國際標準『ISO/IEC 15408』的介紹 ISO/IEC 15408  Information technology ─ Security techniques ─Evaluation Criteria for IT Security 報 告 人 高國寶 中 華 民 國 九十年 十二月 15408

報告內容(Contents)大綱 概論(part 1~part 3) Part two Part three 結論

概 論

ISO 15408 簡要說明 ISO/IEC 15408是由下面三個部份所組成： 第一部份(Part 1)：介紹及一般化模型 (Introduction & General Model) •定義IT安全評估並提供評估模式的一般概念及原則 第二部份(Part 2)：安全之功能需求（Security functional requirements） •建立一組功能元件作為表達TOE功能要求的標準 第三部份(Part 3)：安全之保證需求（Security assurance requirements） •建立一組保證元件作為表達TOE功能要求的標準

「共通規範計畫」的推動 由七個政府組織加以贊助，這些組織共同擁有「資訊技術安全評估之共通準則」（簡稱「CC 」）的版權，並同意作為日後持續發展與維護 ISO/IEC 15408 國際標準之共享許可。然而，這些贊助組織仍保有使用、複製、散佈、翻譯或在適當時候具有修改 CC 的權利。 (有關「共通規範計畫之贊助組織」的詳細資料交代請參考第一部份(Part 1)的附錄 A。

贊助CC的組織有 加拿大的“通訊安全機構” 法國的“安全系統資訊服務中心” 德國的“聯邦資訊技術安全署” 荷蘭的“國家通訊安全局” 英國的“通訊電子安全部” 美國的國家標準及技術委員會(NIST) 美國的國家安全局(NSA) 。

範圍(Scope)  標準ISO/IEC 15408定義成“準則”，共通準則（Common Criteria，簡稱CC）是作為評估資訊技術產品和系統安全性質(for evaluation of security properties of IT products and systems) 的基礎之用，並藉由制定這種共通準則的基礎，促使 IT 安全評估的結果能對更多人來說是有意義的。  在評估程序中制定了信任度等級（level of confidence），表示這個產品和系統的安全功能與使用這些安全功能來滿足需求的保證度措施（assurance measures）；而評估的結果將有助於消費者決定 IT 產品或系統對他們預期的應用是否有足夠的安全及是否能容忍使用時所具有的潛在安全風險（security risk）。  CC 對發展具有 IT 安全功能的產品或系統及採購具有這種功能的商業產品/系統是相當有用的導引（guide）。在評估期間，這種 IT 產品或系統就稱為評估目標（Target Of Evaluation；TOE），包括了：作業系統、電腦網路、分散式系統和應用程式等皆可被看成是進行評估的主體對象。  CC 說明對資訊的保護，這些保護使資訊不致遭到未經授權之公佈、修改或遺失。相對上述安全的失敗有關的三種保護型態，一般分別稱為機密性（confidentiality）、完整性（integrity）和可用性（availability）。

範圍(Scope)  共通準則（Common Criteria，簡稱CC）能應用於任何以硬體（hardware）、韌體（firmware）或軟體（software）所實現之 IT 安全措施。  某些主題因為涉及（或包括）特殊化技術或對 IT 安全來說是次要的，故不在 CC 範圍之內。下面舉些實例加以說明： (1) CC 不包括與 IT 安全措施沒有直接相關的管理上安全措施之安全評估 規範。 (2) 不會特別地包含評估 IT 安全在實體的(physical)技術觀點（例如：電磁發 射控制）。 (3) CC 在評估監督機構使用的規範中，既不會說明評估方法也不會說明管理 上及法律上的架構（framework）。 (4) 對使用評估結果於產品或系統的認證（accreditation）之使用程序，不在 CC 所討論的範圍之內。 (5) 評估密碼演算法具有的品質之規範主題並不包括在 CC 之中。

