GB/Z 29830.2-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第2部分：保障方法

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z298302—2013/ISO/IECTR15443-22005

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第2部分保障方法

:

Informationtechnology—Securitytechnology—AframeworkforITsecurity

assurance—Part2Assurancemethods

:

[ISO/IECTR15443-2:2005,IDT]

2013-11-12發(fā)布2014-02-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/Z298302—2013/ISO/IECTR15443-22005

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

意圖

1.1…………………1

適用領(lǐng)域

1.2……………1

限制

1.3…………………1

規(guī)范性引用文件

2…………………………2

術(shù)語定義和縮略語

3、………………………3

方法概述和表達(dá)

4…………………………3

保障的生存周期階段與圖示符號

5………………………3

保障途徑與圖示符號

5.1………………4

實(shí)用性與符號表示

5.2…………………4

安全相關(guān)性與符號表示

5.3……………4

概覽表

5.4………………4

表達(dá)方法學(xué)

5.5…………………………6

保障方法

6…………………6

信息技術(shù)安全評估準(zhǔn)則

6.1ISO/IEC15408………6

可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則

6.2TCSEC……………7

信息技術(shù)安全評估準(zhǔn)則和方法學(xué)

6.3ITSEC/ITSEM……………8

加拿大可信產(chǎn)品評估準(zhǔn)則

6.4CTCPEC…………9

韓國信息安全評估準(zhǔn)則和方法學(xué)

6.5KISEC/KISEM…………10

維護(hù)階段的評定

6.6RAMP………………………11

評估評定的維護(hù)一般性的

6.7ERM()……………12

可信技術(shù)評價(jià)程序

6.8TTAP……………………13

可信產(chǎn)品評估程序

6.9TPEP……………………13

統(tǒng)一過程??

6.10Rational(RUP)…………………14

系統(tǒng)生存周期過程

6.11ISO/IEC15288……………15

軟件生存周期過程

6.12ISO/IEC12207…………16

模型

6.13V-……………17

軟件產(chǎn)品評價(jià)

6.14ISO/IEC14598…………………18

基線安全服務(wù)

6.15X/Open………………………19

嚴(yán)格符合性測試

6.16SCT…………20

系統(tǒng)安全工程能力成熟度模型?

6.17ISO/IEC21827(SSE-CMM)…………21

可信任能力成熟度模型

6.18TCMM……………22

集成化能力成熟度模型?

6.19CMMI………………23

軟件過程評估

6.20ISO/IEC15504…………………24

Ⅰ

GB/Z298302—2013/ISO/IECTR15443-22005

.:

能力成熟度模型?針對軟件

6.21CMM()…………25

?系統(tǒng)工程能力成熟度模型?

6.22SE-CMM………26

可信任軟件開發(fā)方法

6.23TSDM…………………26

提供方符合性聲明

6.24SDoC………………………27

?軟件需求能力成熟度模型?

6.25SA-CMM………28

系列質(zhì)量管理

6.26ISO9000………………………29

以人為中心的設(shè)計(jì)

6.27ISO13407(HCD)………30

開發(fā)者良源一般情況

6.28()…………31

鑒定保障

6.29ISO/IEC17025………………………31

信息和通信技術(shù)安全管理

6.30ISO/IEC13335(MICTS)………32

信息安全管理系統(tǒng)規(guī)格說明與使用指導(dǎo)

6.31BS7799-2……33

信息安全管理實(shí)踐指南

6.32ISO/IEC17799……………………34

缺陷補(bǔ)救一般性

6.33FR()…………35

基線保護(hù)指南

6.34IT………………35

滲透測試

6.35………………………36

人員認(rèn)證與安全無關(guān)

6.36()…………37

人員認(rèn)證與安全有關(guān)

6.37()………………………38

參考文獻(xiàn)

……………………40

圖評價(jià)過程的流程

1ISO/IEC14598…………………19

表框架中的保障方法圖示符號

1—………………………4

表框架中保障方法概覽

2-………………5

表?關(guān)鍵過程領(lǐng)域

3SA-CMM…………28

表鑒定過程

4……………32

Ⅱ

GB/Z298302—2013/ISO/IECTR15443-22005

.:

前言

信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架分為以下個部分

GB/Z29830《》3:

第部分綜述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分為的第部分

GB/Z298302。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分采用翻譯法等同采用信息技術(shù)安全技術(shù)信息技術(shù)安全保

ISO/IECTR15443-2:2005《

障框架第部分保障方法

2:》。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本部分主要起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院

:。

本部分的主要起草人張明天羅鋒盈王延鳴陳星楊建軍

:、、、、。

Ⅲ

GB/Z298302—2013/ISO/IECTR15443-22005

.:

引言

本指導(dǎo)性技術(shù)文件的目的是為了獲得一個給定交付件滿足其所指出的信息安全保障需求的信心

,,

給出各種保障方法并指導(dǎo)信息安全專業(yè)人員如何選擇一個合適的保障方法或組合一些方法本指

,()。

導(dǎo)性技術(shù)文件審視了不同類型組織所提出的保障方法和途徑包括已批準(zhǔn)的標(biāo)準(zhǔn)和事實(shí)標(biāo)準(zhǔn)

