GB/T 18336.5-2024
基本信息
标准号: GB/T 18336.5-2024
中文名称:网络安全技术 信息技术安全评估准则 第5部分:预定义的安全要求包
标准类别:国家标准(GB)
英文名称:Cybersecurity technology—Evaluation criteria for IT security—Part 5:Pre-defined packages of security requirements
标准状态:现行
发布日期:2024-04-25
实施日期:2024-11-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:6847536
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
出版信息
出版社:中国标准出版社
页数:36页
标准价格:59.0
相关单位信息
起草人:张宝峰 许源 杨永生 李凤娟 石竑松 高金萍 刘晖 霍珊珊 刘健 徐曼 李宾 刘尚麟 赵良福 赵珮含 肖丰佳 明玉琢 刘娟 戚进业 姚俊先 李汝鑫 王伟哲 乔华阳 张德保 毕海英 邓辉 贾炜 陈锋 王书毅
起草单位:中国信息安全测评中心、中国电子科技集团公司第十五研究所、中贸促信息技术有限责任公司、维沃移动通信有限公司、工业信息安全(四川)创新中心有限公司、吉林信息安全测评中心、国家广播电视总局广播电视科学研究院、北京神州绿盟科技有限公司、国民技术股份有限公司等
归口单位:全国网络安全标准化技术委员会(SAC/TC 260)
提出单位:全国网络安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件给使用者提供了通用的安全保障要求包和安全功能要求包。
标准图片预览
标准内容
ICS35.030
CCS L 80
中华人民共和国国家标准
GB/T18336.5—2024/ISO/IEC15408-5:2022部分代替GB/T18336.3—2015bzxZ.net
网络安全技术
信息技术安全评估准则
第5部分:预定义的安全要求包
Cybersecurity technology-Evaluation criteria for IT security-Part 5:Pre-defined packages of security requirements(ISO/IEC 15408-5:2022,Information security,cybersecurity and privacyprotectionEvaluation criteria for IT securityPart 5:Pre-defined packagesofsecurityrequirementsIDT
2024-04-25发布
国家市场监督管理总局
国家标准化管理委员会
2024-11-01实施
规范性引用文件
术语和定义
评估保障级
评估保障级概述
评估保障级的目的
评估保障级
组合保障包
组合保障包概述
组合保障包的目的·
CAP族中的包
复合产品包·
包类型
包概述
安全保障组件
保护轮廓保障
族名·
PPA族概述
PPA族目的
PPA包
8安全目标保障·
族名·
STA族概述
STA族目的
STA包
附录NA(资料性)
参考文献
缩略语
GB/T18336.5—2024/ISO/IEC15408-5:2022次
GB/T18336.5—2024/IS0/IEC15408-5:2022前言
本文件按照GB/T1.1一2020《标准化工作导则厂第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是GB/T18336《网络安全技术信息技术安全评估准则》的第5部分。GB/T18336已经发布以下部分:
第1部分:简介和一般模型;
一第2部分:安全功能组件;
—一第3部分:安全保障组件;
一第4部分:评估方法和活动的规范框架;第5部分:预定义的安全要求包。本文件和GB/T18336.3一2024《网络安全技术信息技术安全评估准则第3部分:安全保障组件》、GB/T18336.4一2024《网络安全技术信息技术安全评估准则第4部分:评估方法和活动的规范框架》共同代替GB/T18336.3一2015《信息技术安全技术信息技术安全评估准则第3部分:安全保障组件》。