常用縮寫 (1) CC ─ 共通準則（Common Criteria） (2) EAL ─ 評估保證等級（Evaluation Assurance Level） (3) IT ─ 資訊技術（Information Technology） (4) PP ─ 保護剖繪（Protection Profile） (5) SF ─ 安全功能（Security Function） (6) SFP ─ 安全功能政策（Security Function Policy） (7) SOF ─ 功能強度（Strength Of Function） (8) ST ─ 安全目標（Security Target） (9) TOE ─ 評估目標（Target Of Evaluation） (10) TSC ─ TSF 控制範圍（TSF Scope of Control） (11) TSF ─ TOE 安全功能（TOE Security Functions） (12) TSFI ─ TSF 界面（TSF Interface） (13) TSP ─ TOE 安全政策（TOE Security Policy）

共通準則藍圖(Roadmap) 註: 對評估 IT 產品和系統的安全性質有關係的人大致有三種： TOE 消費者、 （ Consumers ） 發展者 Developers 評估者 Evaluators Part 1 作為背景資料及參 考用途 。是構成 PPs 之導引文件 。 作為 TOEs 需求發展 及闡述安全規格之背 景資料和參考文件 及 STs 之導 引文件 Part 2 作為闡述安全功能 需求敘述之導引和 參考文件 作為解釋 功能 需求的敘述及闡述其 功能規格之參考文 件 作為評估規範決定 TOE 是否有效地符 合所聲明的安全功 能時的強制性敘述 Part 3 作為決定所需的保 證等級之導引文 保證 需求的敘述及決定其 保證方法之參考文 在評估 保證等級時 的強制性敘述 註: 對評估 IT 產品和系統的安全性質有關係的人大致有三種： TOE 消費者、 TOE 發展者（developers）及 TOE 評估者（evaluators）。這份已結構化文 件所提出的規範皆能滿足這三種人的要求，而且他們都是 CC 的主要使用者

概論(Overview)  當 CC 以 TOE 之 IT 安全性質的規格和評估為目的時，它也可能對所有與 IT 安全有責任或有關的團體是有用的參考資料。 其它有關係的團體或人員（Others）也可以從 CC 內含的資訊中獲得益處： a) 須對決定及達成組織 IT 安全政策負責的系統管理者（custodians） 和系統安全人員（security officer）； b) 須對評估系統安全的適當性負責的內部及外部稽核人員 （auditors）； c) 須對於 IT 系統和產品的安全內容之規格負責的安全建造者 （architects）及設計者（designers）； d) 負責決定是否接受 IT 系統在特定的環境中之使用的認證人員 （accreditors） e) 提出評估要求及支援之評估贊助者（sponsors of evaluation） f) 負責管理及監督 IT 安全評估計畫的評估監督機構（evaluation authorities）。

評估背景（Evaluation context） 評估規範 評估方法 評估方案 進行評估 批准/ 發證 最後 評估結果 證書/註冊 列 表

（Security functional requirements） Part 2 安全之功能需求 （Security functional requirements）

Part 2 內容 第1條為共同準則第二編之簡介導論 第2條介紹共同準則第二編功能元件之型錄 第3條到第13條說明功能類別 附錄B到附錄M則對功能類別提供了應用備考。

安全功能需求範例 TOE 安全功能介面 評估標的 TOE 評估標的 TSFI 評估標的 TOE 安全功能 安全屬性 人之使用者 (TSF) /遠端資訊 實施評估標的 TOE 安全政策 科技產品 (TSP) 主體 物件/資訊 主體 主體 安全屬性 安全屬性 處理 資源 安全屬性 使用者 安全屬性 評估標的安全功能 TSF 控制範圍(TSC)

功能類別之結構 功能類別 功能家族 類別之名稱 家族之名稱 類別介紹 家族之行為 功能家族 元件之位階 元件 管理 元件之識別 功能元素 稽核 元件   元件 元件之識別 功能元素 相關性

