GB/T30273-2013
信息安全技术信息系统安全保障通用评估指南
Informationsecuritytechnology—Commonmethodologyforinformationsystemssecurityassuranceevaluation
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2014-07-15
- 文件格式PDF
- 文本页数144页
- 文件大小1.66M
以图片形式预览信息安全技术信息系统安全保障通用评估指南
信息安全技术信息系统安全保障通用评估指南
国家标准 GB/T30273一2013 信息安全技术 信息系统安全保障通用评估指南 nformationseeurityteehology-Commmelhodolwgytorinfomation systemssecurityassuranceevaluatiom 2013-12-31发布 2014-07-15实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I30273一2013 目 次 前言 引言 范围 规范性引用文件 术语和定义 符号和缩略语 概述 5.1GB/T20274系列标准和本标准结构之间的关系 5.2评估裁决 通用评估模型 6.1评估模型概述 6.2评估输人任务 6.3评估活动 评估输出任务 6.4 信息系统保护轮廓评估 7.1概述 7目的 7.3评估相关要求 7.4评估活动 信息系统安全目标评估 8 概述 18 8.1 8.2目的 8.3评估要求 8 评估活动 8.4 信息系统安全保障措施评估 36 信息系统安全技术保障措施评做 36 9.1 信息系统安全管理保障措施评做 7t 9.2 9.3信息系统安全工程保障措施评估 l0 126 信息系统保障级评估 10.1 概述 126 10.2目的 126 ## 126 10.3相互关系 126 10.4ISAL1(基本执行)评估活动 127 10.5ISAL.2(计划和跟踪级)评估活动 129 10.6ISAL3(充分定义级)评估活动
GB/T30273一2013 131 10.7ISAL4(量化控制级)评估活动 132 10.8ISAL.5(持续改进级)评估活动 134 附录A规范性附录通用评估指南 135 参考文献
GB/T30273一2013 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本标准主要起草单位;信息安全测评中心,华北计算技术研究所、信息安全测评中心华中 测评中心 本标准主要起草人:江常青、张利、姚轶崭、终鑫、班晓芳、翁正军、王鸿娴
m
GB/T30273一2013 引 言 本标准是GB/T20274系列标准《信息安全技术信息系统安全保障评估框架》的配套指南文件
本标准的目标读者是采用GB/T20274系列标准对信息系统进行安全性评估的评估者以及评估申 请者、开发者、,IsPP/ISST编制者
GB/I30273一2013 信息安全技术 信息系统安全保障通用评估指南 范围 本标准描述了评估者在使用GB/T20274系列标准所定义的准则进行评估时需要完成的评估活 动,为评估者在具体评估活动中的评估行为和活动提供指南
本标准适用于采用GB/T20274系列标准对信息系统进行安全性的评估和对1SPP/IsST的评估
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T20274.1一2006信息安全技术信息系统安全保障评估框架第1部分;简介和一般模型 GB/T20274.2一2008信息安全技术信息系统安全保障评估框架第2部分;技术保障 GB/T20274.3一2008信息安全技术信息系统安全保障评估框架第3部分管理保障 GB/T20274.42008信息安全技术信息系统安全保障评估框架第4部分;工程保障 术语和定义 下列术语和定义适用于本文件
3.1 核查check 评估者采用简单比较形成一个裁决
注使用此动词的语句描述了需要核查的内容
3.2 评估交付件evalutiondeliverable 评估者为执行一个或多个评估活动所必需的,来自申请者或开发者的任何资源
3.3 评估证据evaluationevidence 有形的评估交付件
3.4 评估报告evaluationtechniealreport 由评估者编写的以文档形式记录总体裁决及其理由的报告
3.5 检查examination 评估者采用专业技能分析形成一个裁决
注:使用此动词的语句表明哪些是需要分析的以及什么样的性质需要分析
3.6 解释interpretationm 对标准内容的一种澄清或详述
GB/T30273一2013 3.7 方法论methodology 用于安全评估的原则、程序和过程
3.8 总体裁决overallverdiet 评估者关于评估结果是通过还是不通过的决定
3.9 记录reord 足够详细地记载程序、事件,观察结果,所了解事项和结果的一个书面描述,以使得评估过程中执行 的工作能够在以后重建
3.10 报告reporting 将评估结果和支持性材料编写到评估报告或测试/核查报告中
3.11 体制scheme 由评估机构制定的执行评估行为的一套准则、规范和方法 3.12 测试testing 通过对评估对象按照预定的方法/工具使其产生特定的行为,获取证据以证明被测对象安全保障措 施是否有效的一种方法
3.13 评估对象targetofevalwationm 指信息系统,是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员等的总和
3.14 裁决verdict 评估者发布一个关于工作单元,评估行为或评估活动是通过,不通过,还是待定的决定
3.15 工作单元workumit 评估工作的最基本行为
注;与GB/T20274.2一2008,GB/T20274.3一2008和GB/T20274.42008保障组件有关
每个评估行为由一个 或多个工作单元组成,这些工作单元又按保障组件进行分组
符号和缩略语 下列缩略语适用于本文件 ISAL;信息系统保障级(InformationsystemAssuranceLevel sPP信息系统保护轮咖naom mationSystemProtectionProfile ISsT:信息系统安全目标(InformationSystemSecurityTarget) IT;信息技术(Info Technology Drmation sOF;功能强度(StrengthofFunetion) SF;安全功能(SecurityFunction SFP;安全功能策略(SecurityFunctionPoieyy TOE;评估对象(TargetofEvaluation) TsC;TsF控制范围(TsSFsco1 peofControl TSF;TOE安全功能(TOESecurityFunctions) Policy TSP:TE安全策略(TOESecurity
GB/I30273一2013 概述 GB/r20274系列标准和本标准结构之间的关系 5.1 GB/T20274系列标准和本标准的结构之间有直接的关系,图1表明GB/T20274系列标准类、子 类、,组件的结构与本标准活动,评估行为和工作单元之间的对应关系
GB/T20274 通用评估方法 类 活动 子类 评估行为 组件 工作单元 图1GB/T20274系列标准和本标准结构之间的对应关系 5.2评估裁决 评估者根据GB/T20274系列标准以及依据其产生的ISPP和IsST的要求而不是本标准的要求 给予裁决,给予裁决的最小结构是组件
