/IEC 15408-5:2022《信息安全、网络安全和隐私保护 信息技术安全评估准
则 第5部分:预定义的安全要求包》。
本文件做了下列最小限度的编辑性改动:
---为与现有标准协调,将标准名称改为《网络安全技术 信息技术安全评估准则 第5部分:预
定义的安全要求包》;
---增加资料性附录NA“缩略语”。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国信息安全测评中心、中国电子科技集团公司第十五研究所、中贸促信息技术
有限责任公司、维沃移动通信有限公司、工业信息安全(四川)创新中心有限公司、吉林信息安全测评中
心、国家广播电视总局广播电视科学研究院、北京神州绿盟科技有限公司、国民技术股份有限公司、广东
美的制冷设备有限公司、广东省农村信用社联合社、联想(北京)有限公司、中通服咨询设计研究院有限
公司、成都虚谷伟业科技有限公司、北京东方金信科技股份有限公司、北京蓝象标准咨询服务有限公司。
本文件主要起草人:张宝峰、许源、杨永生、李凤娟、石竑松、高金萍、刘晖、霍珊珊、刘健、徐曼、李宾、
刘尚麟、赵良福、赵珮含、肖丰佳、明玉琢、刘娟、戚进业、姚俊先、李汝鑫、王伟哲、乔华阳、张德保、毕海英、
邓辉、贾炜、陈锋、王书毅。
本文件于2001年首次发布为GB/T 18336.3-2001,2008年第一次修订,2015年第二次修订,本次
为第三次修订,部分代替GB/T 18336.3-2015,编号为GB/T 18336.5。
引 言
本文件提供了预定义的安全要求包。安全要求包能有助于标准使用者在评估时保持一致,也能有
助于减少开发保护轮廓(PP)和安全目标(ST)的工作量。
GB/T 18336拟由五部分构成。
---第1部分:简介和一般模型。旨在对GB/T 18336进行整体概述,定义信息技术安全评估的一
般概念和原则,并给出了评估的一般模型。
---第2部分:安全功能组件。旨在建立一套可用于描述安全功能要求的功能组件标准化模板。
这些功能组件按类和族的方式进行结构化组织,通过组件选择、细化、裁剪等方式构造出具体
的安全功能要求。
---第3部分:安全保障组件。旨在建立一套可用于描述安全保障要求的保障组件标准化模板。
这些安全保障组件按类和族的方式进行结构化组织,定义了针对PP、ST和TOE进行评估的
准则,通过组件选择、细化、裁剪等方式构造出具体的安全保障要求。
---第4部分:评估方法和活动的规范框架。旨在为规范评估方法和活动提供一个标准化框架。
这些评估方法和活动包含在PP、ST及任意支持这些方法和活动的文档中,供评估者基于
GB/T 18336的其他部分中描述的模型开展评估工作。
---第5部分:预定义的安全要求包。旨在提供利益相关者通常使用的安全保障要求和安全功能
要求的包,提供的包示例包括评估保障级(EAL)和组合保障包(CAP)。
GB/T 18336.1-2024定义了术语“包”并描述了基本概念。
注:本文件在某些情况下使用粗体字和斜体字来区分术语和其余部分的文本。族内组件之间的关系约定使用粗体
突出显示,对所有新的要求也约定使用粗体字。对于分层的组件,当要求被增强或修改,且超出了前一个组件
的要求时,以粗体显示。此外,除了前面的组件之外,任何新的或增强的允许的操作也会使用粗体突出显示。
约定使用斜体来表示具有精确含义的文本。对于安全保障要求,该约定也适用于与评估相关的特殊动词。
网络安全技术 信息技术安全评估准则
第5部分:预定义的安全要求包
1 范围
本文件给使用者提供了通用的安全保障要求包和安全功能要求包。
示例:
提供了评估保障级(EAL)和组合保障包(CAP)。
本文件描述了:
---评估保障级包(EAL),明确规定了可在PP和ST中引用的预先定义的一系列安全保障组件
集,这些组件也用于为TOE评估提供适当的安全保障;
---组合保障包(CAP),明确规定了组合TOE评估所需的一系列安全保障组件集;
---复合产品包(COMP),明确规定了复合产品TOE评估所需的一系列安全保障组件集;
---保护轮廓保障包(PPA),明确规定了保护轮廓评估所需的一系列安全保障组件集;
---安全目标保障包(STA),明确规定了安全目标评估所需的一系列安全保障组件集。
本文件的读者包括安全信息技术产品的消费者、开发者和评估者。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 18336.1-2024 网络安全技术 信......
|