元件之相關性 類別之名稱 1 2 3 家族1 1 家族2 2 3 2 1 4 家族3 3

Part 2 類別說明(3~13條文) FAU類別：安全稽核 FCO類別：通訊 FCS類別：密碼支援 FDP類別：資料保護 FIA類別：識別及認證 FMT類別：安全管理 FPR類別：隱私 FPT類別：TSF保護 FRU類別：資源運用 FTA類別：TOE存取 FTP類別：可信賴之路徑/通道

3.FAU類別：安全稽核 安全稽核 FAU_STG安全稽核事件儲存 FAU_SEL安全稽核事件選擇 FAU_SAR安全稽核檢視 FAU_SAA安全稽核分析 FAU_GEN安全稽核資料產生 FAU_ARP安全稽核自動回應 3 1 2 4 安全稽核牽涉到承認、記錄、儲存及分析與安全相關活動有關之資訊（亦即為TSP所控制之活動）。所產生之稽核記錄可予以檢查，判認哪些安全相關活動發生及誰應為它們負責。 就所偵測之事件顯示安全遭潛在違反行為時所要採取之回應 TSF控制範圍內所發生安全相關事件之記錄定義其需求 分析系統活動及稽核資料 就經授權使用者可取用之稽核工具以助其檢視稽核資料定義其需求 TOE作業期間對被稽核事件之選擇定義其需求 創造及維護安全稽核軌跡

4. FCO類別：通訊 本類別提供了兩家族，此兩家族之關切點特別 放在資料交換參與一方之身份確定上。 通訊 FCO_NRR接收之存證 FCO_NRO原點來源之存證 1 2   來源不可否認性確保了資訊的發起者無法成功否認其已傳送資訊 接收不可否認性確保了資訊的接收者不可否認其已接收資訊

5. FCS類別：密碼支援 運用密碼功能協助滿足數個高階安全目標。這些包括（但不侷限於）：識別及認證、不可否認性、可信賴之路徑、可信賴之通道及資料分隔。 密碼支援 1 2 FCS_CKM 密碼金鑰管理   3 運用密碼功能協助滿足數個高階安全目標 4 FCS_COP密碼運算 1 運算須按指定之演算法及指定長度之密碼金鑰執行

FDP_ETC 輸出至評估標的安全功能TSF控制外部之輸出 對TOE內的使用者資料、輸入途中、輸出、儲存，連同與使用者資料直接有關之安全屬性提出載明。 使用者資料保護 FDP_ACC 存取控制政策 1 2 存取控制SFP提出辨識 FDP_ACF 存取控制功能 1 對可落實於FDP_ACC中命名之存取控制政策之特定功能 FDP_DAU 資料認證 1 2 1 允許一個體對資訊之真實性負責（例如，使用數位簽章） FDP_ETC 輸出至評估標的安全功能TSF控制外部之輸出 2 就TOE向外輸出之使用者資料定義其之功能 FDP_IFC 資訊流控制政策 1 2 就形成所辨識之TSP之資訊流控制部份等諸政策定義其控制範圍

FDP_ITC來自評估標的安全功能控制TSF外部之輸入 FDP_ITT 評估標的TOE內部轉送 FDP_IFF 資訊流控制功能 3 2 4 1 5 6 FDP_RIP 殘餘資訊保護 資訊流控制SFP及可指定其控制範圍之特定功能 關係到對輸入之限制、決定所要之安全屬性及與使用者資料結合之安全屬性之判讀 TOE組成部份間轉送之使用者資料之保護 Deleted Information

6. FDP類別：資料保護(三) FDP_ROL 轉返 FDP_SDI 儲存之資料整體性 2 FDP_UCT 評估標的安全功能TSF間   FDP_UIT 評估標的安全功能TSF間 使用者資料整體性轉送保護 FDP_UCT 評估標的安全功能TSF間 使用者機密性轉送保護 FDP_ROL 轉返 FDP_SDI 儲存之資料整體性 1 2 3 undoing last operation or a series operation 影響儲存於記憶體或儲存裝置內的使用者資料 使用外部通道而於不同TOE間或不同TOE上使用者轉送之使用者資料 TSF與另一可信賴之資訊科技產品間傳送之使用者資料

