GB/T 18336.5-2024 网络安全技术 信息技术安全评估准则 第5部分：预定义的安全要求包

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T183365—2024/ISO/IEC15408-52022

.:

部分代替GB/T183363—2015

.

网络安全技术信息技术安全评估准则

第5部分预定义的安全要求包

:

Cybersecuritytechnology—EvaluationcriteriaforITsecurity—

Part5Pre-definedackaesofsecuritreuirements

:pgyq

ISO/IEC15408-52022Informationsecuritcbersecuritandrivac

(:,y,yypy

rotection—EvaluationcriteriaforITsecurit—Part5Pre-definedackaes

py:pg

ofsecuritreuirementsIDT

yq,)

2024-04-25发布2024-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T183365—2024/ISO/IEC15408-52022

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

………………

31

评估保障级

4………………2

族名

4.1…………………2

评估保障级概述

4.2……………………2

评估保障级的目的

…………………

4.34

评估保障级

4.4…………………………4

组合保障包

………………

514

族名

5.1…………………14

组合保障包概述

……………………

5.214

组合保障包的目的

5.3…………………15

族中的包

……………………

5.4CAP16

复合产品包

6………………20

包名

…………………

6.120

包类型

6.2………………20

包概述

6.3………………20

目的

6.4…………………20

安全保障组件

………………………

6.520

保护轮廓保障

7……………21

族名

…………………

7.121

族概述

7.2PPA………………………21

族目的

………………………

7.3PPA21

包

7.4PPA……………21

安全目标保障

8……………23

族名

8.1…………………23

族概述

8.2STA………………………23

族目的

8.3STA………………………23

包

8.4STA……………23

附录资料性缩略语

NA()………………25

参考文献

……………………26

Ⅰ

GB/T183365—2024/ISO/IEC15408-52022

.:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是网络安全技术信息技术安全评估准则的第部分已经

GB/T18336《》5。GB/T18336

发布以下部分

:

第部分简介和一般模型

———1:;

第部分安全功能组件

———2:;

第部分安全保障组件

———3:;

第部分评估方法和活动的规范框架

———4:;

第部分预定义的安全要求包

———5:。

本文件和网络安全技术信息技术安全评估准则第部分安全保障组

/—《:

GBT18336.320243

件网络安全技术信息技术安全评估准则第部分评估方法和活动的规

》、/—《:

GBT18336.420244

范框架共同代替信息技术安全技术信息技术安全评估准则第部分安

》GB/T18336.3—2015《3:

全保障组件

》。

本文件部分代替信息技术安全技术信息技术安全评估准则第部

GB/T18336.3—2015《3

分安全保障组件与相比除结构调整和编辑性改动外主要技术变化如下

:》。GB/T18336.3—2015,,:

删除了保障范型见年版的第章

———(/—);

GBT18336.320155

删除了安全保障组件见年版的第章

———(/—);

GBT18336.320156

增加了复合产品包见第章

———(COMP)(6);

增加了保护轮廓保障见第章

———(PPA)(7);

增加了安全目标保障见第章

———(STA)(8);

删除了类保障轮廓评估见年版的第章

———APE:(GB/T18336.3—20159);

删除了类安全目标评估见年版的第章

———:(/—);

ASEGBT18336.3201510

删除了类开发见年版的第章

———:(/—);

ADVGBT18336.3201511

删除了类指导性文档见年版的第章

———AGD:(GB/T18336.3—201512);

删除了类生命周期支持见年版的第章

———ALC:(GB/T18336.3—201513);

删除了类测试见年版的第章

———ATE:(GB/T18336.3—201514);

删除了类脆弱性评定见年版的第章

———AVA:(GB/T18336.3—201515)。

本文件等同采用信息安全网络安全和隐私保护信息技术安全评估准

/:《、

ISOIEC15408-52022

则第部分预定义的安全要求包

5:》。

本文件做了下列最小限度的编辑性改动

:

为与现有标准协调将标准名称改为网络安全技术信息技术安全评估准则第部分预

———,《5:

定义的安全要求包

》;

增加资料性附录缩略语

———NA“”。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国信息安全测评中心中国电子科技集团公司第十五研究所中贸促信息技术

:、、

有限责任公司维沃移动通信有限公司工业信息安全四川创新中心有限公司吉林信息安全测评中

、、()、

心国家广播电视总局广播电视科学研究院北京神州绿盟科技有限公司国民技术股份有限公司广东

、、、、

Ⅲ

GB/T183365—2024/ISO/IEC15408-52022

.:

美的制冷设备有限公司广东省农村信用社联合社联想北京有限公司中通服咨询设计研究院有限

、、()、

公司成都虚谷伟业科技有限公司北京东方金信科技股份有限公司北京蓝象标准咨询服务有限公司

、、、。

本文件主要起草人张宝峰许源杨永生李凤娟石竑松高金萍刘晖霍珊珊刘健徐曼李宾

:、、、、、、、、、、、

刘尚麟赵良福赵珮含肖丰佳明玉琢刘娟戚进业姚俊先李汝鑫王伟哲乔华阳张德保毕海英

、、、、、、、、、、、、、

邓辉贾炜陈锋王书毅

、、、。

本文件于年首次发布为年第一次修订年第二次修订本次

2001GB/T18336.3—2001,2008,2015,

为第三次修订部分代替编号为

,GB/T18336.3—2015,GB/T18336.5。

Ⅳ

GB/T183365—2024/ISO/IEC15408-52022

.:

