GB/T 18336.1-2001
Tecnologías de la información--Técnicas de seguridad--Criterios de evaluación de la seguridad informática Parte 1: Introducción y modelo general (Versión en inglés)

Estándar No.
GB/T 18336.1-2001
Idiomas
Chino, Disponible en inglés
Fecha de publicación
2001
Organización
General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China
Estado
 2008-11
Remplazado por
GB/T 18336.1-2008
Ultima versión
GB/T 18336.1-2015
Alcance
GB/T 18336 define los criterios básicos para evaluar las características de seguridad de los productos y sistemas de tecnología de la información. Por razones históricas y de continuidad, todavía se llama Criterios Comunes (CC—Criterios Comunes). Al establecer una base de criterios común de este tipo, más personas podrán comprender los resultados de la evaluación de la seguridad de la tecnología de la información. Para las funciones de seguridad y las correspondientes medidas de garantía de los productos y sistemas de tecnología de la información en el proceso de evaluación de la seguridad, CC proporciona un conjunto de requisitos generales para que los resultados de varias evaluaciones de seguridad independientes sean comparables. El proceso de evaluación establece un nivel de confianza para las funciones de seguridad de los productos y sistemas y las medidas de aseguramiento correspondientes que cumplen con estos requisitos. Los resultados de la evaluación pueden ayudar a los usuarios a determinar si los productos y sistemas de tecnología de la información son lo suficientemente seguros para sus aplicaciones y si se pueden tolerar riesgos de seguridad ocultos durante su uso. CC se puede utilizar como guía para el desarrollo y adquisición de productos y sistemas con funciones de seguridad de tecnología de la información. En el proceso de evaluación, dichos productos y sistemas se denominan objetos de evaluación (TOE—Objetivo de evaluación), tales como: sistemas operativos, redes de computadoras, sistemas distribuidos y aplicaciones. CC implica la protección de la información para evitar la divulgación no autorizada, la modificación y la imposibilidad de utilizar los tipos de protección correspondientes que generalmente se denominan confidencialidad, integridad y disponibilidad, respectivamente. Además de los tres aspectos anteriores, CC también es aplicable a otros aspectos de la seguridad de la información. CC se centra en las amenazas a la información creadas por el hombre, ya sean maliciosas o no. Pero el CC también se puede utilizar para amenazas causadas por factores no humanos. Además, CC también se puede aplicar a otros campos de la tecnología de la información, pero para campos distintos de la seguridad de la tecnología de la información en sentido estricto, CC no asume compromisos. CC se aplica a las medidas de seguridad de tecnologías de la información implementadas en hardware, firmware y software. Cuando algunas evaluaciones específicas solo sean aplicables a determinados métodos de implementación, esto se indicará en las notas directrices pertinentes. Algunos contenidos no están dentro del alcance de CC porque involucra tecnología profesional especial o solo la tecnología periférica de seguridad de la tecnología de la información, por ejemplo: a) CC no incluye aquellas medidas de seguridad que no están directamente relacionadas con las medidas de seguridad de la tecnología de la información y son administrativas. Medidas de seguridad de gestión Criterios de evaluación. Sin embargo, se debe reconocer que una parte importante de la seguridad de los TOE se logra a través de medidas de seguridad administrativas como el monitoreo organizacional, personal, físico y de procedimientos. Cuando las medidas de seguridad administrativas afectan la capacidad de las medidas de seguridad de la tecnología de la información para contrarrestar las amenazas identificadas, dichas medidas de seguridad administrativas se consideran un requisito previo para el uso seguro de TOE en el entorno operativo de TOE. B) Para la evaluación de los aspectos físicos de la seguridad de TI (como el control de la radiación electromagnética), aunque muchos conceptos de CC son aplicables, no son específicos de este campo, pero algunos aspectos de la protección física del TOE también están específicamente involucrados. C) CC no involucra metodología de evaluación, ni involucra el modelo de gestión o marco legal para que las agencias de evaluación usen esta regla, pero se espera que CC pueda usarse para evaluación en un entorno con dicho marco y metodología. D) El proceso de evaluación de resultados para la aprobación de productos y sistemas no está dentro del alcance de CC. La aprobación de productos y sistemas es el proceso de gestión administrativa mediante el cual se autoriza el uso de productos y sistemas de tecnología de la información en todo su entorno operativo. La evaluación se centra en la parte de seguridad de las tecnologías de la información de los productos y sistemas, así como en aquellos entornos operativos que afectan directamente el uso seguro de los elementos de las tecnologías de la información, por lo que los resultados de la evaluación son una base efectiva para el proceso de acreditación. Sin embargo, cuando otras tecnologías sean más adecuadas para evaluar las características de seguridad de sistemas o productos no relacionados con las tecnologías de la información y su relación con la seguridad de las tecnologías de la información, el acreditador aprobará por separado estos aspectos. E) CC no incluye criterios para evaluar la calidad inherente de los algoritmos criptográficos. Si se requiere una evaluación separada de las propiedades criptomatemáticas incluidas en el TOE, dicha evaluación debe proporcionarse en el régimen de evaluación utilizando el CC.

GB/T 18336.1-2001 Historia

  • 2015 GB/T 18336.1-2015 Tecnologías de la información. Técnicas de seguridad. Criterios de evaluación de la seguridad informática. Parte 1: Introducción y modelo general.
  • 2008 GB/T 18336.1-2008 Tecnologías de la información. Técnicas de seguridad. Criterios de evaluación de la seguridad informática. Parte 1: Introducción y modelo general.
  • 2001 GB/T 18336.1-2001 Tecnologías de la información--Técnicas de seguridad--Criterios de evaluación de la seguridad informática Parte 1: Introducción y modelo general

GB/T 18336.1-2001 - Все части

GB/T 18336.1-2015 Tecnologías de la información. Técnicas de seguridad. Criterios de evaluación de la seguridad informática. Parte 1: Introducción y modelo general. GB/T 18336.2-2015 Tecnologías de la información. Técnicas de seguridad. Criterios de evaluación de la seguridad informática. Parte 2: Componentes funcionales de seguridad. GB/T 18336.3-2015 Tecnologías de la información. Técnicas de seguridad. Criterios de evaluación de la seguridad informática. Parte 3: Componentes de aseguramiento de la seguridad.


© 2023 Reservados todos los derechos.