7.FIA類別：識別及認證 就被宣稱之使用者身份進行建立及確認之功能 載明其要件。 識別及認證 FIA_AFL 認證失敗 1 不成功認證嘗試次數值之定義及TSF在認證嘗試失敗時，要採取的行動之要件 就被宣稱之使用者身份進行建立及確認之功能 載明其要件。 FIA_ATD 使用者屬性定義 1 支援TSP所需之使用者安全屬性與使用者之關聯的要件 1 FIA_SOS 秘密之規格 1 2 2 針對在提供的秘密上規範一些定義好的品質規準 3 4 FIA_UAU 使用者認證 5 使用者認證機制型態予以定義之   FIA_UID 使用者識別 1 2 6 執行要求使用者認證 7 FIA_USB 使用者主題連結 1 一經認證之使用者，典型來說，會啟動一主題。該使用者的安全屬性會與此主題結合

8.FMT類別：安全管理 安全管理 FMT_MOF 評估標的安全功能TSF之功能管理 FMT_SMR 安全管理角色 FMT_SAE 安全屬性截止到期 FMT_REV註銷 FMT_MTD 評估標的安全功能TSF資料管理 FMT_MSA 安全屬性管理 1 3 2 本類別擬就TSF幾個層面的管理予以規範之：安全屬性、TSF資料及功能。不同管理角色及其互動，例如能力之分隔，亦可予以規定之。 准許經授權之使用者控制TSF內之管理功能 准許經授權之使用者控制安全屬性的管理 准許經授權使用者（角色）控制TSF資料管理 就TOE內各個個體之安全屬性的註銷提出載明 就實施安全屬性有效性之時限的能力提出載明 對指派不同角色予使用者予以控制之

9.FPR類別：隱私 提供使用者保護，免遭其身份遭其他使用者發覺及不當使用。 隱私 FPR_ANO 匿名 FPR_PSE 用假名 FPR_UNL 不可連結性 FPR_不可觀察性 1 2 3 4 確保使用者得使用資源或服務而無外洩其身份 使用者得使用資源或服務而無外洩其使用者身份 multiple use of resources or services 確保使用者得使用資源或服務，而無其他人，尤其是第三者，能夠觀察到該資源或服務正被使用中。

10. FPT類別：TSF保護(一) TSF提供機制的完整性與管理及此TSF資料完整性 評估標的安全功能TSF保護 FPT_AMT 下層抽象機測試 1 TSF提供機制的完整性與管理及此TSF資料完整性 對所依賴之下層抽象機所做之有關安全假設定義其要件。 FPT_FLS 失敗安全 1 確保在被辨識之失敗 FPT_ITA 輸出之評估標的安全功能TSF 資料的取用性 1 遠端可信賴資訊科技產品間移動之TSF資料的取用性之漏失預防規則 FPT_ITC 輸出之評估標的安全功能TSF 資料的機密性 1 TSF與一遠端可信賴資訊科技產品間傳輸中之TSF資料的外洩防護規則 FPT_ITI 輸出之評估標的安全功能TSF 資料的整體性 1 2 傳送中之TSF資料，免遭未經授權變更之保護規則 1 2 FPT_ITT 評估標的TOE內部其安全功能 TSF資料轉送 3 TOE各個部份間傳送時所受之保護

