GB/T 18336.1-2001
情報技術セキュリティ技術 情報技術セキュリティ評価基準 第 1 部: 概要と一般モデル (英語版)

規格番号
GB/T 18336.1-2001
言語
中国語版, 英語で利用可能
制定年
2001
出版団体
General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China
状態
 2008-11
に置き換えられる
GB/T 18336.1-2008
最新版
GB/T 18336.1-2015
範囲
GB/T 18336 は、情報技術製品およびシステムのセキュリティ特性を評価するための基本的な基準を定義しています。 歴史的および継続的な理由から、それは今でもコモン クライテリア (CC-Common Criteria) と呼ばれています。 このような共通の基準基盤を確立することで、情報技術セキュリティ評価の結果をより多くの人が理解できるようになります。 セキュリティ評価プロセスにおける情報技術製品およびシステムのセキュリティ機能および対応する保証手段について、CC は、さまざまな独立したセキュリティ評価の結果を比較できるようにするための一連の一般要件を提供します。 評価プロセスでは、製品およびシステムのセキュリティ機能の信頼レベルと、これらの要件を満たす対応する保証手段が確立されます。 評価結果は、情報技術製品およびシステムがアプリケーションに対して十分に安全であるかどうか、および使用中の隠れたセキュリティ リスクが許容できるかどうかをユーザーが判断するのに役立ちます。 CCは、ITセキュリティ機能を備えた製品やシステムの開発・調達の指針として活用できます。 評価プロセスでは、オペレーティング システム、コンピュータ ネットワーク、分散システム、アプリケーションなどの製品やシステムを評価オブジェクト (TOE、評価の対象) と呼びます。 CC には、不正な開示、変更、および対応する保護タイプの使用不能を回避するための情報の保護が含まれます。 これらの保護タイプは通常、それぞれ機密性、完全性、可用性と呼ばれます。 上記の 3 つの側面に加えて、CC は情報セキュリティの他の側面にも適用できます。 CC は、悪意があるかどうかにかかわらず、人為的な情報の脅威に焦点を当てています。 しかし、CC は人的要因以外の要因によって引き起こされる脅威にも使用できます。 また、CC は他の情報技術分野にも適用できますが、厳密な意味での情報技術セキュリティ以外の分野については、CC はコミットメントを行いません。 CC は、ハードウェア、ファームウェア、およびソフトウェアに実装される情報技術セキュリティ対策に適用されます。 特定の評価が特定の実装方法にのみ適用される場合、これは関連するガイドラインの注記に記載されます。 一部のコンテンツは、特殊な専門技術や情報技術セキュリティの周辺技術のみを含むため、CC の範囲に含まれません。 たとえば、次のとおりです。 a) CC には、情報技術セキュリティ対策に直接関係しない、管理的なセキュリティ対策は含まれません。 管理セキュリティ対策の評価基準。 ただし、TOE セキュリティの重要な部分は、組織的、個人的、物理的、手順的な監視などの管理上のセキュリティ対策を通じて達成されることを認識する必要があります。 管理上のセキュリティ対策が、特定された脅威に対抗するための情報技術セキュリティ対策の能力に影響を与える場合、そのような管理上のセキュリティ対策は、TOE の動作環境において TOE を安全に使用するための前提条件であると考えられます。 B) IT セキュリティの物理的側面 (電磁放射制御など) の評価には、CC の多くの概念が適用可能ですが、それらはこの分野に固有のものではなく、TOE の物理的保護のいくつかの側面も特に関係します。 C) CC には評価方法論は含まれておらず、評価機関がこのルールを使用するための管理モデルや法的枠組みも含まれていませんが、そのような枠組みや方法論が整備された環境で CC が評価に使用されることが期待されます。 D) 製品およびシステムの承認のための結果を評価するプロセスは、CC の範囲内ではありません。 製品およびシステムの承認は、情報技術製品およびシステムが動作環境全体で使用することを承認される管理管理プロセスです。 この評価は、製品やシステムの情報技術セキュリティ部分、および情報技術要素の安全な使用に直接影響を与える動作環境に焦点を当てているため、評価結果は認定プロセスの効果的な基礎となります。 ただし、情報技術関連以外のシステムまたは製品のセキュリティ機能および情報技術セキュリティとの関係を評価するのに他の技術の方が適している場合、認定機関はこれらの側面を別途承認するものとします。 E) CC には、暗号アルゴリズムの固有の品質を評価するための基準が含まれていません。 TOE に埋め込まれた暗号数学的プロパティの個別の評価が必要な場合、そのような評価は CC を使用する評価体制で提供されなければなりません。

GB/T 18336.1-2001 発売履歴

  • 2015 GB/T 18336.1-2015 情報技術セキュリティ技術 情報技術セキュリティ評価基準 第 1 部: 概要と一般モデル
  • 2008 GB/T 18336.1-2008 情報技術、セキュリティ技術、情報技術セキュリティ評価基準、パート 1: 概要と一般モデル
  • 2001 GB/T 18336.1-2001 情報技術セキュリティ技術 情報技術セキュリティ評価基準 第 1 部: 概要と一般モデル
情報技術セキュリティ技術 情報技術セキュリティ評価基準 第 1 部: 概要と一般モデル

GB/T 18336.1-2001 - すべての部品

GB/T 18336.1-2015 情報技術セキュリティ技術 情報技術セキュリティ評価基準 第 1 部: 概要と一般モデル GB/T 18336.2-2015 情報技術セキュリティ技術 情報技術セキュリティ評価基準 第 2 部: セキュリティ機能コンポーネント GB/T 18336.3-2015 情報技術セキュリティ技術 情報技術セキュリティ評価基準 パート 3: セキュリティ保証コンポーネント


© 著作権 2024