この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
このテクニカル レポートは、運用システムのセキュリティ アセスメント (評価) を可能にするために、ISO/IEC 15408 の拡張を定義するサポート ドキュメントです。 ISO/IEC 15408 は、現在定義されているように、製品およびシステムに存在する IT セキュリティ機能を指定するためのサポートを提供します。ただし、そのようなシステムを効果的に評価するために正確に指定する必要がある、運用システムの特定の重要な側面を捉えていません。
このテクニカル レポートは、そのようなシステムの情報技術と運用面の両方を評価するための広範な評価基準とガイダンスを提供します。主に、運用システムの開発、統合、展開、およびセキュリティ管理に携わる人々、およびそのようなシステムに ISO/IEC 15408 を適用しようとしている評価者を対象としています。これは、評価者のアクションを承認および確認する責任を負う評価機関に関連します。評価のスポンサー、および運用システムのセキュリティに関心のあるその他の関係者は、背景情報の二次的な対象者となります。
このプロジェクトの複雑さと追加作業の必要性を考慮して、ターゲットはテクニカル レポート タイプ 2 と定義されました。運用システムの評価をサポートするために、この技術レポートを国際規格に変換します。アプローチの形式化が実行されるまでは、利用可能な特定のガイダンスが不足しているため、この種の運用システムの評価が多く行われる可能性は低いと考えられます。このテクニカル レポートは、このギャップを埋めるように設計されています。
システムという用語の定義と使用に関しては、基本的な問題があります。 ISO/IEC 15408, with its focus on product assessment, uses the term system to include only information technology (IT) the system of the system.運用システムという用語は、この Technical Report 内で使用されているように、人員、手順、およびテクノロジーベースの機能およびメカニズムと統合されたプロセスを一緒に適用して、定義された運用環境で許容レベルの残留リスクを確立します。
これは、ISO/IEC 15408 の第 3 版との互換性のために更新された改訂版です。
Introduction
This Technical Report is a support document that defines extensions to ISO/IEC 15408 to enable the security assessment (evaluation) of operational systems. ISO/IEC 15408, as currently defined, provides support for specifying the IT security functionality that exists in products and systems. However, it does not capture certain critical aspects of an operational system that must be precisely specified in order to effectively evaluate such a system.
This Technical Report provides extended evaluation criteria and guidance for assessing both the information technology and the operational aspects of such systems. It is primarily aimed at those who are involved in the development, integration, deployment and security management of operational systems, as well as evaluators seeking to apply ISO/IEC 15408 to such systems. It will be relevant to evaluation authorities responsible for approving and confirming evaluator actions. Evaluation sponsors, and other parties interested in operational system security, will be a secondary audience, for their background information.
Considering the complexity of this project and the need for additional work, the target has been defined to be a Technical Report Type 2. In the future, once additional experience has been gained in this area, it is hoped that it may be possible to convert this Technical Report into an International Standard to support evaluations of operational systems. Until some formalisation of an approach is performed, it is considered unlikely that many operational system evaluations of this nature will be undertaken due to the lack of specific guidance available, a gap that this Technical Report is designed to fill.
There are fundamental issues in regards to the definition and use of the term system. ISO/IEC 15408, with its focus on product evaluation, uses the term system to include only the information technology (IT) aspects of the system. The term operational system, as used within this Technical Report, covers the combination of personnel, procedures and processes integrated with technology-based functions and mechanisms, applied together to establish an acceptable level of residual risk in a defined operational environment.
This is a revised edition, updated for compatibility with the third edition of ISO/IEC 15408.