GB/Z 29830.2-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第2部分：保障方法

ICS35040

L80.

中華人民共和國國家標準化指導(dǎo)性技術(shù)文件

GB/Z298302—2013/ISO/IECTR15443-22005

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第2部分保障方法

:

Informationtechnology—Securitytechnology—AframeworkforITsecurity

assurance—Part2Assurancemethods

:

[ISO/IECTR15443-2:2005,IDT]

2013-11-12發(fā)布2014-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/Z298302—2013/ISO/IECTR15443-22005

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

意圖

1.1…………………1

適用領(lǐng)域

1.2……………1

限制

1.3…………………1

規(guī)范性引用文件

2…………………………2

術(shù)語定義和縮略語

3、………………………3

方法概述和表達

4…………………………3

保障的生存周期階段與圖示符號

5………………………3

保障途徑與圖示符號

5.1………………4

實用性與符號表示

5.2…………………4

安全相關(guān)性與符號表示

5.3……………4

概覽表

5.4………………4

表達方法學(xué)

5.5…………………………6

保障方法

6…………………6

信息技術(shù)安全評估準則

6.1ISO/IEC15408………6

可信計算機系統(tǒng)評估準則

6.2TCSEC……………7

信息技術(shù)安全評估準則和方法學(xué)

6.3ITSEC/ITSEM……………8

加拿大可信產(chǎn)品評估準則

6.4CTCPEC…………9

韓國信息安全評估準則和方法學(xué)

6.5KISEC/KISEM…………10

維護階段的評定

6.6RAMP………………………11

評估評定的維護一般性的

6.7ERM()……………12

可信技術(shù)評價程序

6.8TTAP……………………13

可信產(chǎn)品評估程序

6.9TPEP……………………13

統(tǒng)一過程??

6.10Rational(RUP)…………………14

系統(tǒng)生存周期過程

6.11ISO/IEC15288……………15

軟件生存周期過程

6.12ISO/IEC12207…………16

模型

6.13V-……………17

軟件產(chǎn)品評價

6.14ISO/IEC14598…………………18

基線安全服務(wù)

6.15X/Open………………………19

嚴格符合性測試

6.16SCT…………20

系統(tǒng)安全工程能力成熟度模型?

6.17ISO/IEC21827(SSE-CMM)…………21

可信任能力成熟度模型

6.18TCMM……………22

集成化能力成熟度模型?

6.19CMMI………………23

軟件過程評估

6.20ISO/IEC15504…………………24

Ⅰ

GB/Z298302—2013/ISO/IECTR15443-22005

.:

能力成熟度模型?針對軟件

6.21CMM()…………25

?系統(tǒng)工程能力成熟度模型?

6.22SE-CMM………26

可信任軟件開發(fā)方法

6.23TSDM…………………26

提供方符合性聲明

6.24SDoC………………………27

?軟件需求能力成熟度模型?

6.25SA-CMM………28

系列質(zhì)量管理

6.26ISO9000………………………29

以人為中心的設(shè)計

6.27ISO13407(HCD)………30

開發(fā)者良源一般情況

6.28()…………31

鑒定保障

6.29ISO/IEC17025………………………31

信息和通信技術(shù)安全管理

6.30ISO/IEC13335(MICTS)………32

信息安全管理系統(tǒng)規(guī)格說明與使用指導(dǎo)

6.31BS7799-2……33

信息安全管理實踐指南

6.32ISO/IEC17799……………………34

缺陷補救一般性

6.33FR()…………35

基線保護指南

6.34IT………………35

滲透測試

6.35………………………36

人員認證與安全無關(guān)

6.36()…………37

人員認證與安全有關(guān)

6.37()………………………38

參考文獻

……………………40

圖評價過程的流程

1ISO/IEC14598…………………19

表框架中的保障方法圖示符號

1—………………………4

表框架中保障方法概覽

2-………………5

表?關(guān)鍵過程領(lǐng)域

3SA-CMM…………28

表鑒定過程

4……………32

Ⅱ

GB/Z298302—2013/ISO/IECTR15443-22005

.:

前言

信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架分為以下個部分

GB/Z29830《》3:

第部分綜述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分為的第部分

GB/Z298302。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分采用翻譯法等同采用信息技術(shù)安全技術(shù)信息技術(shù)安全保

ISO/IECTR15443-2:2005《

障框架第部分保障方法

2:》。

本部分由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本部分主要起草單位中國電子技術(shù)標準化研究院

:。

本部分的主要起草人張明天羅鋒盈王延鳴陳星楊建軍

:、、、、。

Ⅲ

GB/Z298302—2013/ISO/IECTR15443-22005

.:

