GB/T 18336.1-2001
Информационные технологии. Методы обеспечения безопасности. Критерии оценки ИТ-безопасности. Часть 1. Введение и общая модель. (Англоязычная версия)

Стандартный №

GB/T 18336.1-2001

язык

Китайский, Доступно на английском

Дата публикации

2001

Разместил

General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China

состояние

быть заменен 2008-11

быть заменен

GB/T 18336.1-2008

Последняя версия

GB/T 18336.1-2015

сфера применения

GB/T 18336 определяет основные критерии оценки характеристик безопасности продуктов и систем информационных технологий. По историческим причинам и по причинам преемственности его до сих пор называют «Общими критериями» (CC — Common Criteria). Создав такую общую критериальную базу, результаты оценки безопасности информационных технологий смогут быть понятны большему количеству людей. Для функций безопасности и соответствующих гарантийных мер продуктов и систем информационных технологий в процессе оценки безопасности CC предоставляет набор общих требований, позволяющих сделать результаты различных независимых оценок безопасности сопоставимыми. Процесс оценки устанавливает уровень доверия к функциям безопасности продуктов и систем и соответствующие меры обеспечения безопасности, которые отвечают этим требованиям. Результаты оценки могут помочь пользователям определить, достаточно ли безопасны продукты и системы информационных технологий для их приложений и можно ли допускать скрытые риски безопасности при использовании. CC может использоваться в качестве руководства для разработки и приобретения продуктов и систем с функциями безопасности информационных технологий. В процессе оценки такие продукты и системы называются объектами оценки (TOE — Target of Evaluation), например: операционные системы, компьютерные сети, распределенные системы и приложения. CC предполагает защиту информации во избежание несанкционированного раскрытия, изменения и невозможности использования соответствующих типов защиты, обычно называемых конфиденциальностью, целостностью и доступностью соответственно. Помимо трех вышеупомянутых аспектов, CC также применим к другим аспектам информационной безопасности. CC фокусируется на искусственных информационных угрозах, независимо от того, являются ли они вредоносными или нет. Но CC также может использоваться для угроз, вызванных нечеловеческими факторами. Кроме того, CC также может применяться к другим областям информационных технологий, но в отношении областей, отличных от безопасности информационных технологий в строгом смысле слова, CC не берет на себя обязательств. CC применяется к мерам безопасности информационных технологий, реализованным в аппаратном, встроенном и программном обеспечении. Если некоторые конкретные оценки применимы только к определенным методам реализации, это будет отмечено в соответствующих примечаниях к рекомендациям. Некоторый контент не входит в сферу действия CC, поскольку он включает в себя специальные профессиональные технологии или только периферийные технологии безопасности информационных технологий, например: a) CC не включает те меры безопасности, которые не связаны напрямую с мерами безопасности информационных технологий и являются административными. меры безопасности управления. Критерии оценки. Однако следует признать, что важная часть безопасности ОО достигается за счет административных мер безопасности, таких как организационный, персональный, физический и процедурный мониторинг. Когда меры административной безопасности влияют на способность мер безопасности информационных технологий противодействовать выявленным угрозам, такие меры административной безопасности считаются необходимым условием безопасного использования ОО в операционной среде ОО. Б) Для оценки физических аспектов безопасности ИТ (таких как контроль электромагнитного излучения), хотя многие концепции CC применимы, они не являются специфичными для этой области, но некоторые аспекты физической защиты ОО также конкретно затрагиваются. C) CC не включает в себя ни методологию оценки, ни модель управления или правовую основу, позволяющую агентствам по оценке использовать это правило, но есть надежда, что CC можно использовать для оценки в среде с такой структурой и методологией. D) Процесс оценки результатов для утверждения продукта и системы не входит в сферу компетенции CC. Утверждение продуктов и систем — это процесс административного управления, в ходе которого продукты и системы информационных технологий разрешаются для использования во всей их операционной среде. Оценка фокусируется на части безопасности информационных технологий продуктов и систем, а также на тех операционных средах, которые напрямую влияют на безопасное использование элементов информационных технологий, поэтому результаты оценки являются эффективной основой для процесса аккредитации. Однако, когда другие технологии более подходят для оценки функций безопасности систем или продуктов, не связанных с информационными технологиями, и их взаимосвязи с безопасностью информационных технологий, аккредитатор должен отдельно утвердить эти аспекты. Д) CC не включает критерии оценки внутреннего качества криптографических алгоритмов. Если требуется отдельная оценка криптоматематических свойств, заложенных в ОО, такая оценка должна быть предусмотрена в режиме оценки с использованием КС.

GB/T 18336.1-2001 История

• 2015 GB/T 18336.1-2015 Информационные технологии. Методы обеспечения безопасности. Критерии оценки ИТ-безопасности. Часть 1: Введение и общая модель.
• 2008 GB/T 18336.1-2008 Информационные технологии. Техники безопасности. Критерии оценки ИТ-безопасности. Часть 1: Введение и общая модель
• 2001 GB/T 18336.1-2001 Информационные технологии. Методы обеспечения безопасности. Критерии оценки ИТ-безопасности. Часть 1. Введение и общая модель.

GB/T 18336.1-2001 - Все части