ISO/IEC 15408-1:2005 情報技術、セキュリティ技術、ITセキュリティの評価基準第1部: 導入と一般モデル規格と仕様

規格番号: ISO/IEC 15408-1:2005
制定年: 2005
出版団体: International Organization for Standardization (ISO)
状態: 撤回
に置き換えられる: ISO/IEC 15408-1:2009
最新版: ISO/IEC 15408-1:2022

範囲: ISO/IEC 15408 は、IT 製品およびシステムのセキュリティ特性を評価するための基礎として使用されることを目的としています。このような共通の基準ベースを確立することにより、IT セキュリティ評価の結果は、より幅広い対象者にとって意味のあるものになります。特定のトピックは、特殊な技術を含むため、または IT セキュリティの周辺的なものであるため、ISO/IEC 15408 の範囲外とみなされます。その一部を以下に示します。 a) ISO/IEC 15408 にはセキュリティ評価基準が含まれていません。 ITセキュリティ対策とは直接関係のない管理上のセキュリティ対策に関するもの。ただし、TOE のセキュリティの重要な部分は、多くの場合、組織、人員、物理的、手順上の管理などの管理手段を通じて達成できることが認識されています。 TOE の動作環境における管理セキュリティ対策は、特定された脅威に対抗する IT セキュリティ対策の能力に影響を与える安全な使用の前提として扱われます。 b) 電磁放射制御などの IT セキュリティの技術的物理的側面の評価は特に取り上げられていませんが、取り上げられている概念の多くはその分野に適用できます。特に、ISO/IEC 15408 は、TOE の物理的保護のいくつかの側面に取り組んでいます。 c) ISO/IEC 15408 は、評価方法論も、評価当局が基準を適用する際の管理的および法的枠組みも扱っていません。ただし、ISO/IEC 15408 は、そのようなフレームワークや方法論の文脈で評価目的に使用されることが予想されます。 d) 製品またはシステムの認定における評価結果の使用手順は、ISO/IEC 15408 の範囲外です。製品またはシステムの認定は、IT 製品またはシステムを完全な運用環境で運用するための権限が付与される管理プロセスです。。評価は、製品またはシステムの IT セキュリティ部分と、IT 要素の安全な使用に直接影響を与える可能性のある運用環境の部分に焦点を当てます。したがって、評価プロセスの結果は、認定プロセスへの貴重な入力となります。ただし、IT 以外の製品またはシステムのセキュリティ特性と IT セキュリティ部分との関係の評価には他の手法の方が適しているため、認定機関はそれらの側面について別途規定を設ける必要があります。 e) 暗号アルゴリズムの固有の品質の評価基準の主題は、ISO/IEC 15408 ではカバーされていません。 TOE に埋め込まれた暗号の数学的特性の独立した評価が必要な場合、ISO/IEC 15408 の評価スキームが適用されます。申請された企業はそのような評価を準備する必要があります。情報技術 — セキュリティ技術 — IT セキュリティの評価基準 — パート 1: 導入と一般モデル ISO/IEC 15408 のこの部分では、IT セキュリティの機能要件と保証要件を表現するための 2 つの形式が定義されています。保護プロファイル (PP) 構造を使用すると、これらのセキュリティ要件の一般化された再利用可能なセットを作成できます。 PP は、将来の消費者が、ニーズを満たす IT セキュリティ機能を備えた製品の仕様と識別に使用できます。セキュリティターゲット (ST) は、評価対象 (TOE) と呼ばれる、評価対象となる特定の製品またはシステムのセキュリティ要件を表し、セキュリティ機能を指定します。 ST は、ISO/IEC 15408 に従って実施される評価の基礎として評価者によって使用されます。

ISO/IEC 15408-1:2005 発売履歴

2022 ISO/IEC 15408-1:2022 情報セキュリティ、ネットワークセキュリティ、プライバシー保護 IT セキュリティ評価基準パート 1: 概要と一般モデル
2009 ISO/IEC 15408-1:2009 情報技術、セキュリティ技術、ITセキュリティの評価基準第1部: 導入と一般モデル
2005 ISO/IEC 15408-1:2005 情報技術、セキュリティ技術、ITセキュリティの評価基準第1部: 導入と一般モデル
1999 ISO/IEC 15408-1:1999 情報技術セキュリティ IT セキュリティ技術評価基準第 1 部: 導入と一般モデル

ISO/IEC 15408-1:2005情報技術、セキュリティ技術、ITセキュリティの評価基準 第1部: 導入と一般モデル

ISO/IEC 15408-1:2005 発売履歴

ISO/IEC 15408-1:2005
情報技術、セキュリティ技術、ITセキュリティの評価基準第1部: 導入と一般モデル