Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
CAN CSA ISO IEC TR 15446-10 (2015) 技术详解:保护轮廓与安全目标编写指南
为通用准则(CC)评估下的产品安全认证提供系统化指导
随着信息产品安全认证需求的日益增长,保护轮廓(PP)和安全目标(ST)已成为通用准则(CC)评估体系中的核心文档。CAN CSA ISO IEC TR 15446-10 (2015) 是加拿大标准协会(CSA)采纳的国际技术报告,为PP和ST的格式、内容和编写过程提供了系统化、结构化的指导。该标准等效采用 ISO/IEC TR 15446:2015,并根据加拿大国情增加了前言和相关说明。本文将从标准概况、技术内容、实施要点及其与其他标准的关系等方面进行详细解读,帮助安全从业者高效掌握并应用该标准。
1. 标准概况与适用范围
CAN CSA ISO IEC TR 15446-10 (2015) 由国际标准化组织/国际电工委员会第一联合技术委员会信息安全分委会(ISO/IEC JTC 1/SC 27)制定,并由加拿大标准协会采纳为国家技术报告。该标准的全称为《信息技术 — 安全技术 — 保护轮廓(PP)和安全目标(ST)编写指南》。
1.1 标准背景与目的
在通用准则(CC)评估框架下,PP和ST是进行安全认证的基础文档。PP描述了一类产品或系统所需的安全特性,ST则声明特定产品或系统的安全功能和保证措施。一张编写不规范或不完整的PP或ST可能导致评估延迟、成本增加甚至认证失败。该标准的发布旨在统一编写方法,提高文档质量,从而提高CC评估的效率和一致性。
1.2 适用范围
该标准适用于所有准备参与CC评估的组织,包括:
- 产品开发者:编写ST以声明产品的安全属性;
- 消费者与用户:制定或选择PP以明确采购需求;
- 评估机构与认证机构:作为PP/ST评估的参考依据;
- 安全顾问与研究人员:理解CC文档结构及其要求。
该标准不限定产品类型或技术领域,适用于硬件、软件、固件及多种组合形式的信息技术产品。
提示: 在使用本标准之前,建议先熟悉 ISO/IEC 15408(通用准则)的基本概念和术语,因为 TR 15446 是对 CC 的应用补充。
2026 年更新: 随着 CC 3.0 版本的发布,本标准相关内容可能需要与最新 CC 版本配合使用,关注 CSA 后续的修订通知。
2026 年更新: 随着 CC 3.0 版本的发布,本标准相关内容可能需要与最新 CC 版本配合使用,关注 CSA 后续的修订通知。
2. 主要技术内容与要求
该标准从PP和ST的生命周期出发,详细阐述了文档编写的过程、结构和内容要求。核心内容包括安全问题的定义、安全目的的构建、安全功能要求(SFR)和安全保证要求(SAR)的选择与精炼等。
2.1 文档结构与组成部分
标准推荐PP和ST应包含以下基本部分:
- 文档简介: 包括标识、版本、审核信息;
- 安全环境: 描述资产的假设、威胁和组织安全策略;
- 安全目的: 用于应对威胁和实现策略;
- 安全要求: 包含SFR和SAR,可从CC组件中选取或精炼;
- 附录: 可包含理论基础、PP依赖关系等。
2.2 保护轮廓(PP)与安全目标(ST)对比
| 要素 | 保护轮廓(PP) | 安全目标(ST) |
|---|---|---|
| 定义 | 一组独立于实现的保护需求集合 | 特定产品/系统的安全声明与实现证明 |
| 主要受众 | 消费者、开发者、评估者 | 评估者、认证机构 |
| 内容重点 | 安全问题定义、安全目的、安全要求 | ST简介、安全环境、安全目的、安全要求、PP声明(如适用)、安全实现说明 |
| 复用性 | 高,可作为模板用于多个ST | 低,专用且限于特定评估实例 |
| 评估类型 | PP评估(可选但推荐) | ST评估(必须) |
2.3 编写流程与关键步骤
标准提供了从识别安全环境到编写完成文档的迭代过程:
- 定义安全环境: 识别资产、假设、威胁和组织安全策略;
- 构建安全目的: 针对每个威胁和策略制定可衡量的安全目标;
- 选择安全要求: 基于安全目的从CC组件中选取适当的SFR和SAR;
- 精炼要求: 对所选要求进行赋值、选择和细化,确保充分覆盖安全目的;
- 编写理论基础: 说明安全要求如何满足安全目的,以及安全目的如何应对威胁;
- 文档集成与审查: 确保整个文档的一致性和完整性。
注意事项:
– 避免使用模糊或不可验证的安全目的,如“提供足够的安全性”。每个安全目的必须可测试、可评估。
– 选择SFR时,应优先使用CC部件库中的标准组件,减少自定义组件的使用,以降低评估风险。
– 当编写PP声明部分时,必须明确引用所遵循的PP及其版本,并处理任何适用性偏差。
– 避免使用模糊或不可验证的安全目的,如“提供足够的安全性”。每个安全目的必须可测试、可评估。
– 选择SFR时,应优先使用CC部件库中的标准组件,减少自定义组件的使用,以降低评估风险。
– 当编写PP声明部分时,必须明确引用所遵循的PP及其版本,并处理任何适用性偏差。
3. 实施/应用要点
正确实施该标准能够显著提升PP/ST文档的质量,降低认证过程中的不确定性。以下是实施过程中的关键要点:
3.1 团队能力与培训
