この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、ISO/IEC 15408-1, ISO/IEC 15408-2, ISO/IEC 15408-3, ISO/IEC 15408-4, ISO/IEC 15408-5, ISO/ IEC IEEE 24765 および以下が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
チェック
<評価> 単純な比較によって判定を生成します
注記 1:評価者の専門知識は必要ありません。この動詞を使用するステートメントは、マップされる内容を説明します。
3.2
確認する
<評価> 十分性について独立した判断を下して、何かが詳細にレビューされていることを宣言します。
グレード 1 から入門まで:必要な厳密さのレベルは、主題の性質によって異なります。
3.3
実演する
<評価> は、「証明」ほど厳密ではない分析によって得られた結論を提供します。
3.4
説明する
<評価> はエンティティの具体的な詳細を提供します
3.5
決定する
<評価> 特定の結論に達することを目的とした、独立した分析に基づいて特定の結論を肯定すること
注記 1:この用語の使用は、通常、以前に分析が実行されていない場合の、真に独立した分析を意味します。 「確認」(3.2) または「検証」という用語と比較してください。これらは、レビューが必要な分析がすでに実行されていることを意味します。
3.6
潜在的な脆弱性に遭遇しました
セキュリティ機能要件 (SFR) に違反するために使用される可能性のある、評価活動の実行中に評価者によって特定された評価対象 (TOE) の潜在的な弱点
3.7
確保する
<評価> は、アクションとその結果の間の強い因果関係を保証します。
注記 1: 「ensure」の前に「help」という単語が付いている場合は、その行為だけでは結果が完全に確実ではないことを示します。
3.8
評価証拠
評価活動の評決を確立するための基礎として使用される項目
3.9
診る
<評価> 評価者の専門知識を使用した分析によって評決を生成します
項目への注記 1:この動詞を使用するステートメントは、分析対象と分析対象のプロパティを識別します。
3.10
徹底的な
<評価> 明確な計画に従って分析または活動を実行するために取られる体系的なアプローチの特徴
注記 1:この用語は、分析またはその他の活動の実施に関して、ISO/IEC 15408 シリーズのそれぞれの部分で使用されます。これは「体系的」に関連していますが、明確な計画に従って分析または活動を実行するために体系的なアプローチが取られていることを示すだけでなく、従った計画が(3.7)を確保するのに十分であることを示すという点で、かなり強力です。 )あらゆる可能な手段が講じられたこと。
3.11
説明する
<評価> 一連の行動をとる理由を説明する引数を与える
注記 1:この用語は、「 describe 」(3.4) および「de演示」(3.3) の両方とは異なります。 「なぜ?」という疑問に答えることを目的としています。実際にとられた行動方針が必然的に最適であったと主張しようとするつもりはない。
3.12
正当化する
<評価> 十分な理由を提供する根拠を提供する
注記 1: 「正当化する」という用語は、「実証する」よりも厳密です (3.3)この用語は、結論に至る論理分析の各ステップを非常に注意深く徹底的に説明する(3.11) という点で、かなりの厳密さを必要とします。
3.13
監視攻撃
ガイダンス文書に対応した方法で TOE を操作することにより、評価対象 (TOE) の内部機密データの漏洩を目的とした受動的分析手法を含む攻撃手法の総称。
3.14
観察報告書
or
説明を要求するか、評価中に問題を特定するために評価者によって書かれたレポート
3.15
監督評決
評価監督活動の結果に基づいて全体的な評決を確認または拒否する、評価当局によって発行される声明
3.16
証明する
<評価> 数学的な意味での形式的解析による対応を示す
注記 1:あらゆる点で完全に厳密です。通常、「証明する」という用語は、2 つの評価対象 (TOE) のセキュリティ機能 (TSF) 表現間の対応関係を高レベルの厳密さで示したい場合に使用されます。
3.17
記録
<評価> 評価中に実行された作業を後で再構築できるように、手順、イベント、観察、洞察、および結果の書面による説明を十分に詳細に保持します。
3.18
報告
<評価> 評価技術報告書、観察報告書(3.14) または評価機関報告書 (評価機関の報告書) に評価結果と裏付け資料を含める
3.19
特定
<評価> エンティティに関する具体的な詳細を厳密かつ正確な方法で提供します。
3.20
痕跡
<評価> 2 つのエンティティ セット間の関係を確立し、最初のセットのどのエンティティが 2 番目のセットのどのエンティティに対応するかを示します。
3.21
評決
評価者のアクション要素、保証コンポーネント、またはクラスに関して評価者によって発行されるステートメント
3.22
確認する
<評価> 十分性を独自に判断し、詳細に厳しく審査する
注記 1: 「確認」 (3.2) も参照。この用語には、より厳密な意味合いが含まれています。 「検証」という用語は、評価者の独立した努力が必要な評価者のアクションのwhere で使用されます。
3.23
チャンスの窓
攻撃者が評価対象 (TOE) にアクセスできる期間
項目への注記 1:
3.24
ワークユニット
最も詳細なレベルの評価作業
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 15408-1, ISO/IEC 15408-2, ISO/IEC 15408-3, ISO/IEC 15408-4, ISO/IEC 15408-5, ISO/IEC IEEE 24765 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
check
<evaluation> generate a verdict by a simple comparison
Note 1 to entry: Evaluator expertise is not required. The statement that uses this verb describes what is mapped.
