《金融服务 安全加密设备(零售)评估方法》由会员分享,可在线阅读,更多相关《金融服务 安全加密设备(零售)评估方法(7页珍藏版)》请在金锄头文库上搜索。
1、GB/T 20547.1XXXX 19 A A 附 录 A (资料性) 评估方法 A.1 概述 当声称某SCD符合 ISO 13491-1时,应使用本文件中的评估方法对设备进行评估。 A.1.1 评估方法的选择 为确定一台SCD是否符合 ISO 13491-1的要求,定义了四种验证其符合性的评估方法,如下所示: a) 非正式的评估,由评估人使用在 ISO 13491-2定义的评估检测清单进行评估; 注:如果设备提供多个功能,则有必要将多个检查表合并到评估过程中,例如,设备可以同时提供PIN输入和数 字签名,在这种情况下,评估过程中将使用两个检查表。 b) 准正式的评估,由评估机构承担; c)
2、经授权的准正式评估,由经认可的评估机构承担; d) 正式评估,由经认可的评估机构承担。 为帮助选择合适的评估方法(见A.2)需要进行风险评估,风险评估的结果是对风险的估计,它可 以确定要使用的评估方法。如果风险较低,使用审计检查表的非正式方法可能足以确保符合性。如果风 险高,需综合考虑时间和成本,采用正式、准正式、经授权的准正式评估方法。表A.1中列出了四种评 估方法在预计风险、费用、时间上的比较。不同的国家和国际组织对其成员可有其他的约束和要求。本 部分中,国际认可度是指一个设备得到国际组织成员认可所需的可信性等级。 表表A.1 A.1 风险因风险因素素与与评估方法评估方法 风险因素风险因素
3、 评估方法评估方法 非正式非正式 准正式准正式 经授权的经授权的准准正式正式 正式正式 预计风险预计风险 低 中/高 中/高 高 费用费用 低 中 中 高 时间时间 短 中 中 长 可信任可信任 非正式评估报告 评价报告 审批清单 认证 注:可信等级直接与参与评估过程的人员经验、能力和设备的等级相关。 A.1.2 非正式方法 在非正式方法中(见图A.1),发起人(可能是制造商)向评估人提交设备,评估人根据相应的检 查表进行评估。结果将转发给非正式评估审核机构,该机构生成非正式评估报告。 A.1.3 准正式方法 在准正式方法中(见图A.1),发起人(可能是制造商)向评估机构提交设备,评估机构根据
4、相应 的检查表进行测试。评估机构也可根据其经验、知识和特殊设备来完成附加的测试。 结果将转发给评估审核机构,该机构生成评估报告。 注:评估审核机构也可能接受来自审计师/评估员的审计结果,如图A.1虚线所示。 A.1.4 经授权的准正式方法 GB/T 20547.1XXXX 20 图A.1显示了经授权的准正式评估方法,其中发起人(可能是制造商)将设备提交给经认可的评估 机构,机构根据相应的检查表进行测试。经认可的评估机构也可根据其经验、知识和特殊设备来完成附 加的测试。 该机构编制一份报告,提交给评估审核机构,该机构将审查结果通知审批机构。 注:评估审核机构也可能接受来自审计师的审计结果,如图A
5、.1虚线所示。 A.1.5 正式方法 图A.1所示的第四种方法是正式的评估过程。 发起人(可能是制造商)将设备提交给经认可的评估机构,以便依照正式声明的内容进行测试,正 式声明中的内容是依据相应评估检测清单中的内容产生的。 评估结果将提交给颁发评估证书的认可机构 (模型详见ISO/IEC 15408,正式评估方法示例的安全要求详见ISO/EC 19790)。 发起人发起人发起人 设 备 设 备 设 备 风险评估风险评估 风险评估 发起人 设 备 风险评估 评估人 评估清单 非正式 评估机构 非正式评估报告评估报告 经验 知识 设备 测试 经认可的 评估机构 评估审核 机构 评估清单 经认可的