10. FPT類別：TSF保護(二) FPT_RCV 可信賴之復原 FPT_PHP 評估標的安全功能TSF 實體保護 1 3 2 4 FPT_RPL 重送之偵測 FPT_RVM 參考中介 FPT_SEP 領域分隔 判知TOE之啟動無發生保護受洩漏，且在作業中斷後 ，可以復原而無保護受洩漏之情事 各種型態之實體之重送及後續改正行動提出載明 所有需政策實施的行動均由該TSF對照該SFP而被驗證之 至少有一安全領域可為TSF自身執行所取用 ,以免遭受竄改

FPT_TDC 評估標的安全功能TSF之間 10. FPT類別：TSF保護(三) FPT_SSP狀態同步協定 1 2 分散式系統同步協定 FPT_STM 時戳 1 FPT_TDC 評估標的安全功能TSF之間 資料一致性 1 一TOE或有需要與另一可信賴資訊科技產品交換TSF資料 FPT_TRC 評估標的TOE內部其 安全功能TOE TSF 資料複製一致性 1 保TSF資料於TOE內部遭複製時的一致性 FPT_TST 評估標的安全功能TSF 自我測試 1 對某個期待其為正確之作業所做的自我測試

11.FRU類別：資源運用 資源運用 FRU_FLT容錯 1 2 FRU_PRS 服務之優先權 1 2 FRU_RSA 資源配置 1 2   11.FRU類別：資源運用 資源運用 FRU_FLT容錯 1 2 提供了保護，對抗TOE失敗引發之能力無法取用性 FRU_PRS 服務之優先權 1 2 確保資源會予配置至較重要或時間具關鍵性之任務， 且無法為優先權較低之任務所壟斷 FRU_RSA 資源配置 1 2 對可取用資源的使用提供了限制，因而預防了使用者壟斷資源  

12.評估標的TOE存取 評估標的TOE存取 FTA_LSA可選擇選取屬性範圍之限制 1 FTA_MCS多同步交談之限制 1 2 1   12.評估標的TOE存取 評估標的TOE存取 FTA_LSA可選擇選取屬性範圍之限制 1 使用者得為一交談而選取之交談安全屬性之範圍 FTA_MCS多同步交談之限制 1 2 使用者的同步交談數之界限置放 1 FTA_SSL 交談鎖定 2 互動性交談鎖定及解除鎖定。 3 FTA_TAB 評估標的TOE存取旗幟 1 向使用者顯示有關TOE適當使用之組態的規勸性警告訊息 FTA_TAH 評估標的TOE存取歷史 1 使用者對其帳號的成功及不成功存取嘗試歷史 FTA_TSE 評估標的TOE交談建立 1 就拒絕一使用者與TOE建立一交談之許可

13.FTP類別：可信賴之路徑/通道 「可信賴通道」為一得由通道任一側啟動之通訊通道，且其能就通道兩側之身份提供存證特徵。 可信賴路徑/通道 FTP_TRP 可信賴之路徑 FTP_ITC 評估標的安全功能TSF間 可信賴之通道 1 與其他可信賴資訊科技產品間的一可信賴通道之創造 建立及維護對使用者及TSF的可信賴通訊   「可信賴通道」為一得由通道任一側啟動之通訊通道，且其能就通道兩側之身份提供存證特徵。

安全之 功能需求 Part 2 總結 FAU類別：安全稽核 FCO類別：通訊 FCS類別：密碼支援 FDP類別：資料保護 FIA類別：識別及認證 FMT類別：安全管理 FPR類別：隱私 FPT類別：TSF保護 FRU類別：資源運用 FTA類別：TOE存取 FTP類別：可信賴之路徑/通道 安全之 功能需求

（Security assurance requirements） Part 3 安全之保證需求 （Security assurance requirements）

Part 3 架構 條款1係此CC第3部份的簡介和範例 條款2說明保證類別、家族、元件和評估保證等級的顯示結構以及其間關係。它亦記述條款8至14所述保證類別和家族的特性 條款3、4和5提供PP和ST評估準則簡介，以及該等評估所使用家族和元件的詳細解釋 條款6提供詳細的EAL定義 條款7 提供保證類別簡介，後續條款8至14提供詳細的該等類別定義 條款15和16提供保證維護評估標準簡介，以及該等家族和元件的詳細定義 附錄A提供保證元件之間相關性的摘要 附錄B提供EAL和保證元件之間的交互參照

保證原理 CC原理係應清楚說明對安全和組織安全政策承諾的威脅， 且針對其意欲的目的充份論證建議的安全措施。 採用可減少發生弱點的可能性、實施弱點的能力(也就是 蓄意私自利用或無意觸發)，以及減少從所採行弱點發生 損壞的程度的適當措施。 應該採用可方便後續鑑別弱點以及抵消、緩和及/或 通知 弱點已經被利用或觸發的適當措施。

保證方式 CC提議藉由資深評估員和利用大幅強調範圍、深度和嚴謹性，以衡量文件及其所產生的IT產品或系統的有效性。

避免弱點步驟 消除-意即應該採取有效步驟以暴露和刪除或銷除 所有可實行的弱點 極小化-意即應該採取有效步驟以減少(至可接受的 殘餘程度)實施任何一弱點的潛在衝擊 監測-意即應該採取有效步驟以確保可發現實施一 剩餘弱點的任何嘗試，使得可採取步驟以限制損壞

弱點會因下列因素而產生 需求（requirement）-意即IT產品或系統可能擁有其所需的所有功能和特性，但仍包含不適合安全或使安全無效的弱點 構造（construction）-意即IT產品或系統不符合其規格及/或因不良結構化標準或不正確設計選擇的結果造成了弱點 操作（operation）-意即IT產品或系統已依一正確規格正確地建構，但因在操作上不充分管制的結果造成了弱點

經由下列評估的保證 分析和檢查各項程序 檢查正在應用的程序 分析在TOE設計顯示之間的對應關係 依需求分析TOE設計顯示 驗證證據 分析指導文件 分析所發展的功能性測試和所提供的結果 獨立功能性測試 弱點(包括瑕疵假說)分析 滲透測試 

共同準則保證規定 類別名稱 類別簡介 保證類別 保證家族 家族名稱 目的 元件階層 應用注意事項 保證元件 元件鑑別 相關性 保證元素

保證元素 開發者行動元素：開發者應執行的作業 證據元素的內容和顯示：所需要的證據 評估員行動元素：評估員應執行的作業。

3.保護剖繪和安全目標評估標準 此條款介紹PP和ST的評估標準 PP評估的目標是證實PP是完整性、一致性、技術 性健全且因此適用於使用作為一或更多可評估 TOE的各種需求聲明 ST評估的目標係證實ST係完整、一致、技術健全 ，且因此適用於使用作為對應TOE評估的基礎

4.類別APE：保護剖繪評估 PP評估的目標是證實PP是完整性、一致性和技術性健全。 類別 APE ：保護剖繪評估 APE_DES ：保護剖繪,TOE說明 1 APE_ENV ：保護剖繪,安全環境 APE_INT ：保護剖繪,PP簡介 APE_OBJ ：保護剖繪,安全目的 APE_REQ ：保護剖繪,IT安全需求 APE_SRE ：保護剖繪,明確述明的IT安全需求 協助瞭解TOE的安全需求 判斷在 PP 的IT安全需求是否充份 包含運作PP登錄所必要的文件管理和綜覽資訊 評估安全目的以證實所述目的足以述明安全問題 於一TOE所選擇，且在PP說明或引用的IT安全需求

5.類別 ASE：安全目標評估 ST評估的目標係證實 ST係完整、一致、技術健全，且因此適用於使用作為對應TOE評估的基礎。 APE_DES ：保護剖繪,TOE說明 ASE_ENV ：安全目標，安全環境 A SE_INT ：安全目標， ST 簡介 ASE_OBJ ：安全目標，安全目的 ASE_PPC PP 聲明 ASE_REQ IT 安全需求 ASE_SRE ：安全目標，明確述明的 ASE_TSS TOE 摘要規格 1 類別 ASE：安全目標評估 協助瞭解TOE的安全需求 判斷ST的IT安全需求是否充份 ST評估的目標係證實 ST係完整、一致、技術健全，且因此適用於使用作為對應TOE評估的基礎。 包含鑑別和索引資料 證實所述目的足以述明安全問題 安全目標PP聲明的評估目標係判斷ST是否是PP的一正確實例 IT安全需求，需要加以評估以確定它們是內部一致性 要求允許評估員判斷清晰陳述的要求 提供符合功能性需求的安全功能高階定義

6.評估保證等級 評估保證等級(EALs)提供以獲取該保證程度的成本和可行性，而獲得的平衡保證等級的遞增尺度 全的威脅並不視為嚴重 EAL2適用於開發者或使用者在缺乏完整發展記錄可用性下 ，需要一低至中等級獨立保証安全的環境。 EAL3適用於開發者或使用者要求一適當等級的獨立保証安 全的環境，且需要完整調查TOE和其發展環境而不需要實質 再造工程。 EAL4適用於開發者或使用者在傳統物件TOE裡需要一中至高等級的獨立保証安全的環境，且準備發生額外的安全性特定技術成本。

6.評估保證等級 EAL5適用於開發者或使用者在一規劃的發展裡，要求一高 階獨立保証安全的環境，且要求一嚴謹的發展方式而不會 發生可歸屬於專家安全工程技術的不合理成本。 EAL6允許開發者從安全工程技術的應用至嚴謹的發展 環境，以產生額外費用TOE以保護高值資產免於重大 風險以獲得較高等級保證(適用於發展安全TOE於高風 險情況的應用) EAL7適用於發展應用在極高風險情況，及/或高值資產 證明較高成本的安全TOE。實際應用EAL7目前限制於 針對會接納擴充正規分析的安全功能TOE。

8.類別ACM：組態管理 組態管理(CM)有助於確保保持TOE的完整性，其係藉由 在TOE精細化 和修改程序所需要的訓練和控制以及其它相關資訊來要求 類別 ACM;組態管理 ACM_AUT CM 自動操作 1 2 用來控制組態項目的自動作業等級 ACM_CAP CM 能力 1 2 3 4 5 述明將會發生組態項目意外或未經授權修改的可能性 ACM_SCP CM 範圍 1 2 3 確保CM系統可追蹤所有必要的TOE組態項目

9.類別ADO：遞送和操作 定義與安全遞送有關的措施、程序和標準以及TOE的安裝和操作使用的需求， ADO_DEL 遞送 ADO_IGS 安裝、產生和啟動 1 2 3 維護在傳輸TOE予使用者期間的安全程序 由管理者配置和啟動以展示與TOE主複本具有相同的保護性質

10.類別 ADV：發展 保證類別ADV從ST裡的TOE摘要規格下至實際的實施，定義TSF階段式精細化的需求 ADV類別 : 發展 ADV_FSP 功能性規格 1 2 3 4 使用者可見到的介面和TSF行為 ADV_HLD 高階設計 2 3 4 5 1 說明 TSF 根據主要的結構單元(也就是子系統)並將這些單元關聯到它們所提供的功能 ADV_IMP 實施顯示 1 2 3 保證類別ADV從ST裡的TOE摘要規格下至實際的實施，定義TSF階段式精細化的需求 以原始程式碼，韌體，硬體圖面等擷取在支援分析裡TSF的詳細內部作用。 ADV_INT TSF 內部事宜 1 2 3 TSF的內部結構，需求為模組化、分層、政策強化機制的複雜性的極小化說明 ADV_LLD 低階設計 1 2 3 低階設計提供 TSF 子系統正確且有效地被精細化過的保證 ADV_RCR 顯示符合性 1 2 3 各種不同TSF顯示之間的相關性 ADV_SPM 安全政策模型 1 2 3 提供額外的保證，即功能規格內的安全功能強制 TSP裡的政策

