정보보호시스템 공통평가기준: Difference between revisions
From CS Wiki
No edit summary |
No edit summary |
||
(9 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
== | [[분류:보안]][[분류:정보보안기사]][[분류:인증/평가]] | ||
;Common Criteria; CC인증 | |||
;국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준 | |||
== 공통평가기준 개요 == | |||
=== 특징 === | |||
* 국제 표준 [[ISO/IEC 15408]] | |||
* 상호인정 협정 [[CCRA]]에 의해 국가한 상호 인정 | |||
* [[TCSEC]], [[ITSEC]], [[CPCPEC]]의 통합 | |||
=== 용어정의 === | |||
* '''엘리먼트''' : 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 '''최소 단위'''를 말한다. | * '''엘리먼트''' : 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 '''최소 단위'''를 말한다. | ||
* '''컴포넌트''' : 보호프로파일, 보안목표명세서에 포함될 수 있는 보안요구사항의 가장 작은 선택 단위로서 '''엘리먼트의 모음'''을 말한다. | * '''컴포넌트''' : 보호프로파일, 보안목표명세서에 포함될 수 있는 보안요구사항의 가장 작은 선택 단위로서 '''엘리먼트의 모음'''을 말한다. | ||
* '''패밀리''' : 같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 '''컴포넌트의 모음'''을 말한다. | * '''패밀리''' : 같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 '''컴포넌트의 모음'''을 말한다. | ||
* '''클래스''' : 같은 보안목적을 가지는 '''패밀리의 모음'''을 말한다. | * '''클래스''' : 같은 보안목적을 가지는 '''패밀리의 모음'''을 말한다. | ||
* '''보호프로파일(PP)''' : 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 '''보안요구사항의 집합'''을 말한다. | |||
* '''보안목표명세서(ST)''' : 식별된 평가대상의 평가를 위한 근거로 사용되는 '''보안요구사항과 구현 명세의 집합'''을 말한다. | |||
* '''평가보증등급(EAL)''' : 공통평가기준에서 미리 정의된 보증수준을 가지는 '''보증 컴포넌트로 이루어진 패키지'''를 말한다. | |||
== 평가기준 구조 및 인증 절차 == | |||
=== 공통 평가기준 구성 === | |||
== 평가기준 | |||
; 공통평가기준은 총 3부로 구성된다. | ; 공통평가기준은 총 3부로 구성된다. | ||
* '''1부''' | * '''1부. CC소개 및 일반 모델''' | ||
** 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개 | ** 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개 | ||
** IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의 | ** IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의 | ||
** 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개 | ** 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개 | ||
* '''2부''' | * '''2부. 보안기능 요구사항''' | ||
** 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성 | ** 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성 | ||
** 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류 | ** 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류 | ||
* '''3부''' | * '''3부. 보증 요구사항''' | ||
** 보증요구사항을 표준화된 방법으로 표현 | ** 보증요구사항을 표준화된 방법으로 표현 | ||
** 컴포넌트들의 집합으로 구성 | ** 컴포넌트들의 집합으로 구성 | ||
** 보증 클래스, 보증 패밀리, 보증 컴포넌트로 분류 | ** 보증 클래스, 보증 패밀리, 보증 컴포넌트로 분류 | ||
** 보호프로파일 및 보안목표명세서에 대한 평가기준을 정의 | ** 보호프로파일 및 보안목표명세서에 대한 평가기준을 정의 | ||
=== 공통평가기준 인증 절차 === | |||
{| class="wikitable" | |||
|- | |||
! 절차 !! 설명 | |||
|- | |||
| Protection Profile(PP) | |||
|| | |||
* PP의 안정성, 일치성, 기술적 평가 | |||
* TOE의 요구사항을 표현하는데 적합한지 확인 | |||
|- | |||
| Security Target(ST) | |||
|| | |||
* PP의 요구사항 충족여부 | |||
* ST의 완전성, 일관성, 기술적 평가 | |||
|- | |||
| Target of Evaluation(TOE) | |||
|| | |||
* ST에 명세된 보안요구사항 충족 여부 | |||
|} | |||
