信息技术安全性评估准则 - ISO IEC 15408-1(GB18336)概述

"ISO IEC 15408-1(GB18336)是信息技术安全性评估准则的一部分，主要介绍了评估IT安全性的简介和一般模型。它基于ISO/IEC 15408-1：2005标准，并等同转化为中国的GB/T18336标准。该标准旨在为信息安全产品的评估提供一套全面的框架，确保其在设计、开发和运行过程中的安全性。" 《信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型》是一个重要的标准文档，用于指导和规范信息安全产品和服务的评估过程。这一部分首先定义了标准的适用范围，包括对信息安全相关术语和定义的阐述，以及一系列缩略语的解释，便于理解和应用。 标准的第4章介绍了概述，明确了GB/T18336的目标读者，包括安全评估专家、产品开发商、系统集成商以及对信息安全有需求的用户。同时，它还讨论了评估过程中的关键要素，如开发、TOE（Target of Evaluation，即被评估对象）的评估和运行阶段。文档的组织结构也在此部分进行了解析。 接着，第5章详细描述了一般模型。模型涵盖了安全相关的各种要素，包括一般安全因素和信息技术安全因素。此外，还定义了GB/T18336的方法，包括如何开发安全产品，如何进行TOE的评估，以及运行阶段的安全管理。这部分还涉及了安全环境、安全目的、IT安全要求和TOE的概要规范及实现。 在第5.5节中，标准规定了如何表达安全要求，以及不同类型的评估，如保护轮廓（PP）和安全目标（ST）的制定。这部分强调了要求的明确性和可评估性，以及如何将这些要求应用于实际的评估过程中。 第6章进一步详细阐述了GB/T18336的要求和评估结果，包括PP和ST中的要求、TOE内部的要求，以及评估的一致性和结果的应用。此部分为评估过程提供了清晰的指导，帮助确保评估的公正性和有效性。 附录A和B分别提供了保护轮廓和安全目标的规范格式，指导如何构建和表述这些关键的安全评估文档。 ISO IEC 15408-1(GB18336)是信息安全领域的一个核心标准，它为产品开发者、评估者和所有关注信息安全的组织提供了统一的评估框架，以确保信息技术的安全性和可靠性。通过遵循这一标准，可以提高信息系统的安全性，降低风险，保护数据和隐私，从而促进全球的信息安全实践。