作为执行相应评估行为及其组成工作单元的结果,每个适用的 GB/T20274系列标准组件都会被赋予一个裁决
在规范的评估中,本标淮认可三种裁决结果 裁决结果为“通过”,如果评估者完成了本标准评估工作单元并确定关于经受评估的1SPP,ISST或 TOE的要求都已满足 裁决结果为“待定”,如果评估者未完成本标准评估工作单元; 裁决结果为“不通过”,如果评估者完成了本标准评估工作单元并确定关于经受评估的ISPP,ISST 或TOE的要求未满足
当且仅当所有工作单元裁决都为“通过”,总体裁决才为“通过”
在图2所示的示例中,如果一个评 估工作单元的裁决为“不通过”,则相应评估行为,评估活动的裁决和最终裁决都为“不通过” 评估结果 评姑话动 评姑行为 不m些 工作单元 通过 工作单元 待定 工作单元 不通过 图2裁决规则示例
GB/T30273一2013 通用评估模型 评估模型概述 -般地,一个评估工作应包括评估输人任务、评估活动和评估输出任务3个部分内容,如图3所示
评估输人任务是评估者在接收到评估证据之后,进行的评估证据管理
评估证据可以随着评估类型的 不同而变化
同时,每项任务又关系到一些评估活动,这些评估活动是标准化的,包括ISPP评估、,ISST 评估和TOE评估三种类型
评估输出任务产生评估结果,评估结果可以是评估报告或测试/核查报 告
ISPP评估、,ISST评估和ToE评估都有输人任务和输出任务,它们与评估证据的管理和评估报告 的生成有关
评估证据 评 估 输 评估活动 人 评钻报告 图3通用评估模型 6.2评估输入任务 6.2.1目的 评估输人任务是确保评估者有正确版本的评估证据,并且证据得到了充分地保护
否则,就不能保 证评估的准确性也不能保证评估结果是可重复和可再现的
6.2.2评估证据的管理 6.2.2.1配置控制 评估者应执行评估证据的配置控制
在收到每项评估证据后,能够对其进行标识和定位,并且能够 确定评估者是否拥有文档的特定版本
当评估者持有评估证据时,评估者应保护评估证据,防止证据被 变更或丢失
6.2.2.2证据处置 在完成总体裁决后,对评估证据的处置应用以下一个或几个方法来进行 归还评估证据; a b)存档评估证据 销毁评估证据
c
GB/T30273一2013 6.2.2.3保密性 在评估过程中,评估者可能接触到申请者和开发者的一些商业性敏感信息例如TOE设计信息、 专门工具),还可能接触到一些政府敏感信息
评估者应维护评估证据的保密性
申请者和评估者可以 互相协商一些附加要求(例如保密协议),只要这些要求和该评估体制协调一致 保密性要求可能会影响评估工作的许多方面,包括对评估证据的接收、处理、存储和处置
6.3评估活动 评估活动是评估者根据评估证据判断信息系统是否满足信息系统安全保障措施要求和安全保障级 要求的一系列活动
本标准的第8章介绍了执行IsPP评估必需的评估活动;第9章介绍了了执行 IssT评估必需的评估活动;第10章介绍了对安全保障措施评估所需的评估活动;第11章介绍了评估 1sAL1至ISAL.5所需的评估活动
6.4评估输出任务 6.4.1目的 评估者应执行以下两个任务 编写测试/核查报告(根据评估工作需要); a b编写评估报告 评估活动可能还需要额外的评估报告
本标准只规定了报告所需最少的内容,并不排除在这些报 告中加人其他附加信息 6.4.2编写测试/核查报告 测试/核查报告为评估者提供证据,用来澄清或识别评估中的某些问题
测试/核查报告应包含以下信息: a)被评估的ISPP/ISST或TOE的标识: b) 在哪一个评估任务/活动期间产生了测试/核查项; c)测试/核查的方法与内容; d)问题严重程度估计; 整改建议
测试/核查报告的预期读者和处理报告的程序取决于报告内容的性质和评估体制
评估体制可根 据所要求的信息和分发的不同,区分测试/核查报告的不同类型,或者定义附加类型
6.4.3编写评估报告 6.4.3.1 目的 评估者应提供评估报告,用来描述总体裁决的依据
本标准定义了评估报告的最少内容要求,但评估体制可以提出附加的内容,特定的陈述和结构要 求
例如,可以要求评估报告中包含某些介绍性材料(例如免责声明和版权声明条款)
6.43.2ISPP/IsST评估报告 6.4.3.2.1概述 ISPP/ISST评估报告所需要的最少内容如图4所示
在构建评估报告文档的结构大纲时,该图可
GB/T30273一2013 以用作指南
ISPp/IsST评估报告 引言 评估方法 评估结果 结论和建议 评仙证据列表 缩略语/术语表 图4ISPp/ISST评估报告信息内容 评估者应报告评估体制的标识符
评估体制标识符例如标志)是明确地标识负责评估机构的 信息
评估者应报告评估报告的配置控制标识符
评估报告的配置控制标识符包含标识评估报告的信息 例如名称、日期、版本号). 评估者应报告ISPP/ISST配置控制标识符(例如名称、日期版本号),以标识出哪一个ISPP/ISST 正在被评估
评估者应报告开发者的身份,以标识出谁负责产生该ISPP/ISST
评估者应报告申请者的身份,以标识出谁负责向评估者提供评估证据
评估者应报告评估者的身份,以标识出谁执行评估并且对评估裁决负责
6.4.3.2.2评估方法 评估者应报告所使用的评估方法、技术,工具和标准
评估者可以注明在评估IsPP/IssT时所使 用的评估准则,方法和解释
评估者应报告所有对评估结果有影响的假设和限制
评估者可在报告中加人与法律法规、组织机构,保密性等相关的信息
6.4.3.2.3 评估结果 评估者应针对组成ISPP评估活动中的每个评估行为,给出所做的裁决结果和支持裁决结果的基 本原则,作为执行相应评估行为和评估活动的结果
注;基本原则应使用GB/T20274系列标准,解释说明和已确认过的评估证据来证明评估裁决是正确的,并指出评 估证据如何满足或不满足评估标准的每个方面
基本原则包括对所做工作,所使用方法以及结果推导的描述
GB/T30273一2013 6.4.3.2.4结论和建议 评估者应报告评估的结论
评估者应提供一些对申请者、开发者可能有用的建议
这些建议可以包括在评估期间发现的1SPP 的缺陷
6.4.3.2.5评估证据列表 评估者应报告每项评估证据的以下信息: a)评估证据提供者(例如开发者、申请者); b)标题 唯一索引例如发布日期、版本号.
c 6.4.3.2.6缩略语/术语表 评估者应报告评估报告中使用的所有缩略语或缩写词
已由G;B/T20274系列标准或本标准定义的术语在评估报告中不需要重复
6.4.3.3ToE评估报告 6.4.3.3.1概述 本条描述ToE评估报告所需要的最少内容
ToE评估报告的内容如图5所示;在构建评估报告 文档的结构大纲时,该图可以用作指南
评估报告 引言 ToE描述 评估方法 评估结果 结论和建议 评估证据列表 缩略语/术语表 测试/核查报告 图5ToE评估报告信息内容 评估者应报告评估体制的标识符(例如标志),以明确地标识负责评估机构的信息
评估者应报告评估报告的配置控制标识符,包含有标识评估报告的信息(例如名称、日期和版本号. 评估者应报告TOE配置控制标识符,以标识出哪些正在被评估
如果ISST声明TOE遵从一个或几个ISPP的要求,则评估报告应声明所遵从的ISPP
GB/T30273一2013 ISPP引言中应含有能唯一地标识出ISPP的信息(例如标题、日期、版本号
评估者应报告开发者的身份,以标识出谁负责产生该TOE 评估者应报告申请者的身份,以标识出谁负责向评估者提供评估证据