6、评估机构 经验 知识 设备 测试 评估清单 GB/T 20547.2 评估报告 评估审核 机构 审批机构 批准函 经认可的 评估机构 认可机构 评估证书 正式声明 GB/T 20547.2 结果 非正式评估 准正式评估 正式评估 经授权的准正式评估 结果 结果 结果 GB/T 20547.2 GB/T 20547.2 评估清单 图图A.A.1 1 评估方法评估方法 注:所有术语,请参考第3条中的定义 A.2 风险评估 由于在实际应用中没有绝对的安全, 因此评估流程中应考虑到可能的攻击场景, 可利用的设备以及 整个设备生命周期中可能的操作环境, 以及包括业务需求、 技术需求和总体系统安全需求在内
7、的其他因 素都应在评估过程中体现。 风险评估是重复分析下面因素的过程: 攻击造成的威胁; 成功攻击造成的破坏与损失; 攻击发生的可能性。 如果已知所有类型的攻击, 则风险就是每种攻击的可能性与相关损失的函数, 对于某种特定攻击引 起的风险是接受还是采取防护措施取决于安全策略和业务决策, 攻击的复杂度取决于所需要的工具、 设 备、技术以及资源(包括时间和材料)。 GB/T 20547.1XXXX 21 风险评估虽然并非仅基于价值判断, 但总是包含了价值判断, 风险评估的方法有多种但本部分不再 做具体讨论。 A.3 非正式评估方法 A.3.1 概述 独立评估人可应发起人的要求进行非正式评估, 为此
8、, 评估人应对进行评估的设备编制相应的评估 检测清单。当评估结束后,评估结果将被提交到进行非正式评估审核的机构,该机构将对结果做审核并 做出接受、拒绝或要求对结果作进一步的澄清的结论,审核结束后,非正式评估报告提交给发起人。 任何评估开始前, 在所有参与方之间, 应就环境和受怀疑设备在何种条件下可用和不可用的问题达 成共识。 本部分中描述了各参与方采用非正式评估方法对SCD进行评估时的相应做法。 A.3.2 发起人 发起人可以是厂商也可是一个独立团体,无论那种情况,发起人应承担以下角色和职责: 发起整个评估流程; 完成风险评估(其他的因素,如时间和成本等也应考虑); 选择适当的检测项目清单;
9、提交“提交物”; 接收非正式评估报告。 A.3.3 评估人 评估人应当独立于发起人。 评估人应承担以下角色和职责: 对评估检测清单中的问题做出以下答复,符合(T),不符合(F),不适用(N/A); 如果答案是不符合或者不适用,应给出解释; 将结果提交给非正式评估审核机构。 A.3.4 非正式评估审核机构 非正式评估审核机构可以是发起人自己也可以是其他独立团体, 非正式评估审核机构都应承担以下 角色和职责: 从评估人接收提交的结果; 如果答案是不符合或者不适用,判断解释是否合理; 如果需要,将解释返回给评估人要求进一步的澄清; 判定指定环境的安全级别; 判定 SCD 的安全级别是否达到或超过其操
10、作环境的最低可接受的安全需求; 产生非正式评估报告并提交给发起人。 评估审核时,应将最初风险评估的情况作为考虑因素之一。 A.3.5 评估检测清单 在ISO 13491-2中的评估检测清单是一个声明列表,评估员对每一份声明进行说明,无论该声明是 否适用于该被评估的设备。 这些声明可能比被评估设备描述的需求更加严格, 可能代表了需求的意向或 GB/T 20547.1XXXX 22 满足需求的首选实现方式,因而,对于评估检测清单中评估为不支持和不适用的项,并非意味着一定不 符合,仅表明符合性可能存在问题,需要加以考虑。 因此,评估人在评估结果中应对不支持和不适用的评估项注明理由,并: 解释该安全需
11、求是如何采用其他方式来充分满足的; 指出何时及怎样纠正不符合的情形; 指出不符合的原因。 评估人也可以使用附加的评估检测清单, 如国家和地区的标准以及为了完成评估工作可能需要的其 他一些评估检测清单。 A.3.6 非正式评估结果 非正式评估结果应包含以下部分: 用于评估的相关文档列表; 一份针对评估项以符合、不符合或不适用作结论的检测清单; 所有例外情况的解释(如不符合和不适用); 发起人的名称; 评估人名称和评估人所属机构; 评估日期; 设备标识(如生产商名称,型号等)。 A.3.7 非正式评估报告 非正式评估报告应包含以下部分: 所有来自评估结果的信息; 用于审核的相关文档列表; 对评估结