本文件部分代替GB/T18336.3一2015《信息技术安全技术信息技术安全评估准则第3部分:安全保障组件》。与GB/T18336.3一2015相比,除结构调整和编辑性改动外,主要技术变化如下:删除了保障范型(见GB/T18336.3一2015年版的第5章);删除了安全保障组件(见GB/T18336.3一2015年版的第6章);一增加了复合产品包(COMP)(见第6章);一增加了保护轮廓保障(PPA)(见第7章);一增加了安全目标保障(STA)(见第8章);—删除了APE类:保障轮廓评估(见GB/T18336.3一2015年版的第9章);删除了ASE类:安全目标评估(见GB/T18336.3一2015年版的第10章):删除了ADV类:开发(见GB/T18336.3一2015年版的第11章);删除了AGD类:指导性文档(见GB/T18336.3一2015年版的第12章);——删除了ALC类:生命周期支持(见GB/T18336.3一2015年版的第13章);删除了ATE类:测试(见GB/T18336.3一2015年版的第14章);删除了AVA类:脆弱性评定(见GB/T18336.3一2015年版的第15章)。本文件等同采用ISO/IEC15408-5:2022《信息安全、网络安全和隐私保护信息技术安全评估准则第5部分:预定义的安全要求包》。本文件做了下列最小限度的编辑性改动:」第5部分:预
一一为与现有标准协调,将标准名称改为《网络安全技术信息技术安全评估准则定义的安全要求包》;
增加资料性附录NA“缩略语”。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任,本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国信息安全测评中心、中国电子科技集团公司第十五研究所、中贸促信息技术有限责任公司、维沃移动通信有限公司、工业信息安全(四川)创新中心有限公司、吉林信息安全测评中心、国家广播电视总局广播电视科学研究院、北京神州绿盟科技有限公司、国民技术股份有限公司、广东GB/T18336.5—2024/IS0/IEC15408-5:2022美的制冷设备有限公司、广东省农村信用社联合社、联想(北京)有限公司、中通服咨询设计研究院有限公司、成都虚谷伟业科技有限公司、北京东方金信科技股份有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人:张宝峰、许源、杨永生、李凤娟、石松、高金萍、刘晖、霍珊珊、刘健、徐曼、李宾、刘尚麟、赵良福、赵含、肖丰佳、明玉琢、刘娟、戚进业、姚俊先、李汝鑫、王伟哲、乔华阳、张德保、毕海英、邓辉、贾炜、陈锋、王书毅。
本文件于2001年首次发布为GB/T18336.3一2001,2008年第一次修订,2015年第二次修订,本次为第三次修订,部分代替GB/T18336.3—2015,编号为GB/T18336.5。IV
GB/T18336.5—2024/IS0/IEC15408-5:2022引言
本文件提供了预定义的安全要求包。安全要求包能有助于标准使用者在评估时保持一致,也能有助于减少开发保护轮廓(PP)和安全目标(ST)的工作量。GB/T18336拟由五部分构成。
-一第1部分:简介和一般模型。旨在对GB/T18336进行整体概述,定义信息技术安全评估的一般概念和原则,并给出了评估的一般模型。第2部分:安全功能组件。旨在建立一套可用于描述安全功能要求的功能组件标准化模板。这些功能组件按类和族的方式进行结构化组织,通过组件选择、细化、裁剪等方式构造出具体的安全功能要求。
—一第3部分:安全保障组件。旨在建立一套可用于描述安全保障要求的保障组件标准化模板。这些安全保障组件按类和族的方式进行结构化组织,定义了针对PP、ST和TOE进行评估的准则,通过组件选择、细化、裁剪等方式构造出具体的安全保障要求。第4部分:评估方法和活动的规范框架。旨在为规范评估方法和活动提供一个标准化框架。这些评估方法和活动包含在PP、ST及任意支持这些方法和活动的文档中,供评估者基于GB/T18336的其他部分中描述的模型开展评估工作。第5部分:预定义的安全要求包。旨在提供利益相关者通常使用的安全保障要求和安全功能要求的包,提供的包示例包括评估保障级(EAL)和组合保障包(CAP)。GB/T18336.1一2024定义了术语“包”并描述了基本概念。注:本文件在某些情况下使用粗体字和斜体字来区分术语和其余部分的文本。族内组件之间的关系约定使用粗体突出显示,对所有新的要求也约定使用粗体字。对于分层的组件,当要求被增强或修改,且超出了前一个组件的要求时,以粗体显示。此外,除了前面的组件之外,任何新的或增强的允许的操作也会使用粗体突出显示。约定使用斜体来表示具有精确含义的文本。对于安全保障要求,该约定也适用于与评估相关的特殊动词。V