评估者应报告评估者的身份,以标识出谁执行评估并且对评估裁决负责
6.4.3.3.2ToE描述 评估者应报告TOE描述,包括信息系统描述、信息系统技术,管理和业务体系的详细描述
6.4.3.3.3评估方法 评估者应报告所使用的评估方法,技术,工具和标准 评估者可以注明在评估ToE时所使用的评估准则、方法和解释,注明在执行测试时所使用的 设备
评估者应报告所有对评估结果有影响的假设和限制
评估者可在报告中加人与法律法规.组织机构、保密性等相关的信息
6.4.3.3.4评估结果 对于每个TOE评估活动,评估者应报告 a)评估活动名称; b)对组成该活动的每个评估行为所做的裁决和支持性基本原理,作为执行相应评估行为及其组 成工作单元的结果
基本原理应使用GB/T20274系列标准,解释说明和已检查过的评估证据来证明评估裁决是正确 的,并指出证据如何满足准则的每个方面或者为什么没有满足准则要求
基本原理包括对所做工作,所 使用方法以及结果推导等的描述
基本原理可以详细到评估方法工作单元这种程度
评估者应报告工作单元明确需要的所有信息
6.4.3.3.5结论和建议 评估者应报告评估的结论,评估结论将涉及判定TOE是否已经满足其相关ISST
评估者应提供一些对申请者、开发者可能有用的建议
这些建议可以包括在评估期间发现的信息 系统的缺陷
6.4.3.3.6评估证据列表 评估者应报告每项评估证据的以下信息
a)评估证据提供者(例如开发者、申请者). b 标题; 唯一索引例如发布日期,版本号
6.4.3.3.7缩略语/术语表 评估者应报告评估报告中使用的所有缩略语或缩写词
已由GB/T20274系列标准或本标准定义的术语在评估报告中不需要重复
6.4.3.3.8测试/核查报告 评估者应报告在评估期间产生的并能够唯一标识测试/核查报告及其状态的完整列表
该列表应 包含测试/核查报告的标识符、标题或其内容的摘要
GB/T30273一2013 信息系统保护轮廓评估 7.1 概述 每一个ISPP评估的要求和方法都是相同的,不考虑ISPP中提出的ISAL 7.2目的 SPP的评估方法建立在GB/T20274.1一2006附录A中ISPP内容的基础上
ISPP定义了某种类型信息系统与实现无关的一组系统级安全保障要求
在ISPP的描述中,应确 定其安全保障要求
安全保障要求应能执行已定义的组织安全策略,并能对抗限定前提下确定的安全 威胁
ISPP的评估是为了确定1SPP是否是 a)完备的;安全要求应能对抗每个被确定的安全威胁,并实现所有的组织安全策略 b 合理的;针对被确定的安全威胁和组织安全策略,所述安全保障要求是合适的; 连贯的:ISPP应是连贯的 d -致的:ISPP应是内在一致的 7.3评估相关要求 完备的ISPP评估应包括以下活动: 评估输人任务 a bISPP评估活动,包含以下活动 ISPP引言的评估; 1 2)安全环境的评估; 信息系统描述的评估 3) 4) 安全保障目的的评估 5) 安全保障要求的评估 6)符合性声明的评估
评估输出任务 7.4 评估活动 7.4.1ISSP引言的评估 7.4.1.1目的 本条的目的是确定ISPP引言是否完整并与ISPP的其他部分是否保持一致,以及是否正确标识了 ISPP 7.4.1.2输入 ISPP文档
7.4.1.3评估行为 工作单元1;ISPP标识 评估者应核查ISPP引言,是否提供了必要的标识信息以识别、注册和交叉引用ISPP
评估者应确定ISPP标识信息包括:
GB/T30273一2013 a控制和唯一标识ISPP的必要信息(例如ISPP标题、版本号、出版日期、作者和申请机构); b 用于开发ISPP的GB/T20274系列标准版本信息; e)注册信息,如果1SPP在评估前已注册; d) 交叉引用,如果1SPp与其他ISPP(s)有关联; e 评估体制要求的其他信息
工作单元2:ISPP概述 评估者应核查ISPP引言,是否以叙述形式提供了ISPP概述
ISPP概述应为ISPP内容提供概要描述(更详细的描述在信息系统描述中提供).且应详细到能使 ISPP的使用者确定ISPP是否是他所需要的
工作单元3;连贯性 评估者应检查IsPP引言,以确定它是连贯的
如果IsPP引言的正文和陈述结构能为其目标读者理解,那么IsPP引言就是连贯的
工作单元4;一致性 评估者应检查ISPP引言,以确定它是内在一致的
a SPP概述应为IsPP内容提供概要描述,因此有关内在一致性分析会集中在ISPP概述上 -致性分析指南见附录A.1
评估者应检查IsPP引言,以确定IsPP引言与IsPP的其他部分是一致的 b 评估者应确定ISPP概述提供了TOE描述的精确概括
评估者特别应确定ISPP概述与信息 系统描述是一致的,且没有陈述或暗示存在评估范围之外的安全特征; 评估者还应确定GB/T20274系列标准一致性声明与ISPP的其他部分一致
-致性分析指南见附录A.1
7.4.2信息系统描述的评估 7.4.2.1目的 本条的目的是确定信息系统描述是否包含了有助于理解TOE的相关信息,确定该描述是否是完 备的和一致的
ISPP中的信息系统描述部分可以帮助了解评估对象的安全保障要求
在信息系统安全保障评估 框架中,评估对象是信息系统整体或信息系统技术、工程和管理领域
无论是信息系统整体还是信息系 统某一领域,在评估对象描述中都应先给出整个信息系统的完整描述,然后再对评估对象作进一步 描述 评估对象的描述提供了用于评估的背景
在评估对象描述中给出的信息将用于在评估过程中识别 -致的地方
由于一般不指明特定的实现,因此描述的评估对象特性可能是假设的
评估对象描述 的具体内容可参考GB/T20274.1的附录内容
7.4.2.2输入 ISPP文档
7.4.2.3评估行为 工作单元1:系统使命描述 评估者应检查信息系统描述,以确定它描述了信息系统的使命 工作单元2;信息系统概述 评估者应检查信息系统描述,以确定它对信息系统进行了整体描述: 10o
GB/T30273一2013 a评估者应确定信息系统描述是否给出了对信息系统的标识的描述 b)评估者应确定信息系统描述是否给出了对信息系统环境的描述 c 评估者应确定信息系统描述是青给出了对信息系统评估边界和接口的措述, d评估者应确定信息系统描述是否给出了信息系统安全域的捕述
工作单元3;信息系统详细描述 评估者应确定信息系统描述是否对包含在信息系统中的评估对象进行了进一步描述 a)评估者应确定信息系统描述中是否包含了对信息系统技术体系的描述,应检查信息系统描述 中是否包含对信息系统适用的技术标准、网络基础设施、技术应用等方面的描述 b 评估者应确定信息系统描述中是否包含了对信息系统管理体系的描述,应检查信息系统描述 中是否包含对组织机构、管理制度及法规、系统资产等方面的描述 评估者应检查信息系统描述中是否包含了对信息系统业务体系的描述,应检查信息系统描述 中是否包含对主要业务应用、业务流程和业务信息流等方面的描述
工作单元4;连贯性 评估者应检查ISPP,以确定信息系统描述是连贯的
如果信息系统描述的陈述结构和正文能为 ToE的目标读者即评估者和用户)理解的话,信息系统描述就是连贯的
工作单元5;一致性 评估者应检查ISPP,以确定TOE的描述是内在一致的
评估者应注意,ISPP的这一节仅用于定义TOE的目的
-致性分析指南见附录A.1 b)评估者应检查ISPP,以确定信息系统描述与ISPP的其他部分是一致的
评估者尤其应确定信息系统描述不包括那些评估范围以外的安全威胁、安全特征或TOE的 配置
-致性分析指南见附录A.1
7.4.3安全环境的评估 7.4.3.1目的 本条的目的是确定在ISPP中安全环境的陈述是否为有关TOE及其预期应用环境的安全问题提 供了清晰、一致的定义