3.2
confirm
<evaluation> declare that something has been reviewed in detail with an independent determination of sufficiency
Note 1 to entry: The level of rigour required depends on the nature of the subject matter.
3.3
demonstrate
<evaluation> provide a conclusion gained by an analysis which is less rigorous than a “proof”
3.4
describe
<evaluation> provide specific details of an entity
3.5
determine
<evaluation> affirm a particular conclusion based on independent analysis with the objective of reaching a particular conclusion
Note 1 to entry: The usage of this term implies a truly independent analysis, usually in the absence of any previous analysis having been performed. Compare with the terms “confirm” (3.2) or “verify” which imply that an analysis has already been performed which needs to be reviewed.
3.6
encountered potential vulnerability
potential weakness in the target of evaluation (TOE) identified by the evaluator while performing evaluation activities that can be used to violate the security functional requirements (SFRs)
3.7
ensure
<evaluation> guarantee a strong causal relationship between an action and its consequences
Note 1 to entry: When “ensure” is preceded by the word “help” it indicates that the consequence is not fully certain, on the basis of that action alone.
3.8
evaluation evidence
item used as a basis for establishing the verdict of an evaluation activity
3.9
examine
<evaluation> generate a verdict by analysis using evaluator expertise
Note 1 to entry: The statement that uses this verb identifies what is analysed and the properties for which it is analysed.
3.10
exhaustive
<evaluation> characteristic of a methodical approach taken to perform an analysis or activity according to an unambiguous plan
Note 1 to entry: This term is used in respective parts of the ISO/IEC 15408 series with respect to conducting an analysis or other activity. It is related to “systematic” but is considerably stronger, in that it indicates not only that a methodical approach has been taken to perform the analysis or activity according to an unambiguous plan, but that the plan that was followed is sufficient to ensure (3.7) that all possible avenues have been exercised.
3.11
explain
<evaluation> give argument accounting for the reason for taking a course of action
Note 1 to entry: This term differs from both “describe” (3.4) and “demonstrate” (3.3). It is intended to answer the question “Why?” without actually attempting to argue that the course of action that was taken was necessarily optimal.
3.12
justify
<evaluation> provide a rationale providing sufficient reason
Note 1 to entry: The term ‘justify’ is more rigorous than ‘demonstrate’ (3.3). This term requires significant rigour in terms of very carefully and thoroughly explaining (3.11) every step of a logical analysis leading to a conclusion.
3.13
monitoring attack
generic category of attack methods that includes passive analysis techniques aiming at disclosure of sensitive internal data of the target of evaluation (TOE) by operating the TOE in the way that corresponds to the guidance documents
3.14
observation report
or
report written by the evaluator requesting a clarification or identifying a problem during the evaluation
3.15
oversight verdict
statement issued by an evaluation authority confirming or rejecting an overall verdict based on the results of evaluation oversight activities
3.16
prove
<evaluation> show correspondence by formal analysis in its mathematical sense
Note 1 to entry: It is completely rigorous in all ways. Typically, the term “prove” is used when there is a desire to show correspondence between two target of evaluation (TOE) security functionality (TSF) representations at a high level of rigour.
3.17
record
<evaluation> retain a written description of procedures, events, observations, insights, and results in sufficient detail to enable the work performed during the evaluation to be reconstructed at a later time
3.18
report
<evaluation> include evaluation results and supporting material in the evaluation technical report, an observation report (3.14) or an evaluation authority report (report of the evaluation authority)
3.19
specify
<evaluation> provide specific details about an entity in a rigorous and precise manner
3.20
trace
<evaluation> establish a relation between two sets of entities, which shows which entities in the first set correspond to which entities in the second
3.21
verdict
statement issued by an evaluator with respect to evaluator action element, assurance component, or class
3.22
verify
<evaluation> rigorously review in detail with an independent determination of sufficiency
Note 1 to entry: Also see “confirm” (3.2). This term has more rigorous connotations. The term “verify” is used in the context of evaluator actions where an independent effort is required of the evaluator.
3.23
window of opportunity
period of time that an attacker has access to the target of evaluation (TOE)
Note 1 to entry:
3.24
work unit
most granular level of evaluation work