1范围
GB/T18336.5—2024/ISO/IEC15408-5:2022网络安全技术信息技术安全评估准则第5部分:预定义的安全要求包
本文件给使用者提供了通用的安全保障要求包和安全功能要求包。示例:
提供了评估保障级(EAL)和组合保障包(CAP)。本文件描述了:
评估保障级包(EAL),明确规定了可在PP和ST中引用的预先定义的一系列安全保障组件集,这些组件也用于为TOE评估提供适当的安全保障;组合保障包(CAP),明确规定了组合TOE评估所需的一系列安全保障组件集;一复合产品包(COMP),明确规定了复合产品TOE评估所需的一系列安全保障组件集;—一保护轮廓保障包(PPA),明确规定了保护轮廓评估所需的一系列安全保障组件集;安全目标保障包(STA),明确规定了安全目标评估所需的一系列安全保障组件集。本文件的读者包括安全信息技术产品的消费者、开发者和评估者。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T18336.1一2024网络安全技术信息技术安全评估准则第1部分:简介和一般模型(ISO/IEC15408-1:2022,IDT)
ISO/IEC15408-1信息安全、网络安全和隐私保护信息技术安全评估准则第1部分:简介和一般模型(Information securitycybersecurityandprivacyprotectionEvaluationcriteriaforITsecurityPartl:Introductionandgeneralmodel)注:GB/T18336.1一2024网络安全技术信息技术安全评估准则第1部分:简介和一般模型(ISO/IEC154081:2022,IDT)
ISO/IEC15408-3信息安全、网络安全和隐私保护信息技术安全评估准则第3部分:安全保障组件(Information security,cybersecurity and privacy protectionEvaluation criteria for IT securi-ty—Part 3:Security assurance components)注:GB/T18336.3—2024网络安全技术信息技术安全评估准则第3部分:安全保障组件(ISO/IEC15408-3:2022IDT)
3术语和定义
ISO/IEC15408-1、ISO/IEC15408-3界定的术语和定义适用于本文件。注:附录NA给出了本文件使用的缩略语。1
GB/T18336.5—2024/IS0/IEC15408-5:20224评估保障级
4.1族名
本族包的名称为评估保障级(EAL)。4.2评估保障级概述
4.2.1概述
评估保障级(EAL)提供了一种递增的尺度,以保障程度的获取成本和可行性来权衡保障级别。ISO/IEC15408-1中的方法确定了TOE评估结束时不同级别的保障概念,以及TOE运行使用时维护该保障的概念。
注:并非所有ISO/IEC15408-3中的族和组件都包含在EAL中。这并不意味着这些族和组件不提供有意义的和所需要的保障。相反,期望能把这些族和组件作为PP和ST中EAL的增强。另外,ISO/IEC15408-3中的一些类和EAL无关,如APE和ACO类
每个EAL由一系列保障组件组成
通过以下方式能获得比给定的EAL更高的保障级别:增加来自其他保障族的额外的保障组件;a):
b)替换某个保障组件为相同保障族更高级别的保障组件。4.2.2
保障和保障级之间的关系
图1表明了ISO/IEC15408-3中的安全保障要求(SAR)和本文件定义的评估保障级之间的关系。当保障组件进一步分解为保障元素时,保障元素不能被保障级单独引用。注:图1中的箭头表示EAL与保障类组件的引用关系。2
TSO/TEC15408-3保障要求
保障类
类介绍
保障族
组件分级
应用注释
保障组件
组件标识
应用注释