7.4.3.2输 ISPP文档
7.4.3.3评估行为 工作单元1:假设 评估者应检查安全环境的陈述,以确定它标明并解释了所有假设
这些假设可以分成TOE预期 使用方面的假设和ToE使用环境方面的假设
评估者应确定ToE预期使用的假设阐明了TOE预期使用的各个方面,如;ToE预期应用 a 需要TOE保护的资产的潜在价值,以及使用TOE可能存在的限制
评估者应确定ISsPP中对TOE预期使用的所有假设都进行了详细解释,以保证用户确定其预 b 期使用与这些假设相匹配
评估者确定TOE使用环境的假设包括物理、人员、连接性方面 物理方面:包括为了使TOE以安全方式行使其功能,而对TOE的物理位置或附加的外 围设施而做的所有假设
1l
GB/T30273一2013 例如假设管理员控制台严格限制在管理员个人范围内;假设TOE所有文件的存储只能 在TOE运行的工作站上进行
人员方面;包括为了使TOE以安全方式行使其功能,而对在安全环境内的用户和TOE 管理员,或其他个人包括具有潜在威胁的主体)所做的所有假设 例如;假设用户具有特殊技能或专门技术;或用户具有确定的最小权限;管理员每月更新 防病毒数据库
连接性方面:包括为了使TOE以安全方式行使其功能,而对TOE与其他信息系统或产 品(硬件、软件,固件或它们的组合)之间连接的所有假设
例如假设存储TOE产生的日志文件至少需要100MB的外部磁盘空间;假设TOE是在 特定工作站上运行的唯一的非操作系统应用程序;假设TOE的教驱是禁用的;服设ToE 不会连接到任何不可信的网络
工作单元2;威胁 评估者应确定ToE使用环境的所有假设都得到详细的解释,使用户能够确定他们的预期环境与 假设环境相匹配
如果没有清楚地理解这些假设,最终可能导致TOE在不能安全行使其功能的环境中使用
a 评估者应检查安全环境的陈述,以确定所有威胁都被标识并得以解释
b如果TOE和其环境安全目的只源于组织的安全策略和假设,那么ISPP中就可以不含安全威 胁陈述,如果1sPP不包括安全威胁陈述,则该工作单元不适用,并视为满足
评估者应确定所有已标识的安全威胁都用已标识安全威胁主体,攻击和攻击的资产的术语进 了清楚的解释 行 评估者还应确定安全威胁主体可在专业技术,可用资源和动机等方面具有表征,攻击可在攻击 方法、可利用的脆弱性和时机等方面具有表征
工作单元3;组织安全策略 评估者应检查安全环境陈述,以确定它标识并解释了所有组织安全策略
如果TOE及其环境的安全目的只源于假设和威胁,那么ISPP中就可以不包含组织安全策略
如 果ISPP中不包含组织安全策略陈述,则该工作单元不适用,并视为满足
评估者应确定组织安全策略陈述是否遵循TOE及其环境的应遵守的规则,惯例或指南,这些 规则惯例或指南是由控制TOE使用环境的组织制定的
例如,组织安全策略可能要求口令 生成和加密应符合国家政府制定的标准
评估者应确定IsPP中对所有组织安全策略都进行了详细解释,以便读者能够清晰的理解以 及在允许跟踪安全目的时,应对安全策略进行清楚表述 工作单元4;连贯性 评估者应检查安全环境的陈述,以确定它是连贯的
如果安全环境描述的结构和正文能为TOE 的目标读者(即评估者和用户)理解的话,安全环境描述就是连贯的
工作单元5;一致性 评估者应检查安全环境的表述,以确定它是内在一致的
表征安全环境内在不一致性的示例 a)安全环境的表述包含这样一种威胁,其攻击方法不在威胁主体的能力范围内; 安全环境的表述包含“ToE不与因特网相连"这样的组织安全策略,其威胁主体是来自因特网 b 的人侵者的威胁
-致性分析指南见附录A.1 7.4.4安全保障目的的评估 7.4.4.1目的 本条的目的是确定安全目的描述是否完整和一致,并确定安全目的是否能对抗已标识的威胁,达到 12
GB/T30273一2013 确定的组织安全策略并遵循规定的假设
7.4.4.2输 ISPP文档
7.4.4.3评估行为 工作单元1;安全环境 评估者应检查安全保障目的陈述,确认其是否定义了TOE及其环境的安全保障目的
评估者应 确定是否明确地说明每个安全保障目的的适用对象
工作单元2;连贯性 评估者应检查安全保障目的的表述,以确定它是连贯的
如果安全保障目的的正文和陈述结构能为其目标读者(如评估者和用户)所理解,那么安全保障目 的的表述就是连贯的
工作单元3;完备性 评估者应检查安全保障目的的表述,以确定它是完备的 如果安全保障目的足以对抗所有已标识的安全威胁,并能覆盖所有已标识的组织安全策略和假设 那么安全保障目的是完备的
工作单元4一致性 评估者应检查安全保障目的的表述,以确定它是内在一致的
如果安全保障目的之间不相冲突,安全保障目的表述就是内在一致的
有这样一个冲突的例子两 个安全保障目的,一个是“用户身份信息永远不会被发布”,另一个则是“其他用户可以获得该用户的身 份信息” -致性分析指南见附录A.1
7.4.5安全保障要求的评估 7.4.5.1目的 本条的目的是确定安全保障要求(包括信息系统安全保障技术要求、信息系统安全保障管理要求、 信息系统安全保障工程要求)是否完整和一致,并为信息系统的建设提供充分的依据,以达到其安全保 障目的
7.4.5.2输入 ISPP文档
7.4.5.3评估行为 工作单元1:概要描述 评估者应核查安全保障要求的叙述,是否给出了信息系统整体的安全保障要求的概要性描述 工作单元2:安全技术保障要求 sPP中的安全技术保障要求评估主要包括 评估者应核查安全技术保障要求的叙述,是否标识了从GBy/T20274.2-一2008中的安全技术 a 保障要求组件中抽取的那些安全技术组件和安全技术能力成熟度要求
评估者应确定从GB/T20274.2一2008中的安全技术保障要求组件中抽取的所有安全技术保 障要求以及安全技术能力成熟度要求是否都已明确标识
13
GB/T30273一2013 b评估者应核查涉及的每个TOE安全技术保障要求组件的正确性
评估者应确定GB/T20274.2一2008是否包含文中涉及的安全技术保障要求组件
评估者应核查从GB/T20274.2一2008中抽取出的安全技术保障要求组件,在ISPP中是否得 以正确重现
评估者应确定在没有对允许操作进行检查的情况下,安全技术保障要求叙述是否正确地重现 了这些要求
工作单元3;安全管理保障要求 ISPP中的安全管理保障要求评估主要包括: 评估者应核查安全管理保障要求的叙述,是否标识了从GB/T20274.32008安全管理保障 a 要求组件中抽取的那些安全管理组件和安全管理能力成熟度要求
评估者应确定从GB/T20274.3一 -208安全管理保障要求组件中抽取的所有安全管理保障要 求以及安全管理能力成熟度要求是否都已明确标识
评估者应核查涉及的每个安全管理保障要求组件的正确性 评估者应确定GB/T20274.3一2008是否包含文中涉及的安全管理保障要求组件
评估者应核查从GB/T20274.3一2008中抽取出的安全管理保障要求组件,在ISPP中是否得 以正确重现
评估者应确定在没有对允许操作进行检查的情况下,安全管理保障要求叙述是否正确地重现 了这些要求
工作单元4;安全工程保障要求 ISPp中的安全工程保障要求评估主要包括 评估者应核查安全工程保障要求的叙述,是否标识了从GB/T20274.4一2008安全工程保障 a 要求组件中抽取的那些安全工程组件和安全工程能力成熟度要求
评估者应确定从GB/T20274.4一2008安全工程保障要求组件中抽取的所有安全工程保障要 求以及安全工程能力成熟度要求是否都已明确标识
评估者应核查涉及的每个安全工程保障要求组件的正确性