== 평가보증등급== | == 평가보증등급== | ||
Line 31: | Line 60: | ||
** EAL1은 최저의 평가보증등급, EAL7은 최고의 평가보증등급 | ** EAL1은 최저의 평가보증등급, EAL7은 최고의 평가보증등급 | ||
* 기존의 평가보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있다. | * 기존의 평가보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있다. | ||
{| class="wikitable" | |||
! 등급 | |||
! 주요 내용 | |||
! 평가 대상 | |||
|- | |||
| EAL 1 | |||
| 기능 시험 | |||
| 기능 명세서, 설명서 | |||
|- | |||
| EAL 2 | |||
| 구조 시험 | |||
| 기본설계서, 기능시험서 | |||
|- | |||
| EAL 3 | |||
| 체계적 시험 | |||
| 생명주기, 개발보안, 오용분석 | |||
|- | |||
| EAL 4 | |||
| 설계 시험/검토 | |||
| 상세설계, 보안정책, 상세시험 | |||
|- | |||
| EAL 5 | |||
| 준정형화 설계/시험 | |||
| 개발문서, 보안기능 전체코드 | |||
|- | |||
| EAL 6 | |||
| 준정형화 설계 검증 | |||
| 전체 소스 코드 | |||
|- | |||
| EAL 7 | |||
| 정형화 설계 검증 | |||
| 개발 문서 정형화 기술 | |||
|} | |||
== 국내 CC인증 체계 == | |||
[[파일:국내 CC인증 체계.png]] | |||
== [[CCRA|국제 CC 상호인증 체계]] == | |||
;CCRA |
Latest revision as of 00:54, 28 December 2019
- Common Criteria; CC인증
- 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
공통평가기준 개요[edit | edit source]
특징[edit | edit source]
- 국제 표준 ISO/IEC 15408
- 상호인정 협정 CCRA에 의해 국가한 상호 인정
- TCSEC, ITSEC, CPCPEC의 통합
용어정의[edit | edit source]
- 엘리먼트 : 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 최소 단위를 말한다.
- 컴포넌트 : 보호프로파일, 보안목표명세서에 포함될 수 있는 보안요구사항의 가장 작은 선택 단위로서 엘리먼트의 모음을 말한다.
- 패밀리 : 같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 컴포넌트의 모음을 말한다.
- 클래스 : 같은 보안목적을 가지는 패밀리의 모음을 말한다.
- 보호프로파일(PP) : 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항의 집합을 말한다.
- 보안목표명세서(ST) : 식별된 평가대상의 평가를 위한 근거로 사용되는 보안요구사항과 구현 명세의 집합을 말한다.
- 평가보증등급(EAL) : 공통평가기준에서 미리 정의된 보증수준을 가지는 보증 컴포넌트로 이루어진 패키지를 말한다.
평가기준 구조 및 인증 절차[edit | edit source]
공통 평가기준 구성[edit | edit source]
- 공통평가기준은 총 3부로 구성된다.
- 1부. CC소개 및 일반 모델
- 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개
- IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의
- 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개
- 2부. 보안기능 요구사항
- 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성
- 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류
- 3부. 보증 요구사항
- 보증요구사항을 표준화된 방법으로 표현
- 컴포넌트들의 집합으로 구성
- 보증 클래스, 보증 패밀리, 보증 컴포넌트로 분류
- 보호프로파일 및 보안목표명세서에 대한 평가기준을 정의
공통평가기준 인증 절차[edit | edit source]
절차 | 설명 |
---|---|
Protection Profile(PP) |
|
Security Target(ST) |
|
Target of Evaluation(TOE) |
|
평가보증등급[edit | edit source]
- 정보보호제품의 보증수준을 정하기 위한 공통평가기준에서 미리 정의된 보증등급
- EAL1, EAL2, EAL3, EAL4, EAL5, EAL6, EAL7의 7개의 등급으로 구분
- EAL1은 최저의 평가보증등급, EAL7은 최고의 평가보증등급
- 기존의 평가보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있다.
등급 | 주요 내용 | 평가 대상 |
---|---|---|
EAL 1 | 기능 시험 | 기능 명세서, 설명서 |
EAL 2 | 구조 시험 | 기본설계서, 기능시험서 |
EAL 3 | 체계적 시험 | 생명주기, 개발보안, 오용분석 |
EAL 4 | 설계 시험/검토 | 상세설계, 보안정책, 상세시험 |
EAL 5 | 준정형화 설계/시험 | 개발문서, 보안기능 전체코드 |
EAL 6 | 준정형화 설계 검증 | 전체 소스 코드 |
EAL 7 | 정형화 설계 검증 | 개발 문서 정형화 기술 |
국내 CC인증 체계[edit | edit source]
국제 CC 상호인증 체계[edit | edit source]
- CCRA