依赖关系
保障元素
GB/T18336.5—2024/ISO/IEC15408-5:2022ISO/IEC15408-5评估保障级(EAL)评估保障级
EAL名称
应用注释
保障组件
组件标识
应用注释
依赖关系
保障元素
保障和保障级的关系
表1是对EAL的汇总。其中列表示一组按层级排序的EAL,行表示保障族。表格矩阵中的每一个数字标识出了此处适宜的具体保障组件。表1中涂灰的项目代表不适用该EAL,但能作为该EAL包的增强,注:虽然ALC_FLR族和ALC_TDA族未在表1中显示,但它们通常用作EAL的增强。表1
评估保障级汇总
保障类
ADV_ARC
ADV_FSP
ADV_IMP
ADV_INT
保障族
安全架构
功能规范
实现表示
TSF内部
评估保障级依据的保障组件
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS L 80
中华人民共和国国家标准
GB/T18336.5—2024/ISO/IEC15408-5:2022部分代替GB/T18336.3—2015bzxZ.net
网络安全技术
信息技术安全评估准则
第5部分:预定义的安全要求包
Cybersecurity technology-Evaluation criteria for IT security-Part 5:Pre-defined packages of security requirements(ISO/IEC 15408-5:2022,Information security,cybersecurity and privacyprotectionEvaluation criteria for IT securityPart 5:Pre-defined packagesofsecurityrequirementsIDT
2024-04-25发布
国家市场监督管理总局
国家标准化管理委员会
2024-11-01实施
规范性引用文件
术语和定义
评估保障级
评估保障级概述
评估保障级的目的
评估保障级
组合保障包
组合保障包概述
组合保障包的目的·
CAP族中的包
复合产品包·
包类型
包概述
安全保障组件
保护轮廓保障
族名·
PPA族概述
PPA族目的
PPA包
8安全目标保障·
族名·
STA族概述
STA族目的
STA包
附录NA(资料性)
参考文献
缩略语
GB/T18336.5—2024/ISO/IEC15408-5:2022次
GB/T18336.5—2024/IS0/IEC15408-5:2022前言
本文件按照GB/T1.1一2020《标准化工作导则厂第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是GB/T18336《网络安全技术信息技术安全评估准则》的第5部分。GB/T18336已经发布以下部分:
第1部分:简介和一般模型;
一第2部分:安全功能组件;
—一第3部分:安全保障组件;
一第4部分:评估方法和活动的规范框架;第5部分:预定义的安全要求包。本文件和GB/T18336.3一2024《网络安全技术信息技术安全评估准则第3部分:安全保障组件》、GB/T18336.4一2024《网络安全技术信息技术安全评估准则第4部分:评估方法和活动的规范框架》共同代替GB/T18336.3一2015《信息技术安全技术信息技术安全评估准则第3部分:安全保障组件》。
本文件部分代替GB/T18336.3一2015《信息技术安全技术信息技术安全评估准则第3部分:安全保障组件》。与GB/T18336.3一2015相比,除结构调整和编辑性改动外,主要技术变化如下:删除了保障范型(见GB/T18336.3一2015年版的第5章);删除了安全保障组件(见GB/T18336.3一2015年版的第6章);一增加了复合产品包(COMP)(见第6章);一增加了保护轮廓保障(PPA)(见第7章);一增加了安全目标保障(STA)(见第8章);—删除了APE类:保障轮廓评估(见GB/T18336.3一2015年版的第9章);删除了ASE类:安全目标评估(见GB/T18336.3一2015年版的第10章):删除了ADV类:开发(见GB/T18336.3一2015年版的第11章);删除了AGD类:指导性文档(见GB/T18336.3一2015年版的第12章);——删除了ALC类:生命周期支持(见GB/T18336.3一2015年版的第13章);删除了ATE类:测试(见GB/T18336.3一2015年版的第14章);删除了AVA类:脆弱性评定(见GB/T18336.3一2015年版的第15章)。本文件等同采用ISO/IEC15408-5:2022《信息安全、网络安全和隐私保护信息技术安全评估准则第5部分:预定义的安全要求包》。本文件做了下列最小限度的编辑性改动:」第5部分:预
