資通安全產品及保護剖繪審驗作業要點簡介

1. 資通安全產品及保護剖繪審驗作業要點簡介 報告人：許英明 國家通訊傳播委員會 99年12月27日

2. Contents • 前言 • 資通安全產品及保護剖繪評估作要點 • CCRA介紹 • 結語

3. 前言 資安產品A 資安產品B 資安產品C 資安產品D 資安產品E 資安產品琳瑯滿目、消費者如何選購？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ 消費者 ？ ？ 消費者的疑惑？ 1.價格合理、2.安全可靠、3.功能可用

4. 什麼是資通安全產品？

5. 資通安全產品類別

6. 資通安全產品類別-1

7. 資通安全產品類別-2

8. 資通安全產品類別-3

9. 資通安全產品類別-4

10. 資通安全產品類別-5

11. 資通安全產品類別-6

12. 資通安全產品類別-7

13. 資通安全產品類別-8

14. 資通安全產品類別-9

15. 資通安全產品類別-10

16. 資通安全產品類別-11

17. 資通安全產品類別-12

18. 資通安全產品類別-13

19. 資通安全產品及保護剖繪審驗作業要點 保護剖繪(PP ,Protection Profile) 指為滿足資通安全產品評估標的製作之安全基本需求文件。

20. 資通安全產品及保護剖繪審驗作業要點 我國資安產品 驗證體系 • 驗證機關 • （Certification Body, CB） • 指執行審驗之機關。 驗證機關 NCC 4.驗證報告 2.評估指導與建議 5.核發審驗證明 4.驗證報告 審驗證明 3.評估技術報告 １.產品評估申請書 評估實驗室 TTC 送檢廠商 申請者 3.評估互動 • 評估實驗室（Evaluation Laboratory, EL） • 指對資通安全產品或保護剖繪具有評估資格及能力之實驗室。

21. 資通安全產品審驗作業流程 申請者 檢附評估申請相關文件，提出評估申請 驗證申請收件；確認文件齊全 召開啟動會議；並判定受理驗證 NCC 驗證機關 電信技術中心 （評估實驗室） 進行評估作業 ；並完成評估技術報告 召開結案會議；審議是否合格? 核發共同準則審驗證明 NCC 驗證機關

22. 資通安全產品及保護剖繪審驗作業要點 申請者－驗證文件 1.申請書 2.申請者身分證明文件 3.資通安全產品驗證同意書 4.評估工作計畫 5.資通安全產品安全標的 6.其他經驗證機關指定之資料 7.儲存第一款至第五款文件電子檔之光碟片一份

23. 共同準則審驗證明 產品名稱：防火牆 產品類型:界限保護裝置與系統 產品版本：V3.1 保護剖繪：PP001 評估保證等級：EAL4+ 申請者名稱：台科公司 評估實驗室名稱：電信技術中心 驗證報告編號：NCC9901 審驗日期： 99年12 月27 日 國家通 訊傳播 委員會 載於本證明之資通安全產品，業經本會認可之評估實驗室採用資訊技術安全評估共同準則（第3.1版）及資訊技術安全評估共同方法論（第3.1版）執行評估。經評估實驗室及本會評估及驗證結果符合本會資通安全驗證相關規定，並非對其安全性之背書及保證。本證明僅表示被驗證產品及其版本符合其宣稱之保證等級。 國家通訊傳播委員會主任委員 蘇　蘅

24. 資通安全產品及保護剖繪審驗作業要點 EAL7 評估保證等級 EAL6 EAL5 EAL4 EAL3 EAL2 系統化設計、測試和審查 半正規化查證設計和測試 正規化查證設計和測試 EAL1 系統化測試和檢查 結構性測試 半正規化設計和測試 功能測試 • 評估保證等級（Evaluation Assurance Level, EAL） • 指依共同準則及共同方法論評估及驗證資通安全產品 • 或保護剖繪，獲得之安全保證等級。

25. 資通安全產品及保護剖繪審驗作業要點 Evaluation Assurance Level Summary

26. 資通安全產品及保護剖繪審驗作業要點 評估保證等級 評估所需時間預估 EAL4 12~16個月 EAL3 8~10個月 EAL2 4~6個月 EAL1 2~3個月 可行性評估 3~5天

27. 共同準則審驗證明 產品名稱：防火牆 產品類型:界限保護裝置與系統 產品版本：V3.1 保護剖繪：PP001 評估保證等級：EAL4+ 申請者名稱：台科公司 評估實驗室名稱：電信技術中心 驗證報告編號：NCC9901 審驗日期： 99年12 月27 日 國家通 訊傳播 委員會 載於本證明之資通安全產品，業經本會認可之評估實驗室採用資訊技術安全評估共同準則（第3.1版）及資訊技術安全評估共同方法論（第3.1版）執行評估。經評估實驗室及本會評估及驗證結果符合本會資通安全驗證相關規定，並非對其安全性之背書及保證。本證明僅表示被驗證產品及其版本符合其宣稱之保證等級。 國家通訊傳播委員會主任委員 蘇　蘅

28. 資通安全產品及保護剖繪審驗作業要點 作業要點用詞定義 (1/4) • 評估技術報告(Evaluation Technical Report, ETR) • 指評估實驗室為評估資通安全產品或保護剖繪撰寫之技術報告，提供驗證機關作為驗證報告之依據。 • 審驗(Certification) • 指對資通安全產品或保護剖繪以符合特定安全需求，由驗證機關出具書面證明之程序。 • 驗證報告（Certification Report, CR） • 指驗證機關依評估實驗室提供之評估技術報告，確認其遵循共同準則、共同方法論及評估程序撰寫之報告。

29. 資通安全產品及保護剖繪審驗作業要點 用詞定義 (2/4) • 資訊技術安全評估共同準則(Common Criteria for Information Technology Security Evaluation, CC) • 指資通安全產品及保護剖繪之安全功能及安全保證之國際共同規範，即國際標準組織之ISO/IEC 15408規範。 • 資訊技術安全評估共同方法論(Common Methodology for Information Technology Security Evaluation, CEM) • 指依共同準則評估及驗證資通安全產品及保護剖繪之安全功能及安全保證等級時，應遵循之方法及程序，即國際標準組織之ISO/IEC 18405規範。

30. 資通安全產品及保護剖繪審驗作業要點 評估及驗證規範 • 共同準則(CC ;Common Criteria ;ISO/IEC 15408 V3.1) • 共同方法論(CEM ;Common Methodology Evaluation) • 其他由本會訂定公告之技術規範 • 中華民國國家標準（Chinese National Standards, CNS－CNS15408） • 國際標準組織所訂標準 • 區域標準組織所訂標準

31. CCRA介紹 1998年美國、英國、德國、法國與加拿大等五國提議簽署資安產品共同準則驗證證明書相互承認協議(Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security，CCRA) • CCRA條款於2000年定案，其內容共包括了以下二十個項目：協定的目的、協定的精神、會員資格、範圍、例外、定義、承認條件、自願性的定期性評鑑、出版品、資訊的分享、新的參與者、協定的管理、爭議、承包商的採用、協定的費用、修訂、期效、參與的自願性終止、協定之起始日及協定的效力等。

32. CCRA介紹 CCRA會員身分： 接受證書會員(CCP,Certificate Consuming Participant) 接受證書會員，因不具備資訊技術產品安全評估的能力， 但表示接受授與證書會員之驗證機構所出具的資訊技術產 品及保護剖繪的安全評估及驗證報告。 授與證書會員(CAP,Certificate Authorizing Participant) 授與證書會員有權指派運作於其國內符合CCRA條款第 一條規定之驗證機構出具資訊技術產品及保護剖繪的驗 證證明書者。

33. CCRA介紹 Certificate Malaysia Czech Turkey Austria CAP(13) Hungary Denmark Canada France Germany UK USA Australia New Zealand Singapore CCP(12) Spain Italy Japan Norway Netherlands Korea India Sweden Israel Greece Pakistan Finland 授與證書會員國 (CAP)：具備核發CC證書之權限。 接受證書會員國 (CCP)：僅能接受CAP會員國所核發之證書。 現有共同準則國際組織會員國

34. NSS 挪威 KECS NSCIB荷蘭 UKITSEC JISEC GECS 德國 CCECCS CCEVS AISEP FECS 法國 SECS 西班牙 CCRA介紹 義大利 CAP會員國現有體制分佈圖

35. 結語 選購一 件經過嚴謹評估及審驗程序 而領有審驗證明的資安產品是消費者的福氣 讓您買得放心、用得安心、資安不要您操心 參考法規：資通安全產品及保護剖繪審驗作業要點

36. 簡報完畢 敬請指教