引言

本文件提供了预定义的安全要求包安全要求包能有助于标准使用者在评估时保持一致也能有

。,

助于减少开发保护轮廓和安全目标的工作量

(PP)(ST)。

拟由五部分构成

GB/T18336。

第部分简介和一般模型旨在对进行整体概述定义信息技术安全评估的一

———1:。GB/T18336,

般概念和原则并给出了评估的一般模型

,。

第部分安全功能组件旨在建立一套可用于描述安全功能要求的功能组件标准化模板

———:。。

2

这些功能组件按类和族的方式进行结构化组织通过组件选择细化裁剪等方式构造出具体

,、、

的安全功能要求

。

第部分安全保障组件旨在建立一套可用于描述安全保障要求的保障组件标准化模板

———3:。。

这些安全保障组件按类和族的方式进行结构化组织定义了针对和进行评估的

,PP、STTOE

准则通过组件选择细化裁剪等方式构造出具体的安全保障要求

,、、。

第部分评估方法和活动的规范框架旨在为规范评估方法和活动提供一个标准化框架

———4:。。

这些评估方法和活动包含在及任意支持这些方法和活动的文档中供评估者基于

、,

PPST

的其他部分中描述的模型开展评估工作

/。

GBT18336

第部分预定义的安全要求包旨在提供利益相关者通常使用的安全保障要求和安全功能

———5:。

要求的包提供的包示例包括评估保障级和组合保障包

,(EAL)(CAP)。

定义了术语包并描述了基本概念

GB/T18336.1—2024“”。

注本文件在某些情况下使用粗体字和斜体字来区分术语和其余部分的文本族内组件之间的关系约定使用粗体

:。

突出显示对所有新的要求也约定使用粗体字对于分层的组件当要求被增强或修改且超出了前一个组件

,。,,

的要求时以粗体显示此外除了前面的组件之外任何新的或增强的允许的操作也会使用粗体突出显示

,。,,。

约定使用斜体来表示具有精确含义的文本对于安全保障要求该约定也适用于与评估相关的特殊动词

。,。

Ⅴ

GB/T183365—2024/ISO/IEC15408-52022

.:

网络安全技术信息技术安全评估准则

第5部分预定义的安全要求包

:

1范围

本文件给使用者提供了通用的安全保障要求包和安全功能要求包

。

示例

:

提供了评估保障级和组合保障包

(EAL)(CAP)。

本文件描述了

:

评估保障级包明确规定了可在和中引用的预先定义的一系列安全保障组件

———(EAL),PPST

集这些组件也用于为评估提供适当的安全保障

,TOE;

组合保障包明确规定了组合评估所需的一系列安全保障组件集

———(CAP),TOE;

复合产品包明确规定了复合产品评估所需的一系列安全保障组件集

———(COMP),TOE;

保护轮廓保障包明确规定了保护轮廓评估所需的一系列安全保障组件集

———(),;

PPA

安全目标保障包明确规定了安全目标评估所需的一系列安全保障组件集

———(),。

STA

本文件的读者包括安全信息技术产品的消费者开发者和评估者

、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

网络安全技术信息技术安全评估准则第部分简介和一般模型

GB/T18336.1—20241:

(/:,)

ISOIEC15408-12022IDT

信息安全网络安全和隐私保护信息技术安全评估准则第部分简介和

/、:

ISOIEC15408-11

一般模型

(Informationsecurity,cybersecurityandprivacyprotection—EvaluationcriteriaforITsecur-

ity—Part1:Introductionandgeneralmodel)

注网络安全技术信息技术安全评估准则第部分简介和一般模型

:GB/T18336.1—20241:(ISO/IEC15408-

1:2022,IDT)

信息安全网络安全和隐私保护信息技术安全评估准则第部分安全保

ISO/IEC15408-3、3:

障组件

(Informationsecurity,cybersecurityandprivacyprotection—EvaluationcriteriaforITsecuri-

ty—Part3:Securityassurancecomponents)

注网络安全技术信息技术安全评估准则第部分安全保障组件

:GB/T18336.3—20243:(ISO/IEC15408-3:

2022,IDT)

3术语和定义

界定的术语和定义适用于本文件

ISO/IEC15408-1、ISO/IEC15408-3。

注附录给出了本文件使用的缩略语

:NA。

1

GB/T183365—2024/ISO/IEC15408-52022

.:

4评估保障级

41族名

.

本族包的名称为评估保障级

(EAL)。

42评估保障级概述

.

421概述

..

评估保障级提供了一种递增的尺度以保障程度的获取成本和可行性来权衡保障级别

(EAL),。

中的方法确定了评估结束时不同级别的保障概念以及运行使用时维护

ISO/IEC15408-1TOE,TOE

该保障的概念

。

注并非所有中的族和组件都包含在中这并不意味着这些族和组件不提供有意义的和所

:/。

ISOIEC15408-3EAL