ISO/IEC 15408-1:2005
信息技术.安全技术.IT安全的评价标准.第1部分:介绍和一般模型

Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model

作废

非常抱歉，我们暂时无法提供预览，您可以试试： 免费下载 ISO/IEC 15408-1:2005 前三页，或者稍后再访问。

您也可以尝试购买此标准，
点击右侧 “立即购买” 按钮开始采购（由第三方提供）。

标准号

ISO/IEC 15408-1:2005

发布

2005年

中文版

GB/T 18336.1-2008 (等同采用的中文版本)

发布单位

国际标准化组织

替代标准

ISO/IEC 15408-1:2009

当前最新

ISO/IEC 15408-1:2022

 

 

适用范围

ISO/IEC 15408 旨在用作评估 IT 产品和系统安全属性的基础。 通过建立这样一个通用标准库，IT 安全评估的结果将对更广泛的受众有意义。 某些主题，因为它们涉及专门技术或因为它们在某种程度上与 IT 安全无关，所以被认为不属于 ISO/IEC 15408 的范围。 其中一些主题如下所示： a) ISO/IEC 15408 不包含安全评估标准与与 IT 安全措施不直接相关的管理安全措施有关。 然而，人们认识到 TOE 安全性的很大一部分通常可以通过组织、人员、物理和程序控制等管理措施来实现。 TOE 操作环境中的管理安全措施被视为安全使用假设，这些假设会影响 IT 安全措施应对已识别威胁的能力。 b) 尽管所讨论的许多概念适用于该领域，但并未具体涵盖对 IT 安全技术物理方面（例如电磁发射控制）的评估。 特别是，ISO/IEC 15408 解决了 TOE 物理保护的某些方面。 c) ISO/IEC 15408既不涉及评估方法，也不涉及评估机构应用标准的行政和法律框架。 然而，预计 ISO/IEC 15408 将在这样的框架和方法的背景下用于评估目的。 d) 在产品或系统认证中使用评估结果的程序超出了 ISO/IEC 15408 的范围。 产品或系统认证是授予 IT 产品或系统在其完整运行环境中运行的权限的管理过程。 评估重点关注产品或系统的IT安全部分以及操作环境中可能直接影响IT元素安全使用的部分。 因此，评估过程的结果是认证过程的宝贵输入。 然而，由于其他技术更适合评估非 IT 相关产品或系统安全属性及其与 IT 安全部分的关系，因此认证机构应针对这些方面做出单独规定。 e) ISO/IEC 15408 中未涵盖密码算法固有质量评估标准的主题。 如果需要对 TOE 中嵌入的密码学数学属性进行独立评估，则 ISO/IEC 15408 所依据的评估方案申请者必须为此类评估做出规定。 信息技术 — 安全技术 — IT 安全评估标准 — 第 1 部分：简介和通用模型 ISO/IEC 15408 的这一部分定义了两种形式来表达 IT 安全功能和保证要求。 保护配置文件 (PP) 构造允许创建这些安全要求的通用可重用集。 潜在消费者可以使用 PP 来规范和识别具有满足其需求的 IT 安全功能的产品。 安全目标（ST）表达了安全需求并指定了要评估的特定产品或系统的安全功能，称为评估目标（TOE）。 评估人员使用 ST 作为根据 ISO/IEC 15408 进行评估的基础。

ISO/IEC 15408-1:2005相似标准

推荐

谁引用了ISO/IEC 15408-1:2005 更多引用