信息安全技术保护轮廓和安全目标的产生指引-全国信息安全标准化.DOCVIP

ICS35.040 L 80 中华人民共和国国家标准化指导性技术文件 GB/Z 20283—XXXX 代替?GB/Z 20283-2006 信息安全技术保护轮廓和安全目标的产生指南 Information security techniques—Guide for the production of Protection Profiles and Security Targets (ISO/IEC TR 15446:2009,Information technology— Security techniques—Guide for the production of Protection Profiles and Security Targets,NEQ) （本稿完成日期：2016.9） (在提交反馈意见时，请将您知道相关专利连同支持性文件一并附上) XXXX - XX - XX发布 XXXX - XX - XX实施 目次 前言 III 引言 IV 1　范围 1 2　规范性引用文件 1 3　术语和定义 1 4　缩略语 1 5　PPST概述 1 5.1　简介 1 5.2　读者 1 5.3　PPST的使用 2 5.4　PP/ST 6 5.5　阅读和理解PP和ST 6 6　PP/ST 10 7　符合性声明 10 8　安全问题定义 11 8.1　简介 11 8.2　识别非正式的安全要求 12 8.3　如何识别和确定威胁 14 8.4　如何识别和确定策略 19 8.5　如何识别和确定假设 20 8.6　完成安全问题定义 21 9　安全目的 21 9.1　简介 21 9.2　构建威胁、策略和假设 23 9.3　识别非IT运行环境目的 23 9.4　识别IT运行环境目的 24 9.5　识别TOE目的 24 9.6　产生安全目的基本原理 26 10　扩展组件定义 26 11　安全要求 28 11.1　简介 28 11.2　GB/T　18336 29 11.3　在PP和ST中如何确定安全功能要求 36 11.4　在PP或ST中如何确定安全保障要求 44 12　TOE 46 13　组合及部件TOE的PP和ST 47 13.1　组合TOE 47 13.2　部件TOE 49 14　特殊情况 49 14.1　低保障级的PP和ST 49 14.2　符合国家解释 49 14.3　功能和保障包 50 附录A（资料性附录）　 51 前言 本指导性技术文件按照GB/T1.1—2009给出的规则起草。 本指导性技术文件代替GB/Z 20283—2006《信息安全技术 保护轮廓和安全目标的产生指南》。本指导性技术文件与 GB/Z 20283—2006相比，主要变化如下： 第4章增加了缩略语； 对正文内容进行了更新； 对附录进行了更新，并删除了原标准的附录B和附录C。 本指导性技术文件使用重新起草法参考ISO/IEC TR 15446:2009《信息技术 安全技术 保护轮廓和安全目标产生指南》编制，与ISO/IEC TR 15446:2009的一致性程度为非等效。 本指导性技术文件与ISO/IEC TR 15446:2009的主要差别如下： 根据GB/T1.1的要求对第1章至第4章的内容重新做了编排； 删除了ISO/IEC TR 15446:2009中的第5章和第16章。 本指导性技术文件自发布之日起代替GB/Z 220283—2006。 本指导性技术文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本指导性技术文件起草单位：中国信息安全测评中心、北京邮电大学、吉林信息安全测评中心 本主要起草人：——GB/Z 20283—2006 引言 GB/T 18336-2015《信息技术 安全技术 信息技术安全评估准则》使用保护轮廓（Protection Profile，PP）和安全目标（Security Target，ST）构成灵活科学的安全测评框架，已成为表述安全的事实上的国际语言。本指导性技术文件的目的是帮助开发者，使用者，测评者等更规范更详细的表述安全目标和安全要求。 本指导性技术文件是GB/T 18336-2015的辅助性指南文件，为保护轮廓或安全目标各部分内容的描述及其相互关系提供了技术指南。 信息安全技术保护轮廓和安全目标的产生指南 范围 本指导性术文件描述保护轮廓（PP）和安全目标（ST）中的内容及其各部分内容之间的相互关系，供感兴趣的读者参考。 本指导性技术文件给出了PP和ST文档内容的概述和用户最关心的内容，并陈述PP及ST之间的关系，以及PP和ST的开发过程，为使用者编写PP和ST提供指导。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用