公听会-A.ppt-ISACA国际电脑稽核协会.ppt

國際標準『ISO/IEC 15408』的介紹 ISO/IEC 15408 ? Information technology ─ Security techniques ─Evaluation Criteria for IT Security 報告內容(Contents)大綱 概 論 ISO 15408 簡要說明 「共通規範計畫」的推動 由七個政府組織加以贊助，這些組織共同擁有「資訊技術安全評估之共通準則」（簡稱「CC 」）的版權，並同意作為日後持續發展與維護 ISO/IEC 15408 國際標準之共享許可。然而，這些贊助組織仍保有使用、複製、散佈、翻譯或在適當時候具有修改 CC 的權利。 (有關「共通規範計畫之贊助組織」的詳細資料交代請參考第一部份(Part 1)的附錄 A。 贊助CC的組織有 加拿大的“通訊安全機構” 法國的“安全系統資訊服務中心” 德國的“聯邦資訊技術安全署” 荷蘭的“國家通訊安全局” 英國的“通訊電子安全部” 美國的國家標準及技術委員會(NIST) 美國的國家安全局(NSA) 。 範圍(Scope) 範圍(Scope) 常用縮寫 (1) CC ─ 共通準則（Common Criteria） (2) EAL ─ 評估保證等級（Evaluation Assurance Level） (3) IT ─ 資訊技術（Information Technology） (4) PP ─ 保護剖繪（Protection Profile） (5) SF ─ 安全功能（Security Function） (6) SFP ─ 安全功能政策（Security Function Policy） (7) SOF ─ 功能強度（Strength Of Function） (8) ST ─ 安全目標（Security Target） (9) TOE ─ 評估目標（Target Of Evaluation） (10) TSC ─ TSF 控制範圍（TSF Scope of Control） (11) TSF ─ TOE 安全功能（TOE Security Functions） (12) TSFI ─ TSF 界面（TSF Interface） (13) TSP ─ TOE 安全政策（TOE Security Policy） 共通準則藍圖(Roadmap) 概論(Overview) 評估背景（Evaluation context） Part 2 內容 第1條為共同準則第二編之簡介導論 第2條介紹共同準則第二編功能元件之型錄 第3條到第13條說明功能類別 附錄A為功能件潛在使用者提供了引起興趣之其他資訊，包括一完整功能元件相關性對照參考表。 附錄B到附錄M則對功能類別提供了應用備考。 安全功能需求範例 功能類別之結構 元件之相關性 Part 2 類別說明(3~13條文) 3.FAU類別：安全稽核 4. FCO類別：通訊 5. FCS類別：密碼支援 6. FDP類別：資料保護(一) 6. FDP類別：資料保護(二) 6. FDP類別：資料保護(三) 7.FIA類別：識別及認證 8.FMT類別：安全管理 9.FPR類別：隱私 10. FPT類別：TSF保護(一)  10. FPT類別：TSF保護(二)  10. FPT類別：TSF保護(三)  11.FRU類別：資源運用  12.評估標的TOE存取 13.FTP類別：可信賴之路徑/通道 Part 3 Part 3 架構 條款1係此CC第3部份的簡介和範例 條款2說明保證類別、家族、元件和評估保證等級的顯示結構以及其間關係。它亦記述條款8至14所述保證類別和家族的特性 條款3、4和5提供PP和ST評估準則簡介，以及該等評估所使用家族和元件的詳細解釋 條款6提供詳細的EAL定義 條款7 提供保證類別簡介，後續條款8至14提供詳細的該等類別定義 條款15和16提供保證維護評估標準簡介，以及該等家族和元件的詳細定義 附錄A提供保證元件之間相關性的摘要 附錄B提供EAL和保證元件之間的交互參照 保證原理 保證方式 CC提議藉由資深評估員和利用大幅強調範圍、深度和嚴謹性，以衡量文件及其所產生的IT產品或系統的有效性。 CC不排除(也不批評)其它獲得保證的方法的相關指標。持續研究獲得保證的可供選擇方法。 避免弱點步驟 弱點會因下列因素而產生 需求