GB/Z 29830.3-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第3部分：保障方法分析

ICS35040

L80.

中華人民共和國國家標準化指導性技術(shù)文件

GB/Z298303—2013/ISO/IECTR15443-32007

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第3部分保障方法分析

:

Informationtechnology—Securitytechnology—AframeworkforITsecurity

assurance—Part3Analsisofassurancemethods

:y

(ISO/IECTR15443-3:2007,IDT)

2013-11-12發(fā)布2014-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/Z298303—2013/ISO/IECTR15443-32007

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

意圖

1.1…………………1

應(yīng)用

1.2…………………1

適用領(lǐng)域

1.3……………1

限制

1.4…………………1

術(shù)語和定義

2………………1

縮略語

3……………………3

對保障的理解

4……………4

保障目標的設(shè)置

4.1……………………4

保障方法的應(yīng)用

4.2……………………6

保障結(jié)果的評估

4.3……………………10

例子

4.4…………………11

保障的比較選擇和組合

5、………………11

保障途徑的選擇

5.1……………………11

保障方法的組合

5.2……………………13

保障方法的比較

5.3……………………13

關(guān)注的保障特性

5.4……………………14

指導

6………………………18

開發(fā)保障

6.1(DA)……………………19

集成保障

6.2(IA)………………………20

運行保障

6.3(OA)……………………23

附錄資料性附錄列表比較

A()…………26

附錄資料性附錄所選方法的保障特性

B()……………28

附錄資料性附錄保障方法的組合

C()…………………43

參考文獻

……………………45

圖保障供給

1………………5

圖生存周期過程管理

2……………………9

圖可用方法

3……………13

圖矩陣比較原理

4………………………14

圖保障關(guān)注

5……………19

圖系統(tǒng)測試和評價

6……………………22

Ⅰ

GB/Z298303—2013/ISO/IECTR15443-32007

.:

圖測試要求演進

B.1……………………31

表供給的保障類型

1………………………5

表保障供給的使用

2………………………6

表保障的嚴格程度

3………………………7

表保障途徑應(yīng)用范圍

4……………………7

表生存周期保障模型

5……………………8

表保障途徑

6……………10

表比較的關(guān)鍵方面

7……………………15

表安全域

8………………24

表安全管理特性

9………………………24

表整個的成熟度

10OA…………………25

表方法和目標用戶群

A.1………………26

表基本認證模式

A.2……………………27

表可用保障方法

A.3……………………27

Ⅱ

GB/Z298303—2013/ISO/IECTR15443-32007

.:

前言

信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架分為以下個部分

GB/Z29830《》3:

第部分綜述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分為的第部分

GB/Z298303。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分采用翻譯法等同采用信息技術(shù)安全技術(shù)信息技術(shù)安全保

ISO/IECTR15443-3:2007《

障框架第部分保障方法分析

3:》。

本部分做了下列編輯性修改

:

國際標準中的附錄附錄為資料性附錄轉(zhuǎn)標時予以刪除

———D、E,。

本部分由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本部分主要起草單位中國電子技術(shù)標準化研究院北京化工大學

:、。

本部分主要起草人王晶張明天羅鋒盈王延鳴陳星楊建軍

:、、、、、。

Ⅲ

GB/Z298303—2013/ISO/IECTR15443-32007

.:

引言

本指導性技術(shù)文件的目的是為了獲得一個給定交付件滿足其所指出的信息安全保障需求的信心

,,

給出各種保障方法并指導信息安全專業(yè)人員如何選擇一個合適的保障方法或組合一些方法本指

,()。

導性技術(shù)文件審視了不同類型組織所提出的保障方法和途徑包括已批準的標準和事實標準

,。

為了達到這一目的本指導性技術(shù)文件由以下個方面內(nèi)容組成

,7:

一個框架模型用于定位現(xiàn)有的保障方法并給出它們之間的關(guān)系

a),;

一組保障方法以及對它們的描述和引用

b);

特定保障方法的共性和個性的表達

c);

現(xiàn)有保障方法的定性比較其中盡可能進行定量比較

d),;

與當前保障方法關(guān)聯(lián)的保障模式的標識

e);

不同保障方法之間關(guān)系的描述以及

f);

有關(guān)保障方法的應(yīng)用組合和認知的指導

g)、。

本指導性技術(shù)文件由部分組成對保障途徑分析和相互間的關(guān)系處理如下

3,、:

第部分綜述和框架概述了一些基礎(chǔ)性概念例如保障保障框架等并給出了安全保障方法

1:。,、。

的一般性描述其目的是幫助理解本指導性技術(shù)文件的第部分和第部分內(nèi)容第部分針對信息

。23。1

安全管理人員和其他人員其中包括負責開發(fā)安全保障程序確定他們的交付件的安全保障參加安全

,、、

評估審計或參加其他保障活動的人員

。

第部分保障方法描述由不同類型的組織提出和使用的各種安全保障方法和途徑不論它

2:。IT,

們是被一般公認的事實上被認可的或標準的并把這些保障方法與第部分的保障模型關(guān)聯(lián)起來重

、;1。

點是識別對保障有影響的保障方法的定性特征在可能的地方還將定義保障級別該材料面向安

,,。IT

全專業(yè)人員幫助理解如何在產(chǎn)品或服務(wù)的特定的生存周期階段中獲得保障

,。

使用定義在中的術(shù)語和定義

GB/Z29830.2—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各種保障方法的保障特征這個分析有助于保障機構(gòu)在確定每

3:。。

一種保障途徑的相對值并確定保障途徑使這些途徑提供最適合于運行環(huán)境的具體上下文的需求的保

,

障結(jié)果而且這個分析還有助于保障機構(gòu)運用保障方法的結(jié)果實現(xiàn)交付件所預(yù)想的確信度這部分

。,,。

材料面向的對象是那些必須選擇保障方法和保障途徑的安全專業(yè)人員

IT。

使用定義在中的術(shù)語和定義

GB/Z29830.3—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

本指導性技術(shù)文件分析了一些可能不為安全所專有的保障方法然而在指導性技術(shù)文件中所

IT;,

給出的指導將限于安全需求只對安全領(lǐng)域提供相應(yīng)的指導并不期望這一指導對一般的質(zhì)量

IT。IT,

管理評估或符合性具有指導意義

、IT。

Ⅳ

GB/Z298303—2013/ISO/IECTR15443-32007

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第3部分保障方法分析

:

1范圍

11意圖

.

的本部分的意圖是為保障機構(gòu)選擇合適類型的信息通信技術(shù)保障方法提供指

GB/Z29830:ICT()

導并為特定環(huán)境鋪設(shè)分析特定保障方法的框架

,。

12應(yīng)用

.

本部分可使用戶把特定保障需求和或典型保障情況與一些可用的保障方法所提供的一般性表現(xiàn)

/

特征相匹配

。

13適用領(lǐng)域

.

本部分的指導適用于具有安全需求的產(chǎn)品和系統(tǒng)的開發(fā)實現(xiàn)及運行

ICTICT、。

14限制

.