,。

為了達(dá)到這一目的本指導(dǎo)性技術(shù)文件由以下個方面內(nèi)容組成

,7:

一個框架模型用于定位現(xiàn)有的保障方法并給出它們之間的關(guān)系

a),;

一組保障方法以及對它們的描述和引用

b);

特定保障方法的共性和個性的表達(dá)

c);

現(xiàn)有保障方法的定性比較其中盡可能進(jìn)行定量比較

d),;

與當(dāng)前保障方法關(guān)聯(lián)的保障模式的標(biāo)識

e);

不同保障方法之間關(guān)系的描述以及

f);

有關(guān)保障方法的應(yīng)用組合和認(rèn)知的指導(dǎo)

g)、。

本指導(dǎo)性技術(shù)文件由部分組成對保障途徑分析和相互間的關(guān)系處理如下

3,、:

第部分綜述和框架概述了一些基礎(chǔ)性概念例如保障保障框架等并給出了安全保障方法的

1:。,、,

一般性描述其目的是幫助理解本標(biāo)準(zhǔn)的第部分和第部分內(nèi)容第部分針對信息安全管理人員

。23。1

和其他人員其中包括負(fù)責(zé)開發(fā)安全保障程序確定他們的交付件的安全保障參加安全評估審計(jì)或參

,、、

加其他保障活動的人員

。

第部分保障方法描述由不同類型的組織提出和使用的各種安全保障方法和途徑不論它

2:。IT,

們是被一般公認(rèn)的事實(shí)上被認(rèn)可的或標(biāo)準(zhǔn)的并把這些保障方法與第部分的保障模型關(guān)聯(lián)起來重

、;1。

點(diǎn)是識別對保障有影響的保障方法的定性特征在可能的地方還將定義保障級別該材料面向安

,,。IT

全專業(yè)人員幫助理解如何在產(chǎn)品或服務(wù)的特定的生存周期階段中獲得保障

,。

使用定義在中的術(shù)語和定義

GB/Z29830.2—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各種保障方法的保障特征這個分析有助于保障機(jī)構(gòu)在確定每

3:。。

一種保障途徑的相對值并確定保障途徑使這些途徑提供最適合于運(yùn)行環(huán)境的具體上下文的需求的保

,

障結(jié)果而且這個分析還有助于保障機(jī)構(gòu)運(yùn)用保障方法的結(jié)果實(shí)現(xiàn)交付件所預(yù)想的確信度這部分

。,,。

材料面向的對象是那些必須選擇保障方法和保障途徑的安全專業(yè)人員

IT。

使用定義在中的術(shù)語和定義

GB/Z29830.3—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

本指導(dǎo)性技術(shù)文件分析了一些可能不為安全所專有的保障方法然而在指導(dǎo)性技術(shù)文件中所

IT;,

給出的指導(dǎo)將限于安全需求只對安全領(lǐng)域提供相應(yīng)的指導(dǎo)并不期望這一指導(dǎo)對一般的質(zhì)量

IT。IT,

管理評估或符合性具有指導(dǎo)意義

、IT。

Ⅳ

GB/Z298302—2013/ISO/IECTR15443-22005

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第2部分保障方法

:

1范圍

11意圖

.

的本部分收集了一些保障方法其中還包括一些對整體安全具有作用但不是專

GB/Z29830,ICT

對安全的保障方法本部分概括了這些方法的目標(biāo)描述了它們的特征以及引用文件和標(biāo)準(zhǔn)等

ICT。,。

原則上安全保障的最終結(jié)果是對運(yùn)行中的產(chǎn)品系統(tǒng)或服務(wù)的保障因此最終的保障是應(yīng)

,ICT、。,

用于產(chǎn)品系統(tǒng)或服務(wù)的生存階段中每一種保障方法所得到的保障增量之和大量可用的保障方法均

、。

提供了應(yīng)用于一個給定領(lǐng)域的必要指導(dǎo)以便獲得公認(rèn)的保障

,。

本部分使用中的基本保障概念和術(shù)語以一種概覽的方式對本部分中所收

GB/Z29830.1—2013,,

集的每一項(xiàng)保障方法進(jìn)行分類

。

通過使用這一分類本部分指導(dǎo)專業(yè)人員選擇保障方法以及保障方法的可能組合以適合于

,ICT,

給定的安全產(chǎn)品系統(tǒng)或服務(wù)及其特定的環(huán)境

ICT、。

12適用領(lǐng)域

.

本部分以一種概括和概覽的方式給出有關(guān)保障方法的指導(dǎo)為了從本部分所收集的方法中獲得一

。

個量少的可用方法集合應(yīng)采用排除其中不適宜的方法這一方式從中選擇之

,。

這一概括是描述性的