编写团队应熟悉CC系列标准(ISO/IEC 15408、ISO/IEC 18045)以及本技术报告。建议参加正式培训或借助标准附录中的核对表进行自检。
3.2 工具与模板的使用
标准推荐使用标准化的模板和工具来管理PP/ST文档。一些国家和地区提供在线编辑器和验证工具,可自动检查文档结构完整性和语法合规性。
3.3 常见误区与避免方法
- 误区一: 将安全要求堆砌而不分析覆盖性。
避免: 编制安全要求与安全目的之间的映射矩阵,确保每项安全目的至少被一条安全要求覆盖。 - 误区二: 忽略安全环境的更新。
避免: 在需求变化或风险评估更新后,重新审视安全环境和安全目的,保持ST与实际产品一致。
采用本标准的主要益处:
– 提高PP/ST文档的完整性和一致性,减少评估反复;
– 缩短认证周期,降低认证成本;
– 便于消费者横向比较不同产品的安全特性;
– 促进安全需求的复用,推动行业安全标准化。
– 提高PP/ST文档的完整性和一致性,减少评估反复;
– 缩短认证周期,降低认证成本;
– 便于消费者横向比较不同产品的安全特性;
– 促进安全需求的复用,推动行业安全标准化。
安全关键要求:
ST中的安全声明必须真实、准确地反映产品的实际安全功能。任何虚假或遗漏的声明都可能导致评估不通过,甚至引发法律风险。在编写和审核ST时,应确保开发团队与安全评估团队之间充分沟通,避免出现产品实现与文档脱节。
ST中的安全声明必须真实、准确地反映产品的实际安全功能。任何虚假或遗漏的声明都可能导致评估不通过,甚至引发法律风险。在编写和审核ST时,应确保开发团队与安全评估团队之间充分沟通,避免出现产品实现与文档脱节。
4. 与其他标准的关系
CAN CSA ISO IEC TR 15446-10 (2015) 并非独立存在,而是嵌入在更广泛的标准体系中:
- ISO/IEC 15408 系列(通用准则)
TR 15446 是 CC 的直接应用指南,帮助用户理解和使用 CC 中的安全部件编写 PP/ST。在评估中,PP 和 ST 必须符合 CC 的定义和格式要求。 - ISO/IEC 18045(CC评估方法)
该标准规定了评估PP/ST的具体方法。TR 15446 与 CEM(通用评估方法)配合使用,使文档编写与后续评估无缝衔接。 - ISO/IEC 27000 系列(信息安全管理体系)
尽管PP/ST主要用于产品认证,但其安全目的和安全要求可以借鉴 ISMS 中的控制目标和措施,尤其对于集成管理系统的产品。 - ISO/IEC 19790 / FIPS 140-3(加密模块)
对于加密产品的PP/ST,常需引用这些模块安全标准中的要求,形成更完整的保护轮廓。
在加拿大,该标准还与联邦政府的安全认证政策(如 ITSG-33)相关联,为政府机构采购安全产品提供技术基础。
实践建议: 在编写 PP/ST 前,先检索已有的国际注册PP(如 SOG-IS PPs 或 NIAP PPs),复用经批准的PP可以大幅减少编写工作量,同时提高评估成功率。
常见问题(FAQ)
问: CAN CSA ISO IEC TR 15446-10 (2015) 与 ISO/IEC TR 15446 有何区别?
答: 该标准是加拿大采纳的版本,在技术内容上与 ISO/IEC TR 15446:2015 完全一致。加拿大标准协会(CSA)增加了一份国家前言,可能包含针对加拿大认证体系(如加拿大通信安全机构(CSE)要求)的补充说明。编号中的“-10”是 CSA 标准体系中的版本或部分标识,具体可参考 CSA 发布时的标题页说明。
答: 该标准是加拿大采纳的版本,在技术内容上与 ISO/IEC TR 15446:2015 完全一致。加拿大标准协会(CSA)增加了一份国家前言,可能包含针对加拿大认证体系(如加拿大通信安全机构(CSE)要求)的补充说明。编号中的“-10”是 CSA 标准体系中的版本或部分标识,具体可参考 CSA 发布时的标题页说明。
问: 该标准是否强制要求PP/ST按特定结构编写?
答: 是的,标准推荐了明确的结构和内容要求。虽然不同的认证方案可能略有调整,但遵循本标准的结构可以确保 PP/ST 满足 CC 评估的基础要求,提高文档的完整性和可评估性。强烈建议所有编写人员严格遵循附录中的核对表,以避免遗漏关键要素。
答: 是的,标准推荐了明确的结构和内容要求。虽然不同的认证方案可能略有调整,但遵循本标准的结构可以确保 PP/ST 满足 CC 评估的基础要求,提高文档的完整性和可评估性。强烈建议所有编写人员严格遵循附录中的核对表,以避免遗漏关键要素。
问: 小微企业如何有效利用本标准编写ST?
答: 小微企业可以从以下步骤入手:首先选择一个与自身产品相关的、已经注册的PP作为起点;然后参照本标准中关于ST编写的章节,重点完成“ST简介”和“安全环境”部分;接着利用“安全要求选择”指导,从组件库中选取适用的SFR/SAR;最后使用附录中的理论基础示例完善文档。利用在线模板工具可以进一步提升编写效率,降低学习门槛。
答: 小微企业可以从以下步骤入手:首先选择一个与自身产品相关的、已经注册的PP作为起点;然后参照本标准中关于ST编写的章节,重点完成“ST简介”和“安全环境”部分;接着利用“安全要求选择”指导,从组件库中选取适用的SFR/SAR;最后使用附录中的理论基础示例完善文档。利用在线模板工具可以进一步提升编写效率,降低学习门槛。