b 评估者应确定GB/T20274.4一2008是否包含文中涉及的安全工程保障要求组件
评估者应核查从GB/T20274.4一2008中抽取出的安全工程保障要求组件,在ISPP中是否得 以正确重现
评估者应确定在没有对允许操作进行检查的情况下,安全工程保障要求叙述是否正确地重现 了这些要求
工作单元5组件操作 ISPP中的组件操作主要包括 a)评估者应核查信息系统安全保障要求的所有操作都被标识
GB/T20274.2一2008技术组件允许的操作是赋值,反复、选择和细化
赋值和选择操作只允 许用于组件中特别指定的地方
反复和细化能用于所有技术组件
GBy/T20274.3一2008管理组件和GB/T2027.4 -2008工程组件允许的操作是反复和细化 评估者应确定所有操作都在使用该操作的组件中被标出
完成的操作和未完成的操作应通过 排版、周围的文本或其他方式加以明显区分 评估者应检查信息系统安全保障要求的表述,确定是否正确实施了操作
评估者应比较每条陈述和导出陈述的元素,以确定: 1 对于赋值操作,所选的参数或变量值符合赋值要求的指定类型; 2)对于选择操作,选择项是在元素选择部分中指定的一项或多项;评估者也应确定所选项是 否符合要求; 14
GB/T30273一2013 3)对于细化操作,组件以这样的方式细化;满足细化要求的TOE也满足非细化要求
如果 细化的要求超过该界限,就被认为是扩展要求; 对于反复操作,组件内的每个反复操作各不相同至少一个组件的某个元素不同于另一个 组件的对应元素),或这个组件应用于ToE的不同部分 dD 评估者应检查是否标识了1sPp中信息系统安全保障要求的所有未完成操作 评估者应确定所有操作都在使用该操作的组件中被标出
完成的操作和未完成的操作应通过 排版、周围的文本或其他方式加以明显区分
工作单元6;依赖性 ISPP中的组件依赖性主要包括 评估者应检查安全保障要求的陈述,以确定安全保障要求使用的组件间的要求的依赖性被 a 满足
依赖性可以通过安全保障要求陈述中的相关组件的内涵(或分出的层次)来满足,或作为- 要求,由TOE的运行环境来满足
尽管GB/T20274通过依赖性内涵为相关分析提供支持,但不应用来证明没有其他依赖性
如涉及“所有客体”或“所有主体”的元索与列出这些客体或主体的另一个元素或元素集的细化 间存在依赖性
运行环境中必要的安全要求的依赖性应在1SPP中陈述并得到满足 b评估者应检查安全保障要求的陈述,以确定对于没有满足安全要求依赖性的每一种情况都作 了适当的证明
例如;给定了已知安全保障目的,评估者应确认这个理由解释了不必包括依赖 性原因
评估者应确认不满足依赖性并没有妨碍安全保障要求充分体现安全保障目的
例如:当一个 TOE有这样一个安全保障目的 “鉴别失败时,应将用户的身份,时间和日期记录下来”且 采用FAU_GEN.1(审计数据产生)作为满足这个安全保障目的的功能要求
FAU_GEN.1包 含了与FPTSTM.1(可靠时间戳)的依赖性
由于TOE不包含时钟机制,FPTSTM.1则被 ISPP作者定义为运行环境要求
ISPP作者用这样一个理由说明这个要求没有得到满足:“在 特定环境下,可能会攻击时间戳机制,因此环境就不能传送可靠的时间戳
然而,一些安全威 胁主体没有执行依赖时间戳机制的能力,而且由这样的安全威胁主体实施的攻击可能会通过 记录攻击的时间和日期来分析”
工作单元7;连贯性 评估者应检查安全保障要求陈述,以确定其连贯性
如果安全保障要求描述的陈述结构和正文能 为TOE的目标读者(即评估者和用户)所理解的话,安全保障要求陈述就是连贯的
工作单元8完备性 评估者应检查安全保障要求陈述,以确定它们是完备的 如果评估者判定安全保障要求足以保证所有安全保障目的的满足,则安全保障要求陈述就是完 备的
工作单元9:一致性 评估者应检查安全保障要求陈述,以确定它们是内在一致的
如果评估者确定安全要求都互不冲突那么安全要求陈述就是内在一致的
-致性分析指南见A.1
7.4.6符合性声明的评估 7.4.6.1目的 ISPP的符合性声明包括安全保障目的符合性声明和安全保障要求的符合性声明
本条的目的是 15
GB/T30273一2013 评估ISPP的符合性声明是否给出了评估ISPP的依据
7.4.6.2输 1sPP文档 7.4.6.3评估行为 7.4.6.3.1安全保障目的的符合性声明 工作单元1;完备性 评估者应检查安全保障目的符合性声明,以确定是否TOE的所有安全保障目的都能追溯到TOE 能够对抗的已标识威胁,或TOE遵循的组织安全策略
评估者应确定TOE的每个安全保障目的能追溯到至少一个威胁或组织安全策略
不能追溯就意味着安全保障目的符合性声明是不完备的威胁或组织安全策略的表述是不完备的 或TOE的安全保障目的没有实际意义 评估者应检查安全保障目的符合性声明,以确定环境安全保障目的是否能追溯到TOE环境能够 对抗的已标识的威胁,或TOE环境遵循的组织安全策略,TOE环境应满足的假设
评估者应确定环境的每个安全保障目的能追溯到至少一个假设、威胁或组织安全策略 不能追溯就意味着安全保障目的符合性声明是不完备的,威胁,假设或组织安全策略的表述是不完 备的,或环境的安全目的没有实际意义
工作单元2;假设 评估者应检查安全保障目的符合性声明,以确定环境安全保障目的都有适于覆盖对应假设的适当 理由
如果没有环境安全目的追溯到对应假设,本工作单元为失败
假设可以是有关TOE预期使用的假设,也可以是有关TOE预期使用环境的假设
评估者应确定有关TOE应用环境的假设理由能够证明,如果实现了追溯到假设的所有环境安全 保障目的,那么环境就与假设一致
注,安全保障目的符合性声明中提供的从环境安全保障目的到假设的映射,可能是证明的一部分,但是其本身不构 成证明
甚至在环境安全保障目的仅是对假设的重述情形下,也需要说明对应的理由
工作单元3;威胁 评估者应检查安全保障目的符合性声明,以确定TOE安全保障目的都有适于对抗其对应安全威 胁的适当理由
如果没有ToE安全保障目的能追溯到对应的威胁,则本工作单元为失败 评估者应确定有关安全威胁的论证能够阐明,如果所有能追溯到安全威胁的ToE安全保障目的 都达到,那么就消除了这个威胁,或是这种威胁降低到可以接受的水平,或是这种威胁得到适当地碱轻 消除安全威胁的例子如下 a)消除使用来自安全威胁主体的攻击方法的能力; b) 通过威慑方法消除安全威胁主体的动机 e)消除安全威胁主体(如移走经常导致网络崩溃的机器)
降低安全威胁的例子如下 在攻击方法上限制安全威胁主体; ? b限制安全威胁主体的攻击机会; 减少成功发起攻击的可能性; d要求安全威胁主体有更高的专业知识或更多的资源
减轻安全威胁后果的例子如下 16
GB/T30273一2013 a资产的经常备份; b拥有TOE备份 经常改变通讯会话使用的密钥,这样可以相对减小密钥被攻破的机会
c 注;安全保障目的符合性声明中提供的从TOE安全保障目的到安全威胁的映射,可能是理由的一部分,但是其本 身不构成证明
即使在ToE安全保障目的仅仅反映防止特定安全威胁被发现的情形下,还是需要说明对应的 理由,但是在这种情况下这个理由是最基本的
工作单元4组织安全策略 评估者应检查安全保障目的符合性声明,以确定安全保障目的都有适于满足对应的组织安全策略 的适当理由
如果没有TOE安全保障目的能追溯到相应的组织安全策略,本工作单元为失败
评估者应确定采用组织安全策略的理由能够证明,如果实现了追溯到组织安全策略的所有TOE 安全保障目的,那么就实现了组织安全策略
注:安全保障目的符合性声明中提供的从安全保障目的到组织安全策略的映射,可能是证明的一部分,但是其本身 不构成证明
