- 개요
- 1980년대부터 시행된 국가별 상이한 평가 기준을 단일 평가 기준으로 대체하기 위하여 개발
- 현존하는 평가 기준의 조화를 통해 평가 결과의 상호인증 추진과 보안 요구사항의 유연성 부여, 평가의 상호인증을 위한 골격 제시, 평가 기준의 향후 발전 방향의 정립
- 1980년대부터 시행된 국가별 상이한 평가 기준을 단일 평가 기준으로 대체하기 위하여 개발
- 공통 평가 기준 구조
- Part 1 : 소개 및 일반 모델
- 일반 모델은 정보 보호 시스템의 평가 원칙과 일반 개념을 정의하고, 평가의 일반 모델을 표현하는 공통평가 기준의 소개 부분
- 정보 보호 시스템의 보안 목적을 표현하고, 정보 보호 시스템의 보안 요구사항을 선택하여 정의하며, 정보 보호 시스템의 상위 수준 명세를 작성하기 위한 구조를 소개
- 각 이용자 집단에 대해 공통 평가 기준의 각 부분의 유용성을 서술
- 일반 모델은 정보 보호 시스템의 평가 원칙과 일반 개념을 정의하고, 평가의 일반 모델을 표현하는 공통평가 기준의 소개 부분
- Part 2 : 보안 기능 요구 사항
TOE(Target of Evaluation)의 기능 요구사항을 표준화된 방법으로 표현한 것으로, 기능 컴포넌트들의 집합으로 구성되고, 11개의 클래스로 이루어져 있음
- Part 3 : 보증 요구사항
- TOE의 보증 요구사항을 표준화된 방법으로 표현한 것으로, 보증 컴포넌트들의 집합으로 이루어져 있음
- Part 3은 보호 프로파일과 보안 목표 명세서에 대한 평가 기준을 정의
- TOE의 보증 수준에 대해 공통 평가 기준에서 미리 정의된 척도를 소개하는데, 이를 평가 보증 등급이라 함
- TOE의 보증 요구사항을 표준화된 방법으로 표현한 것으로, 보증 컴포넌트들의 집합으로 이루어져 있음
- CC의 핵심
Part 2와 Part 3로 정보 보호 시스템이 구비해야 하는 기능 및 보증 요구사항을 기술하고 있으며, 개발자는 기술된 요구사항을 참조하여 정보 보호 시스템을 개발
- 평가 기준 상호 인정 협정
공통 평가 기준과 유럽 평가 기준의 경우 평가 기준의 국가 간 상호인정을 위한 협정을 체결하여 타국에서 평가받은 제품을 일정 등급까지 자국 내에서 평가 받은 제품과 동일한 효력이 발생되도록 인정
- 기타
- 보호 프로파일(Protection Profile)
- IT 제품 및 시스템을 분류하고 각 특성에 맞는 보안 목표를 유용하고 효과적으로 표현하고 기준의 보안 기능 요구사항을 선택하여 보호 프로파일을 작성
- 같은 분류에 속하는 IT 제품이나 시스템은 보호 프로파일을 새로 작성할 필요 없이 기존에 작성되어 있는 보호 프로파일을 활용할 수 있게 하기 위한 것
- 표준화된 기준을 제시하고 명세서를 공식화하려는 의도로 보호 프로파일을 개발
- IT 제품 및 시스템을 분류하고 각 특성에 맞는 보안 목표를 유용하고 효과적으로 표현하고 기준의 보안 기능 요구사항을 선택하여 보호 프로파일을 작성
- 보안 목표 명세서(ST; Security Target)
- 평가 활동의 기초 자료로서 TOE에서 요구되는 보안 요구사항과 객체들을 포함하며, 요구사항을 만족시키기 위해 TOE가 제공하는 기능과 보증 평가를 정의한 것
- 보안 목표 명세서 작성자는 한 개 이상의 보호 프로파일에 적합하도록 보안 목표명세서를 작성
- 평가 활동의 기초 자료로서 TOE에서 요구되는 보안 요구사항과 객체들을 포함하며, 요구사항을 만족시키기 위해 TOE가 제공하는 기능과 보증 평가를 정의한 것
2010년 8월 10일 화요일
공통 평가 기준(CC; Common Criteria)
피드 구독하기:
댓글 (Atom)
댓글 없음:
댓글 쓰기