GJB 5371.1-2005
情報技術セキュリティ評価基準パート 1: 概要と一般モデル (英語版)
ホーム
GJB 5371.1-2005
規格番号
GJB 5371.1-2005
言語
中国語版,
英語で利用可能
制定年
2005
出版団体
Military Standard of the People's Republic of China-Commission of Science,Technology and Industry for National Defence
最新版
GJB 5371.1-2005
範囲
このセクションでは、情報技術製品およびシステムのセキュリティ特性を評価するための基本的な基準を定義します。 歴史と継続性の理由から、これは CC-Common Criteria と呼ばれます。 このような共通基準ライブラリを確立することにより、情報技術セキュリティ評価の結果をより多くの読者が理解できるようになります。 CC は、セキュリティ評価の過程における情報技術製品およびシステムのセキュリティ機能とそれに対応する保証手段を目的として、さまざまな独立したセキュリティ評価の結果を比較できるようにするための一連の一般要件を提供します。 評価プロセスでは、製品およびシステムのセキュリティ機能の信頼レベルと、これらの要件を満たす対応する保証手段が確立されます。 評価結果は、情報技術製品およびシステムがアプリケーションに対して十分に安全であるかどうか、および使用中の隠れたセキュリティ リスクが許容できるかどうかをユーザーが判断するのに役立ちます。 CCは、ITセキュリティ機能を備えた製品やシステムの開発・調達の指針として活用できます。 評価プロセスでは、オペレーティング システム、コンピュータ ネットワーク、分散システム、アプリケーションなどの製品やシステムを評価オブジェクト (TOE - 評価の対象) と呼びます。 CC には、不正な情報開示、変更、使用不能を回避するための情報の保護が含まれており、対応する保護タイプは通常、それぞれ機密性、完全性、可用性と呼ばれます。 上記の 3 つの側面に加えて、CC は情報セキュリティの他の側面にも適用できます。 CC は、悪意があるかどうかにかかわらず、人為的な情報脅威に焦点を当てています。 しかし、CC は人的要因以外の要因によって引き起こされる脅威にも使用できます。 また、CC は他の情報技術分野にも適用できますが、厳密な意味での情報技術セキュリティ以外の分野については、CC はコミットメントを行いません。 CC は、ハードウェア、ファームウェア、およびソフトウェアによって実装される情報技術セキュリティ対策に適用されます。 特定の評価が特定の実装方法にのみ適用される場合、これは関連するガイドラインに示されます。 一部のコンテンツは、情報技術セキュリティに関する特殊な専門技術や外国技術のみを含むため、CC の範囲に含まれません。 たとえば、次のとおりです。 セキュリティ対策。 評価基準。 ただし、TOE セキュリティの重要な部分は、組織的、個人的、物理的、手順的な監視などの管理上のセキュリティ対策を通じて達成されることを認識する必要があります。 管理上のセキュリティ対策が、特定の脅威に対抗する情報技術セキュリティ対策の能力に影響を与える場合、そのような管理上のセキュリティ対策は、TOE の動作環境において TOE を安全に使用するための前提条件であると考えられます。 b) 情報技術セキュリティの物理的側面 (電磁放射制御など) の評価には、CC の多くの概念が適用可能ですが、それらはこの分野に固有のものではなく、TOE の物理的保護のいくつかの側面も特に関係します。 c) CC には評価方法論は含まれておらず、評価機関がこのルールを使用するための管理モデルや法的枠組みも含まれていないが、そのような枠組みや方法論が整備された環境で CC が評価に使用されることが期待される。 d) 製品およびシステムの承認のための結果を評価するプロセスは、CC の範囲に属しません。 製品およびシステムの承認は、情報技術製品およびシステムの動作環境全体での使用を許可する管理管理プロセスです。 この評価は、製品やシステムの情報技術セキュリティ部分、および情報技術要素の安全な使用に直接影響を与える動作環境に焦点を当てているため、評価結果は承認プロセスの効果的な基礎となります。 ただし、情報技術に関連しないものを評価するのに他の技術の方が適している場合、システムまたは製品のセキュリティ機能およびそれらの情報技術セキュリティとの関係が懸念される場合、承認者はこれらの側面を個別に承認するものとします。 e) CC には、暗号アルゴリズムの固有の品質を評価するための基準が含まれていません。 TOE に埋め込まれた暗号数学的プロパティの個別の評価が必要な場合、そのような評価は CC を使用する評価体制で提供されなければなりません。
GJB 5371.1-2005 発売履歴
2005
GJB 5371.1-2005
情報技術セキュリティ評価基準パート 1: 概要と一般モデル
© 著作権 2024