即使在安全保障目的仅反映实现特定的组织安全策略的情形下,也还需要说明对应的理由
7.4.6.3.2安全保障要求的符合性声明 工作单元1;完备性 评估者应检查安全要求符合性声明,以确定安全保障要求(信息系统和环境)适于满足安全保障目 的,并能够追溯到安全保障目的
评估者应确定每个安全保障要求至少能映射到一个安全保障目的
如果不能映射,则表明安全要求符合性声明是不完备的,安全保障目的是不完备的,或安全保障要 求没有实际意义
工作单元2;合理性 评估者应检查安全要求符合性声明,是否充分证明了安全保障要求是恰当的
评估者应确定安全要求符合性声明充分证明了安全环境和安全保障目的陈述充分地导出了管理要 求和工程要求
可能包含的理由如 a)在ISST声称符合的ISPP中出现的管理要求和工程要求; b)评估体制,政府或其他组织实施的特定要求; 与安全技术保障要求相关的管理要求和工程要求 c) 与TOE一起使用的系统/产品的管理要求 d 用户的要求
e) 工作单元3;相互支持 评估者应检查安全要求符合性声明,以确定它表明该组安全保障要求形成一个互相支持的整体 本工作单元要求评估者考虑这种可能性:因缺乏其他安全保障要求的支持,安全保障目的实际上不 能实现 由于存在这样的情况;安全保障要求A依赖安全保障要求B,而B通过定义支持A,所以本工作单 元建立在前面工作单元依赖性分析的基础上 评估者应确定安全要求符合性声明能够表明安全保障要求在必要的时候互相支持,即使没有迹象 表明这些要求之间存在依赖性
例如: 防止其他安全功能要求的旁路,如FDPRVM.l; b防止其他安全功能要求的篡改,如FPT_SEP; 防止其他安全功能要求的失效,如FPT_MOF.1; c 17
GB/T30273一2013 d)激活挫败其他安全功能要求的攻击的探测,如FAU类的组件
在分析时评估者应考虑已执行的操作是否影响要求间的相互支持
工作单元4;一致性 评估者应检查安全要求符合性声明,以确定它表明该组安全保障要求是一致的
评估者应确定在不同安全保障要求应用到同一类型的事件,操作、数据和实施的测试等情况下,这 些要求可能会互相冲突,此时应提供适当的证明来说明事实并非如此
如果ISsT包含用户匿名方面的要求,则需要阐明这些要求不冲突
单个用户审计的可审计事件 与用户匿名的操作无关
-致性分析指南见A.1
信息系统安全目标评估 8.1概述 由于1SST为TOE评估活动提供依据和评估背景,所以1SST评估应在所有TOE评估活动之前进 行
鉴于TOE评估过程中有关发现可能会引起1SST的变化,因此可能会到TOE评估完成后,才形成 ISST评估的最终裁定 本章所述的评估方法是建立在GB/T20274.1一2006中特别在附录BISST规范中进行详细说明 的ISST要求基础上
8.2目的 ISPP定义了对于特定类型信息系统的安全保障要求和规范
因此,需要在IssT的描述中,确定 其安全保障要求,包括信息系统安全保障的技术要求、管理要求、工程要求和它们的综合要求以及该信 息系统所要达到的安全目标;在给定的前提下,该安全保障要求应能够实现已定义的组织安全策略,并 能对抗已定义的威胁
此外,还要定义信息系统为正确对抗威胁和实现组织安全策略提供保证而采取 的安全保障措施
ISST的评估是为了确定ISST是否是: a)完备的:所述安全功能能对抗每个威胁,并实现所有的组织安全策略; b)合理的针对威胁和组织安全策略而言,所述安全功能是适当的,且保证措施为安全功能正确 实现提供充分的保证; -致的;IsST应是内在一致的; d)连贯的;ISsT应是连贯的; 一个或多个IsPP符合,那么该IssT肯定是所有相关1sPP的完 精确实现:如果SST声称与一 全、精确的实现
这样,在评估1ssT时可以重复使用这些1sPP的评估结果
8.3评估要求 完备的ISsT评估应包括以下活动 a)评估输人任务; b)ISST评估活动,包含以下活动 1ISST引言的评估; 信息系统描述的评估; 2 3)安全环境的评估; 4 安全保障目的的评估 5)安全保障要求的评估; 18
GB/T30273一2013 TOE概要规范的评估; 6) 7 SPP声明的评估; 8)符合性声明的评估
评估输出任务 在进行ISST评估应注意 尽管通常所述的活动有可能同时进行,但是评估者应考虑活动之间的依赖性
a b 不是所有的ISST评估都要进行1SPP声明的评估,只有做了ISPP声明才需要进行1SPP声明 的评估 如果ISsT声称与已评估的1SPP保持一致,且很大程度依赖1ISPP的内容,那么在实施上述评 估活动时,可以使用IsPP的评估结果
特别在评估安全环境的描述,安全保障目的和信息系 -致 统安全保障要求时可以重复使用ISPP评估结果
在IssT中允许包含与多个IsPP保持- 的声明
8.4 评估活动 8.4.1IsSsT引言的评估 8.4.1.1 目的 本条的目的是确定1sST引言是否完整并与IssT的其他部分保持一致,以及是否正确标识了IssT 8.4.1.2输入 ISsT文档
8.4.1.3评估行为 工作单元1:ISST标识 评估者应核查IssT引言,以确定其是否提供了必要的IsST标识信息以控制和识别IsST和与IS ST相关的TOE
评估者应确定ISST标识信息包括 a)控制和唯一标识IST的必要信息(例如ISST标题、版本号、出版日期和作者); b 控制和唯一标识与ISsT相关的ToE的必要信息(例如TOE的标识、TOE版本号) 用于开发IsST的GB/T20274系列标准版本信息 c 评估体制要求的其他信息
d) 工作单元2;ISST概述 评估者应核查ISST引言,以叙述形式提供1SST概述
1SST概述应为ISST内容提供概要描述(更详细的描述在信息系统描述中提供),且详细到能使潜 在的用户确定TOE(和ISST的其余部分)是否是他所需要的
工作单元3符合性声明 评估者应核查ISST引言,确认其是否包含TOE与GB/T20274系列标准符合性的声明
a)评估者应确定符合性声明与GB/T20274.l一2006的6.4中定义的一样
b)评估者确定符合性声明包含与GB/T20274.2一2008符合或与GB/T20274.2一2008扩展内 容 -致的声明 评估者确定符合性声明包含与GB/T20274.3一2008符合或GB/20274.3一2008增加,扩展 内容相一致的声明
评估者确定符合性声明包含与GB/T20274.4一2008符合或GB/20274.4一2008增加、扩展 1s
GB/T30273一2013 内容相一致的声明
如果声明与ISPP一致,评估者就应确定此声明与哪个或哪些ISPP保持一致
工作单元4;连贯性 评估者应检查ISST引言,以确定它是连贯的
如果ISST引言的正文和结构能为其目标读者理解,那么ISST引言就是连贯的
工作单元5;一致性 评估者应检查ISST引言,以确定它是内在一致的
ISs概述为IssT内容提供概要描述,因此有关内在一致性分析会自然集中在IssT概述上
-致性分析指南见A.1 评估者应检查IsT引言,以确定ISST引言与IssT其他部分的一致性
b 评估者应确定IssT概述提供ToE的精确概括
评估者特别应确定1ssT概述与信息系统描 述的一致性,且没有陈述或暗示存在评估范围之外的安全特征
评估者还应确定GB/T20274一致性声明与ISs的其他部分一致 -致性分析指南见A.1
8.4.2信息系统描述的评估 8.4.2.1 目的 本条的目的是确定信息系统描述是否包含了有助于理解ToE的目的和功能的相关信息,以及确 定该描述是否完整和一致 8.4.2.2 1SST文档 8.4.2.3评估行为 工作单元1:使命描述 评估者应检查信息系统描述,以确定它是否描述了TOE的使命
