この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
1 スコープ
このテクニカル レポートは、運用システムのセキュリティ評価のガイダンスと基準を提供します。これは、ISO/IEC 15408 評価では扱われていない運用システムの重要な側面を考慮に入れることにより、ISO/IEC 15408 の範囲を拡張します。必要とされる主な拡張機能は、評価対象を取り巻く運用環境の評価と、複雑な運用システムを個別に評価できるセキュリティ ドメインに分解することです。
このテクニカル レポートは、
- a)運用システムの定義とモデル、
- b)そのような運用システムを評価するために必要な ISO/IEC 15408 評価概念への拡張の説明、
- c)運用システムのセキュリティ評価を実行するための方法論とプロセス、
- d) ISO/IEC 15408 評価基準でカバーされていない運用システムの側面に対処するための追加のセキュリティ評価基準。
このテクニカル レポートは、ISO/IEC 15408 に対して評価されたセキュリティ製品を、このテクニカル レポートを使用して全体として評価された運用システムに組み込むことを許可します。
このテクニカル レポートは運用システムのセキュリティ評価に限定されており、他の形式のシステム評価は考慮していません。オペレーショナル リスクの特定、評価、および容認の手法は定義されていません。
1 Scope
This Technical Report provides guidance and criteria for the security evaluation of operational systems. It provides an extension to the scope of ISO/IEC 15408, by taking into account a number of critical aspects of operational systems not addressed in ISO/IEC 15408 evaluation. The principal extensions that are required address evaluation of the operational environment surrounding the target of evaluation, and the decomposition of complex operational systems into security domains that can be separately evaluated.
This Technical Report provides
- a) a definition and model for operational systems,
- b) a description of the extensions to ISO/IEC 15408 evaluation concepts needed to evaluate such operational systems,
- c) a methodology and process for performing the security evaluation of operational systems,
- d) additional security evaluation criteria to address those aspects of operational systems not covered by the ISO/IEC 15408 evaluation criteria.
This Technical Report permits the incorporation of security products evaluated against ISO/IEC 15408 into operational systems evaluated as a whole using this Technical Report.
This Technical Report is limited to the security evaluation of operational systems and does not consider other forms of system assessment. It does not define techniques for the identification, assessment and acceptance of operational risk.