この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受領した特許宣言の ISO リスト ( www.iso.org/patents を参照)、または受領した特許宣言の IEC リスト ( https://patents.iec.ch )
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html IEC については、 www.iec.ch/ Understanding-standards を参照してください。
この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
ISO/IEC 15408 シリーズのすべての部品のリストは、ISO の Web サイトでご覧いただけます。
法的通知
以下に挙げる政府機関は、このバージョンの情報技術セキュリティ評価共通基準の開発に貢献しました。情報技術セキュリティ評価共通基準 (CC と呼ばれます) の著作権の共同所有者として、これらの企業は、ISO/IEC 15408 シリーズ規格の継続的な開発/保守において CC を使用するための非独占的ライセンスを ISO/IEC に付与します。 。ただし、これらの政府機関は、必要に応じて CC を使用、コピー、配布、翻訳、または変更する権利を保持します。
| オーストラリア | オーストラリア信号局 |
| カナダ | 通信セキュリティ確立 |
| フランス | 国立情報システム安全庁 |
| ドイツ | 連邦情報技術セキュリティ局 |
| 日本 | 情報処理推進機構 |
| オランダ | オランダ国家通信セキュリティ局 |
| ニュージーランド | 政府通信保安局 |
| 大韓民国 | 国家安全保障研究所 |
| スペイン | アスントス経済・デジタル変革大臣 |
| スウェーデン | FMV, スウェーデン国防資材局 |
| イギリス | 国家サイバーセキュリティセンター |
| アメリカ | 国家安全保障局 |
導入
このドキュメントは、セキュリティ要件の事前定義されたパッケージを提供します。このようなセキュリティ要件は、評価間の適合性を追求する利害関係者にとって有益です。セキュリティ要件のパッケージは、プロテクション プロファイル (PP) とセキュリティ ターゲット (ST) の開発の労力を軽減するのにも役立ちます。
ISO/IEC 15408-1 では、「パッケージ」という用語を定義し、基本的な概念を説明しています。
注この文書では、用語をテキストの残りの部分と区別するために、場合によっては太字や斜体を使用します。ファミリ内のコンポーネント間の関係は、太字の規則を使用して強調表示されます。この規則では、すべての新しい要件に太字を使用することが求められます。階層コンポーネントの場合、前のコンポーネントの要件を超えて拡張または変更された要件は太字で表示されます。さらに、以前のコンポーネントを超える新しいまたは拡張された許可された操作も太字で強調表示されます。
斜体の使用は、正確な意味を持つテキストを示します。セキュリティ保証要件の場合、評価に関連する特別な動詞に対する規則が適用されます。
1 スコープ
この文書は、利害関係者による共通の使用をサポートするのに役立つと特定されたセキュリティ保証およびセキュリティ機能要件のパッケージを提供します。
例
提供されるパッケージの例には、評価保証レベル (EAL) および複合保証パッケージ (CAP) が含まれます。
この文書では次の内容を説明します。
- 評価保証レベル (EAL)ファミリのパッケージ。PP および ST で参照されるセキュリティ保証コンポーネントの事前定義セットを指定し、評価対象 (TOE) の評価中に提供される適切なセキュリティ保証を指定します。
- 構成保証 (CAP)ファミリのパッケージ。構成された TOE の評価中に提供される適切なセキュリティ保証を指定するために使用されるセキュリティ保証コンポーネントのセットを指定します。
- 複合製品 TOE の評価中に提供される適切なセキュリティ保証を指定するために使用されるセキュリティ保証コンポーネントのセットを指定する複合製品 (COMP)パッケージ。
- 保護プロファイル評価中に提供される適切なセキュリティ保証を指定するために使用されるセキュリティ保証コンポーネントのセットを指定する、保護プロファイル保証 (PPA)ファミリのパッケージ。
- セキュリティ ターゲット保証(STA)ファミリのパッケージ。セキュリティ ターゲットの評価中に提供される適切なセキュリティ保証を指定するために使用されるセキュリティ保証コンポーネントのセットを指定します。
このドキュメントのユーザーには、安全な IT 製品の消費者、開発者、評価者が含まれます。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 15408-1:2022, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 ― IT セキュリティの評価基準 ― Part 1 部: 概要と一般モデル
- ISO/IEC 15408-3:2022, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 ― IT セキュリティの評価基準 ― Part 3: セキュリティ保証コンポーネント
3 用語と定義
この文書の目的上、ISO/IEC 15408-1 および ISO/IEC 15408-3 に記載されている用語、定義、および略語が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see https://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
A list of all parts in the ISO/IEC 15408 series can be found on the ISO website.