12、果中例外情况的意见(同意或拒绝); 非正式评估审核机构名称; 审核日期; 对在指定环境下设备合格或不合格的最终建议。 如果设备被评估为不合格,报告可以附加设备安全和/或环境控制安全的建议,以便设备可重新评 估为合格。 A.4 准正式评估方法 A.4.1 概述 评估机构和认可的评估机构所进行的评估在许多方面是一致的。 虽然承担评估工作需要评估机构具 有一定的独立性和相关技术,但不会像认证所需的正式方法那样严格。为使不同的评估机构在对SCD进 行评估时遵从一套共同的评估标准,评估机构应使用ISO 13491-2中定义的评估检测清单作为SCD评估 的基础。 宜采用以下两种工作方法; 评估审核机构和/
13、或发起人制定一系列评估需求(SCD 以此为基础进行评估)。评估完成后, 其结果仅提供给发起人和/或评估审核机构; 当发起人和/或评估审核机构有对某种特性或性能的符合性需求(如对一个网络或支付系统接 口有符合性需求时),应使用评估检测清单对 SCD 进行评估并据此产生正式声明,这些声明将 GB/T 20547.1XXXX 23 作为评估流程中的一部分。 当发现存在巨大风险需进行第三方评估, 但不需要对评估结果进行正式认证的情况下, 宜通过评估 机构进行评估。 本部分描述了各参与方在采用准正式评估方法对SCD进行评估时的相应做法。 A.4.2 发起人 发起人的角色和职责与A.3.2中所描述的一致。
14、 A.4.3 评估机构 评估机构应独立于厂商和发起人之外,并应承担以下角色和职责: 采用相应的评估检测清单协助评估测试; 应用其经验和知识支持评估; 使用其专门设备来完成测试; 通过发起人向评估审核机构提交结果; 书面记录所有测试的结果(成功或失败)。 评估机构应按照A.3.5要求完成评估检测清单。 A.4.4 评估审核机构 评估审核机构可以是发起人,也可以是独立的评估审核机构。无论哪种情况,评估审核机构都应承 担以下角色和职责: 接收评估机构提交的评估结果; 如果测试结果失败,判定测试用例是否合适; 如果必要,将结果返回评估机构并要求作进一步的澄清或测试; 判定指定环境的安全级别; 判定加密
15、设备的安全级别是否达到或超过其操作环境的最低可接受的安全需求; 产生评估报告并提交给发起人。 评估审核时, 应将最初风险评估的情况作为考虑因素之一。 在非正式和准正式方法同时使用的情形 下,评估审核机构应接收到来自两次评估的评估结果。 A.4.5 评估结果 评估机构的结果应包含以下部分: 用于评估的相关文档列表; 表明所有合格或不合格测试的列表; 发起人名称; 评估机构名称; 评估日期; 设备标识(如厂商名称、型号等)。 此外,评估机构可提供以下信息: 所有测试的详细说明; 不合格测试的详细说明。 A.4.6 评估报告 评估报告应包含以下部分: 来自评估结果的部分信息(某些信息可能是秘密的);
16、 用于审核的相关文档列表; GB/T 20547.1XXXX 24 对评估结果中所有不合格测试提出的意见; 评估审核机构名称; 评估日期; 对在指定环境下对设备的合格或不合格的最终建议。 如果设备被评估为不合格,报告中可以附加设备安全性和/或环境控制安全的建议,以便设备可被 重新评估为合格。 A.5 经授权的准正式评估方法 A.5.1 概述 当发起人有对某种特性或性能的符合性需求(如对一个网络或支付系统接口有符合性需求时),应 使用评估检测清单对SCD进行评估并据此产生正式声明。 虽然承担评估工作需要评估机构具有一定的独立性和相关技术, 但不会像认证所需的正式方法那样 严格,为使不同经认可的评估机构在对SCD进行评估时遵从一套共同的评估标准,经认可的评估机构应 使用ISO 13491-2中定义的评估检测清单作为SCD评估的基础。 个别网络或支付系统接口可能在检查表要 求之外有额外要求。 本部分描述了各参与方在使用这种评估方法进行SCD评