评估者应确定信息系统描述是否描述了建设信息系统的目的和意义,是否能够帮助读者全面理解 信息系统的高层要求
工作单元2;信息系统概述 评估者应检查信息系统描述,以确定它是否对所要评估的信息系统进行概括性说明和描述
描述 内容是否包括以下几个方面 a)信息系统标识;应给出系统的正式名称和标识
系统标识包括其名称、所属的组织机构及其地 点和包含最终用户的组织机构及其地点等相关信息; b信息系统环境描述;描述的运行环境以及系统开发、集成和维护的环境 信息系统评估边界和接口描述;描述所要评估系统的边界和相应的外部接口,此描述应用图表 或文字清晰地描述和界定所要评估的系统部件和边界; 信息系统安全域描述;根据系统的重要性(描述系统的重要性以及系统的可接受的风险级别 D 数据的分类和密级(措述系统所处理的数据类型和机密级别)和系统用户(描述使用系统的用 户描述)等方面划分系统的安全域 评估者应确定信息系统描述对相关部分进行了详细讨论,且详细到使读者对其能够全面理解的秘 度
如果TOE与信息系统不完全相同,评估者应确定信息系统描述充分描述了TOE与信息系统之间 的物理关系
20
GB/T30273一2013 工作单元3;信息系统详细描述 评估者应检查信息系统描述,以确定它是否对信息系统进行了详细描述
评估者应确定信息系统描述是否包含了对管理体系的描述;描述是否包含下述内容 组织机构描述;描述同信息系统相关的管理/使用/开发/集成/支持组织机构的描述,特别 是相关安全管理保障的组织机构的描述 管理制度、法规描述:列出同信息系统安全管理相关的目前使用的相应规章制度和相关 法规; 资产描述;描述了信息系统的物理资产(指信息系统中的各种硬件、软件和物理设施)和信 息资产:(指在信息系统计划组织,开发采购,实施交付,运行维护和废弃这一信息系统系统 生命周期过程中产生的同信息系统系统本身相关的有价值的信息以及信息系统所存储、 处理和传输的各种相关的办公、管理和业务等信息
b评估者应确定信息系统描述是否包含了对技术体系的描述,描述是否包含下述内容 基础设施描述:描述了系统的网络层次等网络体系结构说明; 1 应用描述;描述用户信息系统的各种应用说明; 2 3)技术标准描述;列出相关技术应用等所适用的技术标准
评估者应确定信息系统描述是否包含了对业务体系的描述,描述是否包含下述内容 业务应用描述;列出组织机构的主要业务应用并进行描述; 1 流程描述;基于组织机构的管理结构等,描述业务的流程 2 3信息流描述;描述主要业务应用的接口和相应数据流,数据流描述应包括数据的类型以及 数据传送的 -般方式 工作单元4;连贯性 评估者应检查ISST,以确定信息系统描述是连贯的
如果信息系统描述的陈述结构和正文能被TOE的目标读者即评估者和用户)理解的话,信息系 统描述就是连贯的
工作单元5一致性 评估者应检查ISST,以确定TOE的描述是内在一致的
a -致性分析指南见A.1
b评估者应检查ISST,以确定信息系统描述与ISST的其他部分是一致的
评估者尤其应确定信息系统描述不包括1SST范围以外的威胁,安全特征或TOE的配置
-致性分析指南见A.1
8.4.3安全环境的评估 8.4.3.1目的 本条的目的是确定ISST中对安全环境的陈述,是否对有关TOE与其预期应用环境的安全问题提 供了清晰、一致的定义
8.4.3.2输入 IST文档
8.4.3.3评估行为 工作单元1;假设 评估者应检查安全环境的陈述,以确定它标明并解释了所有假设 21
GB/T30273一2013 这些假设可以分成TOE预期使用方面的假设和TOE使用环境方面的假设
评估者应确定ToOE预期使用的假设,明TOE预期使用的以下方面,如;TOE预期应用、需要 TOE保护的资产的潜在价值、使用TOE可能存在的限制
评估者应确定1SST中对TOE预期使用的 所有假设都进行了详细解释,以保证用户能确定其预期使用与这些假设相符合
如果没有清楚理解这些假设,最终可能导致用户在非希望的环境中使用TOE
评估者应确定TOE使用环境的假设包括物理、人员和连接性方面 物理方面包括为了使TOE以安全方式行使其功能,而对TOE的物理位置或附加的外围设施 而做的所有假设
例如假设管理员控制台严格限制在管理员个人范围内;假设TOE所有文 件的存储只能在TOE运行的工作站上进行 人员方面包括为了使TOE以安全方式行使其功能,而对在安全环境内的用户和TOE管理 员,或其他个人包括具有潜在威胁的主体)所做的所有假设
例如假设用户具有特殊技能或 专门技术,或用户具有确定的最小权限,管理员每月更新防病毒数据库 连接性方面包括为了使TOE以安全方式行使其功能,而对TOE与其他在TOE之外的信息 系统或产品(硬件,软件,因件或它们的组合) )之间连接的所有假设
例如假设存储TOE产生 的日志文件至少需要100MB的外部磁盘空间,ToE假设是在特定工作站上运行的唯一的非 操作系统应用程序,假设TOE的软驱是禁用的,假设ToE不会连接到任何不可信的网络
评估者应确定ToE使用环境的所有假设都得到详细的解释,使用户能够确定他们的预期环境与 假设环境相符合
如果没有清楚理解这些假设,最终可能导致ToE在不能安全行使其功能的环境中 使用
工作单元2;威胁 评估者应检查安全环境的陈述,以确定所有威胁都被标识并得以解释
如果ToE和其环境安全保障目的只源于组织的安全策略和假设,那么IssT中就可以不含威胁陈 述,如果1IssT不包括威胁陈述,则该工作单元不适用,并视为满足
评估者应确定所有已标识的威胁都用已标识威胁主体、攻击和攻击的资产的术语进行了清楚解释
评估者还应确定威胁主体可在专业技术,可用资源和动机等方面表明特征,攻击可在攻击方法、,可 利用的脆弱性和时机等方面表明特征
工作单元3;组织安全策略 评估者应检查安全环境陈述,以确定它标识并解释了所有组织安全策略
如果TOE及其环境的安全保障目的只源于假设和威胁,那么ISsT中就可以不包含组织安全策略 陈述
如果1SST中不包含组织安全策略陈述,则该工作单元不适用,并视为满足
评估者应确定组织安全策略陈述遵循了TOE及其环境应遵守的规则、惯例或指南,这些规则、惯 例或指南是由控制TOE使用环境的组织制定的
例如,组织安全策略可能要求口令生成和加密应符 合相应的国家标准
评估者应确定IsST中对每个组织安全策略都进行了详细解释,以便读者能够清晰理解;为使安全 保障目的能够追溯到组织安全策略,应对组织安全策略进行清楚地表述
工作单元4:连贯性 评估者应检查安全环境的陈述,以确定它是连贯的
如果安全环境描述的结构和正文能为TOE的目标读者(即评估者和用户)理解的话,安全环境描 述就是连贯的
工作单元5一致性 评估者应检查安全环境的陈述,以确定它是内在一致的
表征安全环境内在不一致性的示例 安全环境的表述包含这样一种威胁,其攻击方法不在威胁主体的能力范围内; a 22
GB/T30273一2013 b安全环境的表述包含“TOE不与因特网相连”这样的组织安全策略,和其威胁主体是来自因特 网的人侵者
-致性分析指南见A.1
8.4.4安全保障目的的评估 8.4.4.1目的 本条的目的是确定安全目的描述是否完整和一致,并确定安全目的是否能对抗已标识的威胁,实现 已标识的组织安全策略并遵循规定的假设
8.4.4.2输入 ISsT文档
8.4.4.3评估行为 工作单元1;安全环境 a 评估者应核查安全保障目的陈述,确认其是否定义了TOE及其环境的安全保障目的
b评估者应确定是否明确地说明每个安全保障目的是适用于ToE,还是环境,或者两者都适用