一一为与现有标准协调,将标准名称改为《网络安全技术信息技术安全评估准则定义的安全要求包》;
增加资料性附录NA“缩略语”。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任,本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国信息安全测评中心、中国电子科技集团公司第十五研究所、中贸促信息技术有限责任公司、维沃移动通信有限公司、工业信息安全(四川)创新中心有限公司、吉林信息安全测评中心、国家广播电视总局广播电视科学研究院、北京神州绿盟科技有限公司、国民技术股份有限公司、广东GB/T18336.5—2024/IS0/IEC15408-5:2022美的制冷设备有限公司、广东省农村信用社联合社、联想(北京)有限公司、中通服咨询设计研究院有限公司、成都虚谷伟业科技有限公司、北京东方金信科技股份有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人:张宝峰、许源、杨永生、李凤娟、石松、高金萍、刘晖、霍珊珊、刘健、徐曼、李宾、刘尚麟、赵良福、赵含、肖丰佳、明玉琢、刘娟、戚进业、姚俊先、李汝鑫、王伟哲、乔华阳、张德保、毕海英、邓辉、贾炜、陈锋、王书毅。
本文件于2001年首次发布为GB/T18336.3一2001,2008年第一次修订,2015年第二次修订,本次为第三次修订,部分代替GB/T18336.3—2015,编号为GB/T18336.5。IV
GB/T18336.5—2024/IS0/IEC15408-5:2022引言
本文件提供了预定义的安全要求包。安全要求包能有助于标准使用者在评估时保持一致,也能有助于减少开发保护轮廓(PP)和安全目标(ST)的工作量。GB/T18336拟由五部分构成。
-一第1部分:简介和一般模型。旨在对GB/T18336进行整体概述,定义信息技术安全评估的一般概念和原则,并给出了评估的一般模型。第2部分:安全功能组件。旨在建立一套可用于描述安全功能要求的功能组件标准化模板。这些功能组件按类和族的方式进行结构化组织,通过组件选择、细化、裁剪等方式构造出具体的安全功能要求。
—一第3部分:安全保障组件。旨在建立一套可用于描述安全保障要求的保障组件标准化模板。这些安全保障组件按类和族的方式进行结构化组织,定义了针对PP、ST和TOE进行评估的准则,通过组件选择、细化、裁剪等方式构造出具体的安全保障要求。第4部分:评估方法和活动的规范框架。旨在为规范评估方法和活动提供一个标准化框架。这些评估方法和活动包含在PP、ST及任意支持这些方法和活动的文档中,供评估者基于GB/T18336的其他部分中描述的模型开展评估工作。第5部分:预定义的安全要求包。旨在提供利益相关者通常使用的安全保障要求和安全功能要求的包,提供的包示例包括评估保障级(EAL)和组合保障包(CAP)。GB/T18336.1一2024定义了术语“包”并描述了基本概念。注:本文件在某些情况下使用粗体字和斜体字来区分术语和其余部分的文本。族内组件之间的关系约定使用粗体突出显示,对所有新的要求也约定使用粗体字。对于分层的组件,当要求被增强或修改,且超出了前一个组件的要求时,以粗体显示。此外,除了前面的组件之外,任何新的或增强的允许的操作也会使用粗体突出显示。约定使用斜体来表示具有精确含义的文本。对于安全保障要求,该约定也适用于与评估相关的特殊动词。V
1范围
GB/T18336.5—2024/ISO/IEC15408-5:2022网络安全技术信息技术安全评估准则第5部分:预定义的安全要求包
本文件给使用者提供了通用的安全保障要求包和安全功能要求包。示例:
提供了评估保障级(EAL)和组合保障包(CAP)。本文件描述了:
评估保障级包(EAL),明确规定了可在PP和ST中引用的预先定义的一系列安全保障组件集,这些组件也用于为TOE评估提供适当的安全保障;组合保障包(CAP),明确规定了组合TOE评估所需的一系列安全保障组件集;一复合产品包(COMP),明确规定了复合产品TOE评估所需的一系列安全保障组件集;—一保护轮廓保障包(PPA),明确规定了保护轮廓评估所需的一系列安全保障组件集;安全目标保障包(STA),明确规定了安全目标评估所需的一系列安全保障组件集。本文件的读者包括安全信息技术产品的消费者、开发者和评估者。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T18336.1一2024网络安全技术信息技术安全评估准则第1部分:简介和一般模型(ISO/IEC15408-1:2022,IDT)
ISO/IEC15408-1信息安全、网络安全和隐私保护信息技术安全评估准则第1部分:简介和一般模型(Information securitycybersecurityandprivacyprotectionEvaluationcriteriaforITsecurityPartl:Introductionandgeneralmodel)注:GB/T18336.1一2024网络安全技术信息技术安全评估准则第1部分:简介和一般模型(ISO/IEC154081:2022,IDT)
ISO/IEC15408-3信息安全、网络安全和隐私保护信息技术安全评估准则第3部分:安全保障组件(Information security,cybersecurity and privacy protectionEvaluation criteria for IT securi-ty—Part 3:Security assurance components)注:GB/T18336.3—2024网络安全技术信息技术安全评估准则第3部分:安全保障组件(ISO/IEC15408-3:2022IDT)
3术语和定义
ISO/IEC15408-1、ISO/IEC15408-3界定的术语和定义适用于本文件。注:附录NA给出了本文件使用的缩略语。1
GB/T18336.5—2024/IS0/IEC15408-5:20224评估保障级
4.1族名
本族包的名称为评估保障级(EAL)。4.2评估保障级概述
4.2.1概述
评估保障级(EAL)提供了一种递增的尺度,以保障程度的获取成本和可行性来权衡保障级别。ISO/IEC15408-1中的方法确定了TOE评估结束时不同级别的保障概念,以及TOE运行使用时维护该保障的概念。
注:并非所有ISO/IEC15408-3中的族和组件都包含在EAL中。这并不意味着这些族和组件不提供有意义的和所需要的保障。相反,期望能把这些族和组件作为PP和ST中EAL的增强。另外,ISO/IEC15408-3中的一些类和EAL无关,如APE和ACO类
每个EAL由一系列保障组件组成
通过以下方式能获得比给定的EAL更高的保障级别:增加来自其他保障族的额外的保障组件;a):
b)替换某个保障组件为相同保障族更高级别的保障组件。4.2.2
保障和保障级之间的关系
图1表明了ISO/IEC15408-3中的安全保障要求(SAR)和本文件定义的评估保障级之间的关系。当保障组件进一步分解为保障元素时,保障元素不能被保障级单独引用。注:图1中的箭头表示EAL与保障类组件的引用关系。2
TSO/TEC15408-3保障要求
保障类
类介绍
保障族
组件分级
应用注释
保障组件
组件标识
应用注释
依赖关系
保障元素
GB/T18336.5—2024/ISO/IEC15408-5:2022ISO/IEC15408-5评估保障级(EAL)评估保障级
EAL名称
应用注释
保障组件
组件标识
应用注释
依赖关系
保障元素
保障和保障级的关系
表1是对EAL的汇总。其中列表示一组按层级排序的EAL,行表示保障族。表格矩阵中的每一个数字标识出了此处适宜的具体保障组件。表1中涂灰的项目代表不适用该EAL,但能作为该EAL包的增强,注:虽然ALC_FLR族和ALC_TDA族未在表1中显示,但它们通常用作EAL的增强。表1
评估保障级汇总
保障类
ADV_ARC
ADV_FSP
ADV_IMP
ADV_INT
保障族
安全架构
功能规范
实现表示
TSF内部
评估保障级依据的保障组件
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。