引言

本指導(dǎo)性技術(shù)文件的目的是為了獲得一個給定交付件滿足其所指出的信息安全保障需求的信心

,,

給出各種保障方法并指導(dǎo)信息安全專業(yè)人員如何選擇一個合適的保障方法或組合一些方法本指

,()。

導(dǎo)性技術(shù)文件審視了不同類型組織所提出的保障方法和途徑包括已批準的標準和事實標準

,。

為了達到這一目的本指導(dǎo)性技術(shù)文件由以下個方面內(nèi)容組成

,7:

一個框架模型用于定位現(xiàn)有的保障方法并給出它們之間的關(guān)系

a),;

一組保障方法以及對它們的描述和引用

b);

特定保障方法的共性和個性的表達

c);

現(xiàn)有保障方法的定性比較其中盡可能進行定量比較

d),;

與當前保障方法關(guān)聯(lián)的保障模式的標識

e);

不同保障方法之間關(guān)系的描述以及

f);

有關(guān)保障方法的應(yīng)用組合和認知的指導(dǎo)

g)、。

本指導(dǎo)性技術(shù)文件由部分組成對保障途徑分析和相互間的關(guān)系處理如下

3,、:

第部分綜述和框架概述了一些基礎(chǔ)性概念例如保障保障框架等并給出了安全保障方法的

1:。,、,

一般性描述其目的是幫助理解本標準的第部分和第部分內(nèi)容第部分針對信息安全管理人員

。23。1

和其他人員其中包括負責(zé)開發(fā)安全保障程序確定他們的交付件的安全保障參加安全評估審計或參

,、、

加其他保障活動的人員

。

第部分保障方法描述由不同類型的組織提出和使用的各種安全保障方法和途徑不論它

2:。IT,

們是被一般公認的事實上被認可的或標準的并把這些保障方法與第部分的保障模型關(guān)聯(lián)起來重

、;1。

點是識別對保障有影響的保障方法的定性特征在可能的地方還將定義保障級別該材料面向安

,,。IT

全專業(yè)人員幫助理解如何在產(chǎn)品或服務(wù)的特定的生存周期階段中獲得保障

,。

使用定義在中的術(shù)語和定義

GB/Z29830.2—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各種保障方法的保障特征這個分析有助于保障機構(gòu)在確定每

3:。。

一種保障途徑的相對值并確定保障途徑使這些途徑提供最適合于運行環(huán)境的具體上下文的需求的保

,

障結(jié)果而且這個分析還有助于保障機構(gòu)運用保障方法的結(jié)果實現(xiàn)交付件所預(yù)想的確信度這部分

。,,。

材料面向的對象是那些必須選擇保障方法和保障途徑的安全專業(yè)人員

IT。

使用定義在中的術(shù)語和定義

GB/Z29830.3—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

本指導(dǎo)性技術(shù)文件分析了一些可能不為安全所專有的保障方法然而在指導(dǎo)性技術(shù)文件中所

IT;,

給出的指導(dǎo)將限于安全需求只對安全領(lǐng)域提供相應(yīng)的指導(dǎo)并不期望這一指導(dǎo)對一般的質(zhì)量

IT。IT,

管理評估或符合性具有指導(dǎo)意義

、IT。

Ⅳ

GB/Z298302—2013/ISO/IECTR15443-22005

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第2部分保障方法

:

1范圍

11意圖

.

的本部分收集了一些保障方法其中還包括一些對整體安全具有作用但不是專

GB/Z29830,ICT

對安全的保障方法本部分概括了這些方法的目標描述了它們的特征以及引用文件和標準等

ICT。,。

原則上安全保障的最終結(jié)果是對運行中的產(chǎn)品系統(tǒng)或服務(wù)的保障因此最終的保障是應(yīng)

,ICT、。,

用于產(chǎn)品系統(tǒng)或服務(wù)的生存階段中每一種保障方法所得到的保障增量之和大量可用的保障方法均

、。

提供了應(yīng)用于一個給定領(lǐng)域的必要指導(dǎo)以便獲得公認的保障

,。

本部分使用中的基本保障概念和術(shù)語以一種概覽的方式對本部分中所收

GB/Z29830.1—2013,,

集的每一項保障方法進行分類

。

通過使用這一分類本部分指導(dǎo)專業(yè)人員選擇保障方法以及保障方法的可能組合以適合于

,ICT,

給定的安全產(chǎn)品系統(tǒng)或服務(wù)及其特定的環(huán)境

ICT、。

12適用領(lǐng)域

.

本部分以一種概括和概覽的方式給出有關(guān)保障方法的指導(dǎo)為了從本部分所收集的方法中獲得一

。

個量少的可用方法集合應(yīng)采用排除其中不適宜的方法這一方式從中選擇之

,。

這一概括是描述性的