工作单元2;完备性 评估者应检查安全保障目的陈述,以确定它是完备的
如果安全保障目的足以对抗所有已标识的威胁,并能覆盖所有已标识的组织安全策略和假设,那么 安全保障目的是完备的
工作单元3;连贯性 评估者应检查安全保障目的陈述,以确定它是连贯的
如果安全保障目的的正文和陈述结构能为其目标读者所理解,那么安全保障目的的表述就是连 贯的
工作单元4;一致性 评估者应检查安全保障目的表述,以确定它是内在一致的 如果安全保障目的之间不互相冲突,安全保障目的就是内在一致的
有这样一个冲突的例子;两个 安全保障目的,一个是“用户身份信息永远不会被发布”,另一个则是“其他用户可以获得该用户的身份 信息” -致性分析指南见A.l 8.4.5安全保障要求的评估 8.4.5.1目的 本条的目的是确定安全保障要求(包括信息系统安全保障要求、信息系统安全保障技术要求、信息 系统安全保障管理要求、信息系统安全保障工程要求、)是否完整和一致,同时作为TOE开发的基础、 这些要求是充分的
8.4.5.2输入 IST文档
8.4.5.3评估行为 工作单元1;概要描述 评估者应检查安全保障要求的叙述,是否给出信息系统整体安全保障要求的概要性描述
23
GB/T30273一2013 工作单元2;安全技术保障要求 评估者应核查安全技术保障要求的叙述,是否标识了从GB/T20274.2一2008安全技术保障 a 要求组件中抽取的那些安全技术组件和安全技术能力成熟度要求
评估者应确定从GB/T20274.2一2008安全技术保障要求组件中抽取的所有安全技术保障要 求以及安全技术能力成熟度要求是否都已明确标识 评估者应核查涉及的每个安全技术保障要求组件和安全技术能力成熟度要求的正确性
评估者应确定GB/T20274.2一2008是否包含文中涉及的安全技术保障要求组件
评估者应确定ISPP是否包含文中涉及的安全技术保障要求组件
评估者应核查从GB/T20274.2一2008中抽取出的安全技术保障要求组件和安全技术能力成 熟度要求,在ISST中得以正确重现
评估者应确定在没有对允许操作进行检查的情况下,安全技术保障要求叙述是否正确地重现 了这些要求
工作单元3:安全管理保障要求 评估者应核查安全管理保障要求的陈述,是否标识了从GBy/T20274.3一2008安全管理保障 a 要求组件中抽取出的那些安全管理组件和安全管理能力成熟度要求
评估者应确定从GB/T20274.3-2008安全技术保障要求组件中抽取的所有管理安全管理要 求以及安全技术能力成熟度要求是否都已被标识
评估者应核查涉及的每个安全管理保障要求组件的正确性
评估者应确定GB/T20274.3一2008是否包含文中涉及的安全管理保障要求组件
评估者应核查从GB/T20274.3一2008中抽取出的安全管理保障要求组件和安全管理能力成 熟度要求,在ISsT中得以正确重现
评估者应确定在没有对允许操作进行检查的情况下,安全管理保障要求叙述是否正确地重现 了这些要求
工作单元4;安全工程保障要求 评估者应核查安全工程保障要求的陈述,是否标识了从GB/T20274.42008安全工程保障 a 要求组件中抽取出的那些安全工程组件和安全工程能力成熟度要求
评估者应确定从GB/T20274.4一2008安全工程保障要求组件中抽取的所有工程安全管理要 求以及安全工程能力成熟度要求是否都已被标识
评估者应核查涉及的每个安全工程保障要求组件和安全工程能力成熟度要求的正确性
b 评估者应确定GB/T20274.4一2008是否包含文中涉及的安全工程保障要求组件
评估者应确定ISPP是否包含文中涉及的TOE安全工程保障要求组件
评估者应核查从GB/T20274.4一2008中抽取出的安全工醒保障要求组件和安全工程能力成 熟度要求,在ISST中得以正确重现 评估者应确定在没有对允许操作进行检查的情况下,安全工程保障要求叙述正确地重现了这 些要求
工作单元5组件操作 评估者应核查安全保障要求的所有操作都被标识
a GB/T20274.2一2008技术组件允许的操作是赋值、反复、选择和细化
赋值和选择操作只允 许用于组件中特别指定的地方
反复和细化能用于所有安全技术保障组件
GB/T20274.3一2008安全管理保障组件和GB/T20274.4一2008安全工程保障组件允许的操 作是反复和细化
评估者应确定所有操作都在使用该操作的组件中被标出
可以通过排版、周围的文本或其他 方式来标识
2
信息安全技术信息系统安全保障通用评估指南GB/T30273-2013的重要性
随着信息技术的飞速发展,信息系统已经成为企业和政府机构日常工作中不可或缺的一部分。然而,随之而来的信息泄露、数据丢失等问题也越来越多。因此,在信息系统中引入安全保障措施显得尤为重要。信息安全技术信息系统安全保障通用评估指南GB/T30273-2013就是针对信息系统安全进行规范的标准化要求。
GB/T30273-2013标准主要包括了信息系统安全保障通用评估的基本概念、评估流程、评估方法和评估结果等方面。其中,评估流程和评估方法是这个标准中最为重要的两个部分。
根据GB/T30273-2013标准,信息系统安全保障通用评估应该按照以下步骤进行:
- 确定评估需求和评估目标
- 选择评估方法和评估工具
- 定义评估范围和评估对象
- 收集信息并执行安全保障措施评估
- 评价评估结果并生成评估报告
通过以上步骤,可以对信息系统中引入的安全保障措施进行全面的评估,并提出改进意见。这有助于企业和政府机构完善信息系统安全保障体系,并在日常工作中保证企业和个人信息的安全。
总之,信息安全技术信息系统安全保障通用评估指南GB/T30273-2013的实施,对于推动我国信息技术安全发展、提高企业和政府机构的信息安全水平以及保障国家安全都具有重要的作用。
信息安全技术信息系统安全保障通用评估指南的相关资料
- 了解信息安全技术公钥基础设施证书策略与认证业务声明框架GB/T26855-2011
- 信息安全技术引入可信第三方的实体鉴别及接入架构规范GB/T28455-2012
- 信息系统安全管理评估要求GB/T28453-2012
- 信息安全技术应用软件系统通用安全技术要求GB/T28452-2012
- GB/T28447-2012信息安全技术电子认证服务机构运营管理规范解析
- 信息系统安全管理评估要求GB/T28453-2012
- 信息安全技术信息系统安全保障通用评估指南GB/T30273-2013的重要性
- GB/T20945-2013信息系统安全审计产品技术要求和测试评价方法
- 信息安全技术信息系统安全管理平台技术要求和测试评价方法GB/T34990-2017
- 电力信息系统安全检查规范GB/T36047-2018分析
- 信息安全技术信息系统安全保障通用评估指南GB/T30273-2013的重要性
- 体育用品安全风险评估指南
- 消防安全工程第9部分:人员疏散评估指南GB/T31593.9-2015
- 工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016
- 产品几何技术规范(GPS)坐标测量机的检测不确定度评估指南GB/T34881-2017
- 信息技术软件资产管理:GB/T26236.1-2010
- 信息技术系统间远程通信和信息交换无线高速率超宽带媒体访问控制和物理层接口规范GB/T26230-2010
- 海远程无线电导航台和监测站电磁环境要求GB13613-2011
- 燃料电池电动汽车车载氢系统技术条件GB/T26990-2011
- 饲料机械产品型号编制方法GB/T26968-2011