Legal notice
The governmental organizations listed below contributed to the development of this version of the Common Criteria for Information Technology Security Evaluations. As the joint holders of the copyright in the Common Criteria for Information Technology Security Evaluations (called CC), they hereby grant non-exclusive license to ISO/IEC to use CC in the continued development/maintenance of the ISO/IEC 15408 series of standards. However, these governmental organizations retain the right to use, copy, distribute, translate or modify CC as they see fit.
| Australia | The Australian Signals Directorate |
| Canada | Communications Security Establishment |
| France | Agence Nationale de la Sécurité des Systèmes d'Information |
| Germany | Bundesamt für Sicherheit in der Informationstechnik |
| Japan | Information-technology Promotion Agency |
| Netherlands | Netherlands National Communications Security Agency |
| New Zealand | Government Communications Security Bureau |
| Republic of Korea | National Security Research Institute |
| Spain | Ministerio de Asuntos Económicos y Transformación Digital |
| Sweden | FMV, Swedish Defence Materiel Administration |
| United Kingdom | National Cyber Security Centre |
| United States | The National Security Agency |
Introduction
This document provides pre-defined packages of security requirements. Such security requirements can be useful for stakeholders as they strive for conformity between evaluations. Packages of security requirements can also help reduce the effort in developing Protection Profiles (PPs) and Security Targets (STs).
ISO/IEC 15408-1 defines the term “package” and describes the fundamental concepts.
NOTE This document uses bold and italic type in some cases to distinguish terms from the rest of the text. The relationship between components within a family is highlighted using a bolding convention. This convention calls for the use of bold type for all new requirements. For hierarchical components, requirements are presented in bold type when they are enhanced or modified beyond the requirements of the previous component. In addition, any new or enhanced permitted operations beyond the previous component are also highlighted using bold type.
The use of italics indicates text that has a precise meaning. For security assurance requirements the convention is for special verbs relating to evaluation.
1 Scope
This document provides packages of security assurance and security functional requirements that have been identified as useful in support of common usage by stakeholders.
EXAMPLE
Examples of provided packages include the evaluation assurance levels (EAL) and the composed assurance packages (CAPs).
This document presents:
- evaluation assurance level (EAL) family of packages that specify pre-defined sets of security assurance components that may be referenced in PPs and STs and which specify appropriate security assurances to be provided during an evaluation of a target of evaluation (TOE);
- composition assurance (CAP) family of packages that specify sets of security assurance components used for specifying appropriate security assurances to be provided during an evaluation of composed TOEs;
- composite product (COMP) package that specifies a set of security assurance components used for specifying appropriate security assurances to be provided during an evaluation of a composite product TOEs;
- protection profile assurance(PPA) family of packages that specify sets of security assurance components used for specifying appropriate security assurances to be provided during a protection profile evaluation;
- security target assurance(STA) family of packages that specify sets of security assurance components used for specifying appropriate security assurances to be provided during a security target evaluation.
The users of this document can include consumers, developers, and evaluators of secure IT products.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 15408-1:2022, Information security, cybersecurity and privacy protection— Evaluation criteria for IT security — Part 1: Introduction and general model
- ISO/IEC 15408-3:2022, Information security, cybersecurity and privacy protection— Evaluation criteria for IT security — Part 3: Security assurance components
3 Terms and definitions
For the purposes of this document, the terms, definitions and abbreviated terms given in ISO/IEC 15408-1 and ISO/IEC 15408-3 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses: