國際標準『ISO/IEC 15408 』的介紹

國際標準『ISO/IEC 15408』的介紹 • ISO/IEC 15408  Information technology • ─ Security techniques • ─Evaluation Criteria for IT Security 報告人 高國寶中華民國九十年十二月 15408

報告內容(Contents)大綱 • 概論(part 1~part 3) • Part two • Part three • 結論

概論

ISO 15408 簡要說明 • ISO/IEC 15408是由下面三個部份所組成： • 第一部份(Part 1)：介紹及一般化模型 (Introduction & General Model) • •定義IT安全評估並提供評估模式的一般概念及原則 • 第二部份(Part 2)：安全之功能需求（Security functional requirements） • •建立一組功能元件作為表達TOE功能要求的標準 • 第三部份(Part 3)：安全之保證需求（Security assurance requirements） • •建立一組保證元件作為表達TOE功能要求的標準

「共通規範計畫」的推動 由七個政府組織加以贊助，這些組織共同擁有「資訊技術安全評估之共通準則」（簡稱「CC 」）的版權，並同意作為日後持續發展與維護 ISO/IEC 15408 國際標準之共享許可。然而，這些贊助組織仍保有使用、複製、散佈、翻譯或在適當時候具有修改 CC 的權利。 (有關「共通規範計畫之贊助組織」的詳細資料交代請參考第一部份(Part 1)的附錄 A。

贊助CC的組織有 • 加拿大的“通訊安全機構” • 法國的“安全系統資訊服務中心” • 德國的“聯邦資訊技術安全署” • 荷蘭的“國家通訊安全局” • 英國的“通訊電子安全部” • 美國的國家標準及技術委員會(NIST) • 美國的國家安全局(NSA) 。

範圍(Scope)  標準ISO/IEC 15408定義成“準則”，共通準則（Common Criteria，簡稱CC）是作為評估資訊技術產品和系統安全性質(for evaluation of security properties of IT products and systems) 的基礎之用，並藉由制定這種共通準則的基礎，促使 IT 安全評估的結果能對更多人來說是有意義的。  在評估程序中制定了信任度等級（level of confidence），表示這個產品和系統的安全功能與使用這些安全功能來滿足需求的保證度措施（assurance measures）；而評估的結果將有助於消費者決定 IT 產品或系統對他們預期的應用是否有足夠的安全及是否能容忍使用時所具有的潛在安全風險（security risk）。  CC 對發展具有 IT 安全功能的產品或系統及採購具有這種功能的商業產品/系統是相當有用的導引（guide）。在評估期間，這種 IT 產品或系統就稱為評估目標（Target Of Evaluation；TOE），包括了：作業系統、電腦網路、分散式系統和應用程式等皆可被看成是進行評估的主體對象。  CC 說明對資訊的保護，這些保護使資訊不致遭到未經授權之公佈、修改或遺失。相對上述安全的失敗有關的三種保護型態，一般分別稱為機密性（confidentiality）、完整性（integrity）和可用性（availability）。

範圍(Scope)  共通準則（Common Criteria，簡稱CC）能應用於任何以硬體（hardware）、韌體（firmware）或軟體（software）所實現之 IT 安全措施。  某些主題因為涉及（或包括）特殊化技術或對 IT 安全來說是次要的，故不在 CC 範圍之內。下面舉些實例加以說明： (1) CC 不包括與 IT 安全措施沒有直接相關的管理上安全措施之安全評估規範。 (2) 不會特別地包含評估 IT 安全在實體的(physical)技術觀點（例如：電磁發射控制）。 (3) CC 在評估監督機構使用的規範中，既不會說明評估方法也不會說明管理上及法律上的架構（framework）。 (4) 對使用評估結果於產品或系統的認證（accreditation）之使用程序，不在 CC 所討論的範圍之內。 (5) 評估密碼演算法具有的品質之規範主題並不包括在 CC 之中。

常用縮寫 (1)CC ─共通準則（Common Criteria） (2) EAL ─評估保證等級（Evaluation Assurance Level） (3) IT ─資訊技術（Information Technology） (4) PP ─ 保護剖繪（Protection Profile） (5) SF ─ 安全功能（Security Function） (6) SFP ─安全功能政策（Security Function Policy） (7) SOF ─功能強度（Strength Of Function） (8) ST ─安全目標（Security Target） (9) TOE ─評估目標（Target Of Evaluation） (10) TSC ─ TSF 控制範圍（TSF Scope of Control） (11) TSF ─ TOE 安全功能（TOE Security Functions） (12) TSFI ─ TSF 界面（TSFInterface） (13) TSP ─ TOE 安全政策（TOE Security Policy）

消費者 發展者評估者 Consumers Developers Evaluators （）（）（） TOEs 作為背景資料及參作為需求發展作為背景資料及參 Part 1 考用途。是構成及闡述安全規格之背考用途。是構成 PPs PPs STs 之導引文件。景資料和參考文件。及之導引文件。 TOEs 作為闡述安全功能作為解釋功能作為評估規範決定 Part 2 TOE 需求敘述之導引和需求的敘述及闡述其是否有效地符參考文件。功能規格之參考文合所聲明的安全功件。能時的強制性敘述。 TOEs 作為決定所需的保作為解釋保證作為評估規範決定 Part 3 TOE PPs 證等級之導引文需求的敘述及決定其在評估 STs 件。保證方法之參考文及保證等級時件。的強制性敘述。共通準則藍圖(Roadmap) 註: 對評估 IT 產品和系統的安全性質有關係的人大致有三種： TOE 消費者、 TOE 發展者（developers）及 TOE 評估者（evaluators）。這份已結構化文件所提出的規範皆能滿足這三種人的要求，而且他們都是 CC 的主要使用者

概論(Overview)  當 CC 以 TOE 之 IT 安全性質的規格和評估為目的時，它也可能對所有與 IT 安全有責任或有關的團體是有用的參考資料。其它有關係的團體或人員（Others）也可以從 CC 內含的資訊中獲得益處： a) 須對決定及達成組織 IT 安全政策負責的系統管理者（custodians）和系統安全人員（security officer）； b) 須對評估系統安全的適當性負責的內部及外部稽核人員（auditors）； c) 須對於 IT 系統和產品的安全內容之規格負責的安全建造者（architects）及設計者（designers）； d) 負責決定是否接受 IT 系統在特定的環境中之使用的認證人員（accreditors） e) 提出評估要求及支援之評估贊助者（sponsors of evaluation） f) 負責管理及監督 IT 安全評估計畫的評估監督機構（evaluation authorities）。

評估規範 評估方法評估方案最後批准/ 證書/註冊進行評估評估結果發證列表評估背景（Evaluation context）

Part 2 安全之功能需求（Security functional requirements）

Part 2 內容 • 第1條為共同準則第二編之簡介導論 • 第2條介紹共同準則第二編功能元件之型錄 • 第3條到第13條說明功能類別 • 附錄A為功能件潛在使用者提供了引起興趣之其他資訊，包括一完整功能元件相關性對照參考表。 • 附錄B到附錄M則對功能類別提供了應用備考。

評估標的 TOE 安全功能安全功能需求範例 TOE 安全功能介面評估標的評估標的 TOE TSFI 安全屬性 (TSF) 人之使用者實施評估標的 TOE 安全政策 /遠端資訊科技產品 (TSP) 主體物件/資訊主體主體安全屬性安全屬性處理資源安全屬性使用者安全屬性評估標的安全功能控制範圍(TSC) TSF

功能家族 家族之名稱功能類別類別之名稱家族之行為元件元件之識別類別介紹元件之位階功能元素功能家族管理相關性稽核元件功能類別之結構

元件之相關性 類別之名稱 1 2 3 家族1 1 家族2 2 3 2 1 4 家族3 3

Part 2 類別說明(3~13條文) • FAU類別：安全稽核 • FCO類別：通訊 • FCS類別：密碼支援 • FDP類別：資料保護 • FIA類別：識別及認證 • FMT類別：安全管理 • FPR類別：隱私 • FPT類別：TSF保護 • FRU類別：資源運用 • FTA類別：TOE存取 • FTP類別：可信賴之路徑/通道

安全稽核 1 FAU_ARP安全稽核自動回應 1 FAU_GEN安全稽核資料產生 2 2 FAU_SAA安全稽核分析 1 3 4 1 FAU_SAR安全稽核檢視 2 3 FAU_SEL安全稽核事件選擇 1 1 2 FAU_STG安全稽核事件儲存 3 4 3.FAU類別：安全稽核安全稽核牽涉到承認、記錄、儲存及分析與安全相關活動有關之資訊（亦即為TSP所控制之活動）。所產生之稽核記錄可予以檢查，判認哪些安全相關活動發生及誰應為它們負責。 • 就所偵測之事件顯示安全遭潛在違反行為時所要採取之回應 • TSF控制範圍內所發生安全相關事件之記錄定義其需求 • 分析系統活動及稽核資料 • 就經授權使用者可取用之稽核工具以助其檢視稽核資料定義其需求 • TOE作業期間對被稽核事件之選擇定義其需求 • 創造及維護安全稽核軌跡

通訊 2 FCO_NRO原點來源之存證 1 1 2 FCO_NRR接收之存證 4. FCO類別：通訊 • 本類別提供了兩家族，此兩家族之關切點特別放在資料交換參與一方之身份確定上。 • 來源不可否認性確保了資訊的發起者無法成功否認其已傳送資訊 • 接收不可否認性確保了資訊的接收者不可否認其已接收資訊

5. FCS類別：密碼支援 運用密碼功能協助滿足數個高階安全目標。這些包括（但不侷限於）：識別及認證、不可否認性、可信賴之路徑、可信賴之通道及資料分隔。密碼支援 1 2 FCS_CKM 密碼金鑰管理 3 • 運用密碼功能協助滿足數個高階安全目標 4 FCS_COP密碼運算 1 • 運算須按指定之演算法及指定長度之密碼金鑰執行

6. FDP類別：資料保護(一) 對TOE內的使用者資料、輸入途中、輸出、儲存，連同與使用者資料直接有關之安全屬性提出載明。使用者資料保護 FDP_ACC 存取控制政策 1 2 • 存取控制SFP提出辨識 FDP_ACF 存取控制功能 1 • 對可落實於FDP_ACC中命名之存取控制政策之特定功能 FDP_DAU 資料認證 1 2 1 • 允許一個體對資訊之真實性負責（例如，使用數位簽章） FDP_ETC 輸出至評估標的安全功能TSF控制外部之輸出 2 • 就TOE向外輸出之使用者資料定義其之功能 FDP_IFC 資訊流控制政策 1 2 • 就形成所辨識之TSP之資訊流控制部份等諸政策定義其控制範圍

1 2 FDP_IFF 資訊流控制功能 3 4 5 6 1 FDP_ITC來自評估標的安全功能控制TSF外部之輸入 2 1 2 FDP_ITT 評估標的TOE內部轉送 3 4 FDP_RIP 殘餘資訊保護 1 2 6. FDP類別：資料保護(二) • 資訊流控制SFP及可指定其控制範圍之特定功能 • 關係到對輸入之限制、決定所要之安全屬性及與使用者資料結合之安全屬性之判讀 • TOE組成部份間轉送之使用者資料之保護 • Deleted Information

FDP_ROL 轉返 1 2 FDP_SDI 儲存之資料整體性 1 2 FDP_UCT 評估標的安全功能TSF間使用者機密性轉送保護 1 1 FDP_UIT 評估標的安全功能TSF間使用者資料整體性轉送保護 2 3 6. FDP類別：資料保護(三) • undoing last operation or a series operation • 影響儲存於記憶體或儲存裝置內的使用者資料 • 使用外部通道而於不同TOE間或不同TOE上使用者轉送之使用者資料 • TSF與另一可信賴之資訊科技產品間傳送之使用者資料

7.FIA類別：識別及認證 識別及認證 FIA_AFL 認證失敗 1 • 不成功認證嘗試次數值之定義及TSF在認證嘗試失敗時，要採取的行動之要件就被宣稱之使用者身份進行建立及確認之功能載明其要件。 FIA_ATD 使用者屬性定義 1 • 支援TSP所需之使用者安全屬性與使用者之關聯的要件 1 FIA_SOS 秘密之規格 1 2 2 • 針對在提供的秘密上規範一些定義好的品質規準 3 4 FIA_UAU 使用者認證 5 • 使用者認證機制型態予以定義之 6 FIA_UID 使用者識別 1 2 執行要求使用者認證 7 1 FIA_USB 使用者主題連結 • 一經認證之使用者，典型來說，會啟動一主題。該使用者的安全屬性會與此主題結合

安全管理 FMT_MOF 評估標的安全功能TSF之功能管理 1 1 FMT_MSA 安全屬性管理 2 1 3 FMT_MTD 評估標的安全功能TSF資料管理 2 3 FMT_REV註銷 1 FMT_SAE 安全屬性截止到期 1 FMT_SMR 安全管理角色 1 2 3 8.FMT類別：安全管理本類別擬就TSF幾個層面的管理予以規範之：安全屬性、TSF資料及功能。不同管理角色及其互動，例如能力之分隔，亦可予以規定之。 • 准許經授權之使用者控制TSF內之管理功能 • 准許經授權之使用者控制安全屬性的管理 • 准許經授權使用者（角色）控制TSF資料管理 • 就TOE內各個個體之安全屬性的註銷提出載明 • 就實施安全屬性有效性之時限的能力提出載明 • 對指派不同角色予使用者予以控制之

隱私 FPR_ANO 匿名 1 2 2 FPR_PSE 用假名 1 3 FPR_UNL 不可連結性 1 1 2 FPR_不可觀察性 3 4 9.FPR類別：隱私提供使用者保護，免遭其身份遭其他使用者發覺及不當使用。 • 確保使用者得使用資源或服務而無外洩其身份 • 使用者得使用資源或服務而無外洩其使用者身份 • multiple use of resources or services • 確保使用者得使用資源或服務，而無其他人，尤其是第三者，能夠觀察到該資源或服務正被使用中。

10. FPT類別：TSF保護(一) 評估標的安全功能TSF保護 FPT_AMT 下層抽象機測試 1 TSF提供機制的完整性與管理及此TSF資料完整性 • 對所依賴之下層抽象機所做之有關安全假設定義其要件。 FPT_FLS 失敗安全 1 • 確保在被辨識之失敗 FPT_ITA 輸出之評估標的安全功能TSF 資料的取用性 1 • 遠端可信賴資訊科技產品間移動之TSF資料的取用性之漏失預防規則 FPT_ITC 輸出之評估標的安全功能TSF 資料的機密性 1 • TSF與一遠端可信賴資訊科技產品間傳輸中之TSF資料的外洩防護規則 FPT_ITI 輸出之評估標的安全功能TSF 資料的整體性 1 2 • 傳送中之TSF資料，免遭未經授權變更之保護規則 1 2 FPT_ITT 評估標的TOE內部其安全功能 TSF資料轉送 3 • TOE各個部份間傳送時所受之保護

1 2 FPT_PHP 評估標的安全功能TSF 實體保護 3 1 2 3 FPT_RCV 可信賴之復原 4 FPT_RPL 重送之偵測 1 FPT_RVM 參考中介 1 3 FPT_SEP 領域分隔 1 2 10. FPT類別：TSF保護(二) • 判知TOE之啟動無發生保護受洩漏，且在作業中斷後，可以復原而無保護受洩漏之情事 • 各種型態之實體之重送及後續改正行動提出載明 • 所有需政策實施的行動均由該TSF對照該SFP而被驗證之 • 至少有一安全領域可為TSF自身執行所取用 ,以免遭受竄改

10. FPT類別：TSF保護(三) FPT_SSP狀態同步協定 1 2 • 分散式系統同步協定 FPT_STM 時戳 1 FPT_TDC 評估標的安全功能TSF之間資料一致性 1 • 一TOE或有需要與另一可信賴資訊科技產品交換TSF資料 FPT_TRC 評估標的TOE內部其安全功能TOE TSF 資料複製一致性 1 • 保TSF資料於TOE內部遭複製時的一致性 FPT_TST 評估標的安全功能TSF 自我測試 1 • 對某個期待其為正確之作業所做的自我測試

11.FRU類別：資源運用 資源運用 FRU_FLT容錯 1 2 • 提供了保護，對抗TOE失敗引發之能力無法取用性 FRU_PRS 服務之優先權 1 2 • 確保資源會予配置至較重要或時間具關鍵性之任務， • 且無法為優先權較低之任務所壟斷 FRU_RSA 資源配置 1 2 • 對可取用資源的使用提供了限制，因而預防了使用者壟斷資源

12.評估標的TOE存取 評估標的TOE存取 FTA_LSA可選擇選取屬性範圍之限制 1 • 使用者得為一交談而選取之交談安全屬性之範圍 FTA_MCS多同步交談之限制 1 2 • 使用者的同步交談數之界限置放 1 FTA_SSL 交談鎖定 2 • 互動性交談鎖定及解除鎖定。 3 FTA_TAB 評估標的TOE存取旗幟 1 • 向使用者顯示有關TOE適當使用之組態的規勸性警告訊息 FTA_TAH 評估標的TOE存取歷史 1 • 使用者對其帳號的成功及不成功存取嘗試歷史 FTA_TSE 評估標的TOE交談建立 1 • 就拒絕一使用者與TOE建立一交談之許可

可信賴路徑/通道 FTP_ITC 評估標的安全功能TSF間可信賴之通道 1 FTP_TRP 可信賴之路徑 1 13.FTP類別：可信賴之路徑/通道 • 與其他可信賴資訊科技產品間的一可信賴通道之創造 • 建立及維護對使用者及TSF的可信賴通訊「可信賴通道」為一得由通道任一側啟動之通訊通道，且其能就通道兩側之身份提供存證特徵。

Part 2 總結 • FAU類別：安全稽核 • FCO類別：通訊 • FCS類別：密碼支援 • FDP類別：資料保護 • FIA類別：識別及認證 • FMT類別：安全管理 • FPR類別：隱私 • FPT類別：TSF保護 • FRU類別：資源運用 • FTA類別：TOE存取 • FTP類別：可信賴之路徑/通道安全之功能需求

Part 3 安全之保證需求（Security assurance requirements）

Part 3 架構 • 條款1係此CC第3部份的簡介和範例 • 條款2說明保證類別、家族、元件和評估保證等級的顯示結構以及其間關係。它亦記述條款8至14所述保證類別和家族的特性 • 條款3、4和5提供PP和ST評估準則簡介，以及該等評估所使用家族和元件的詳細解釋 • 條款6提供詳細的EAL定義 • 條款7 提供保證類別簡介，後續條款8至14提供詳細的該等類別定義 • 條款15和16提供保證維護評估標準簡介，以及該等家族和元件的詳細定義 • 附錄A提供保證元件之間相關性的摘要 • 附錄B提供EAL和保證元件之間的交互參照

保證原理 • CC原理係應清楚說明對安全和組織安全政策承諾的威脅，且針對其意欲的目的充份論證建議的安全措施。 • 採用可減少發生弱點的可能性、實施弱點的能力(也就是蓄意私自利用或無意觸發)，以及減少從所採行弱點發生損壞的程度的適當措施。 • 應該採用可方便後續鑑別弱點以及抵消、緩和及/或通知弱點已經被利用或觸發的適當措施。

保證方式 • CC提議藉由資深評估員和利用大幅強調範圍、深度和嚴謹性，以衡量文件及其所產生的IT產品或系統的有效性。 • CC不排除(也不批評)其它獲得保證的方法的相關指標。持續研究獲得保證的可供選擇方法。

避免弱點步驟 • 消除-意即應該採取有效步驟以暴露和刪除或銷除 • 所有可實行的弱點 • 極小化-意即應該採取有效步驟以減少(至可接受的 • 殘餘程度)實施任何一弱點的潛在衝擊 • 監測-意即應該採取有效步驟以確保可發現實施一 • 剩餘弱點的任何嘗試，使得可採取步驟以限制損壞

弱點會因下列因素而產生 • 需求（requirement）-意即IT產品或系統可能擁有其所需的所有功能和特性，但仍包含不適合安全或使安全無效的弱點 • 構造（construction）-意即IT產品或系統不符合其規格及/或因不良結構化標準或不正確設計選擇的結果造成了弱點 • 操作（operation）-意即IT產品或系統已依一正確規格正確地建構，但因在操作上不充分管制的結果造成了弱點

經由下列評估的保證 • 分析和檢查各項程序 • 檢查正在應用的程序 • 分析在TOE設計顯示之間的對應關係 • 依需求分析TOE設計顯示 • 驗證證據 • 分析指導文件 • 分析所發展的功能性測試和所提供的結果 • 獨立功能性測試 • 弱點(包括瑕疵假說)分析 • 滲透測試

保證類別 類別名稱保證元件元件鑑別類別簡介目的保證家族家族名稱應用注意事項目的相關性元件階層保證元素應用注意事項共同準則保證規定

保證元素 • 開發者行動元素：開發者應執行的作業 • 證據元素的內容和顯示：所需要的證據 • 評估員行動元素：評估員應執行的作業。

3.保護剖繪和安全目標評估標準 • 此條款介紹PP和ST的評估標準 • PP評估的目標是證實PP是完整性、一致性、技術性健全且因此適用於使用作為一或更多可評估 TOE的各種需求聲明 • ST評估的目標係證實ST係完整、一致、技術健全，且因此適用於使用作為對應TOE評估的基礎

APE 類別：保護剖繪評估 APE_DES ：保護剖繪,TOE說明 1 APE_ENV ：保護剖繪,安全環境 1 APE_INT ：保護剖繪,PP簡介 1 APE_OBJ ：保護剖繪,安全目的 1 APE_REQ ：保護剖繪,IT安全需求 1 APE_SRE ：保護剖繪,明確述明的IT安全需求 1 4.類別APE：保護剖繪評估 • PP評估的目標是證實PP是完整性、一致性和技術性健全。 • 協助瞭解TOE的安全需求 • 判斷在PP 的IT安全需求是否充份 • 包含運作PP登錄所必要的文件管理和綜覽資訊 • 評估安全目的以證實所述目的足以述明安全問題 • 於一TOE所選擇，且在PP說明或引用的IT安全需求

類別ASE：安全目標評估 1 APE_DES ：保護剖繪,TOE說明 ASE_ENV ：安全目標，安全環境 1 A SE_INT ST ：安全目標，簡介 1 ASE_OBJ ：安全目標，安全目的 1 ASE_PPC PP ：安全目標，聲明 1 ASE_REQ IT ：安全目標，安全需求 1 ASE_SRE IT ：安全目標，明確述明的安全需求 1 ASE_TSS TOE ：安全目標，摘要規格 1 5.類別ASE：安全目標評估 • 協助瞭解TOE的安全需求 • 判斷ST的IT安全需求是否充份 ST評估的目標係證實ST係完整、一致、技術健全，且因此適用於使用作為對應TOE評估的基礎。 • 包含鑑別和索引資料 • 證實所述目的足以述明安全問題 • 安全目標PP聲明的評估目標係判斷ST是否是PP的一正確實例 • IT安全需求，需要加以評估以確定它們是內部一致性 • 要求允許評估員判斷清晰陳述的要求 • 提供符合功能性需求的安全功能高階定義

6.評估保證等級 評估保證等級(EALs)提供以獲取該保證程度的成本和可行性，而獲得的平衡保證等級的遞增尺度 • EAL1可適用於對正確操作需要一些信賴的場所，但是對安全的威脅並不視為嚴重 • EAL2適用於開發者或使用者在缺乏完整發展記錄可用性下，需要一低至中等級獨立保証安全的環境。 • EAL3適用於開發者或使用者要求一適當等級的獨立保証安全的環境，且需要完整調查TOE和其發展環境而不需要實質再造工程。 • EAL4適用於開發者或使用者在傳統物件TOE裡需要一中至高等級的獨立保証安全的環境，且準備發生額外的安全性特定技術成本。

6.評估保證等級 • EAL5適用於開發者或使用者在一規劃的發展裡，要求一高階獨立保証安全的環境，且要求一嚴謹的發展方式而不會發生可歸屬於專家安全工程技術的不合理成本。 • EAL6允許開發者從安全工程技術的應用至嚴謹的發展環境，以產生額外費用TOE以保護高值資產免於重大風險以獲得較高等級保證(適用於發展安全TOE於高風險情況的應用) • EAL7適用於發展應用在極高風險情況，及/或高值資產證明較高成本的安全TOE。實際應用EAL7目前限制於針對會接納擴充正規分析的安全功能TOE。

8.類別ACM：組態管理 • 組態管理(CM)有助於確保保持TOE的完整性，其係藉由在TOE精細化和修改程序所需要的訓練和控制以及其它相關資訊來要求 ACM;組態管理類別 ACM_AUT CM 自動操作 1 2 用來控制組態項目的自動作業等級 ACM_CAP CM 能力 1 2 3 4 5 • 述明將會發生組態項目意外或未經授權修改的可能性 ACM_SCP CM 範圍 1 2 3 • 確保CM系統可追蹤所有必要的TOE組態項目

ADO 類別：遞送和操作 ADO_DEL 1 2 3 遞送 ADO_IGS 1 2 安裝、產生和啟動 9.類別ADO：遞送和操作 • 定義與安全遞送有關的措施、程序和標準以及TOE的安裝和操作使用的需求，確保TOE所提供的安全保護在傳輸、安裝、啟動和操作期間不會被破解。維護在傳輸TOE予使用者期間的安全程序由管理者配置和啟動以展示與TOE主複本具有相同的保護性質

國際標準『ISO/IEC 15408 』的介紹