11.類別 AGD：指導文件 表達開發者所提供的操作性文件的可理解性、涵蓋範圍和完整性的需求 類別 AGD ：指導文件 AGD_ADM 管理者指南 AGD_USR 使用者指南 1 確保環境限制條件能被TOE管理者和操作者了解 協助確保使用者能夠以安全方式操作TOE

12.類別ALC：生命週期支援 藉由採用一良好定義的生命週期模型來定義保證需求 類別 ALC ：生命週期支援 ALC_DVS 發展安全 ALC_FLR 缺點矯正 ALC_LCD 生命週期定義 ALC_TAT 工具和技術 1 2 3 發展安全涵蓋在發展環境所使用的實體性、程序性、人員和其它安全措施 確保在TOE受開發者支援時，TOE消費者所發現的缺點會追蹤和改正。 建立TOE的發展和維護的模型 發展、分析和實現TOE的工具

13.類別ATE：測試 保證類別ATE述明證實TSF滿足TOE安全功能需求的測試需求。 類別 ATE 測試 ATE_COV 涵蓋範圍 ATE_DPT 深度 ATE_FUN 功能性測試 ATE_IND 獨立測試 1 2 3 處理開發者對TOE執行功能性測試的完整性 處理開發者測試TOE的詳細程度 確定TSF展示滿足其ST需求所必要的性質 TOE的功能性測試的程度，必須由開發者以外的一團體執行 (例如第三團體)

14.類別 AVA：弱點評估 保證類別 AVA 定義表達鑑別可利用弱點的需求。明確地，它述明TOE製作、操作、誤用或不正確架構所引入的弱點。 AVA_CCA 隱密通道分析 1 2 3 分析表達發現和分析會違反意欲TSP的非預期通信通道 AVA_MSU 誤用 1 2 3 管理者或使用者能合理判斷TOE是否適當配置且以不安全方式操作 AVA_SOF TOE 安全功能能力 1 藉由一機率式（probabilistic）或安排式（permutational） 機制(例如一密碼或雜湊函數)實現 AVA_VLA Vulnerability 分析 1 2 3 4 鑑別在發展作業不同精細步驟所潛在引入的缺點

15.保證維護範例 提供維護保證類別(AMA)支援在一保證維護範例上的交談 TOE 評估 TOE 接受 TOE TOE 監 測 再評

16.AMA 類別：保證維護 保證維護類別提供依CC檢定TOE之後欲被應用之需求 類別 AMA ：維護保證 AMA_AMP 保證維護計劃 1 確保當TOE或其環境變更時，認證的TOE裡的保證維護已被建立 AMA_CAT TOE 要件 歸類報告 1 當作針對用開發者的安全衝擊分析，並為後續重新評估TOE。 AMA_EVD 保證維護的證 據 1 建立TOE裡的保證開發者維護的信賴 AMA_SIA 安全衝擊分析 1 2 執行影響TOE的所有變更的安全影響分析

Part 3 總結 條款1係此CC第3部份的簡介和範例 條款2說明保證類別、家族、元件和評估保證等級的顯示結構以及其間關係。它亦記述條款8至14所述保證類別和家族的特性 條款3、4和5提供PP和ST評估準則簡介，以及該等評估所使用家族和元件的詳細解釋 條款6提供詳細的EAL定義 條款7 提供保證類別簡介，後續條款8至14提供詳細的該等類別定義 條款15和16提供保證維護評估標準簡介，以及該等家族和元件的詳細定義 附錄A提供保證元件之間相關性的摘要 附錄B提供EAL和保證元件之間的交互參照 安全之 保證需求

問題與討論 ISO/IEC 15408是由下面三個部份所組成： 第一部份(Part 1)：介紹及一般化模型