시스템의 보증, F1~F10 = 시스템의 기능성)
⑥ 보증 측정 수단의 하나는 보안 기능 구현의 정확성이며 다른 하나는 운영되는 TOE의 효율성이다.
3. 장단점
미국의 컴퓨터 보안 평가 지침서가 보안의 기술적인 요소 중 기밀성만을 강조한 반면, 이것은 기밀성 외의 보안 요소인 무결성과 가용성까지 포함하는 포괄적인 표준안을 제시하고 있다.
인 증 제 도
1. EAL ( Evaluation Assurance Level )
1.1 개요
보증 컴포넌트의 패키지.
정보 기술(IT) 제품 또는 시스템의 평가 결과 보안 기능을 만족한다는 신뢰도 수준을 정의한 것이다.
1.2 특징
평가 보증 수준, 평가 보증 등급, 정보 보호 시스템 공통 평가 기준(CC)의 보증 요구 사항으로 이루어진 패키지이다. CC 보증 요구 사항은 IT 제품 또는 시스템의 형상 관리, 배포 및 운영, 개발, 설명서, 생명주기 지원, 시험, 취약성 평가 등을 포함하고, CC는 이를 7등급으로 구분하며, 등급이 높아질수록 보증 요구 사항은 강화된다.
2. CC (Common Criteria)
2.1 개요
정보 보호 시스템에 대한 공통 평가 기준.
1999년 6월 8일 ISO 15408 표준으로 채택된 정보 보호 제품 평가 기준으로 정보화의 순기능 역할을 보장하기 위해 정보 보호 기술 기준으로 정보화 제품의 정보 보호 기능과 이에 대한 사용 환경 등급을 정한 기준이다.
선진 각국들이 서로 다른 평가 기준을 가지고 평가를 시행하여 초래되는 시간과 비용 낭비 등 기타 제반의 문제점을 없애기 위해 개발하기 시작하여, 1998년에는 이에 의한 상호 인정 협정이 미국, 캐나다, 영국, 프랑스, 독일 간에 체결되었다.
2.2 특징
제1부 시스템의 평가 원칙과 평가 모델, 제2부 시스템 보안 기능 요구 사항(11개), 제3부 시스템의 7등급 평가를 위한 보증 요구 사항(8개)으로 되어 있다.
보안 요구 사항을 클래스-패밀리-컴포넌트의 계층관계를 갖는 체계로 기본 구조를 표현하였다.
- 클래스(Class) : 공통 보안 초점들을 공유하는 요구사항 패밀리들의 상위 수준 그루핑.
- 패밀리 (Family) : 특정 보안 타겟들을 공유하지만 엄격함이나 강조정도가 다른 요구사항 구성 요소들에 대한 낮은 레벨 그루핑.
- 구성요소 (Component) : PPs(Protection Profiles), STs(Sevurity Targets)또는 패키지에 포함 될 수 있는 가장 낮은 선택 요구사항들 ex)위조할 수 없는 사용자 인증.
3. Security Target
보안목표를 달성하기 위한 기능성 및 보증을 포함한 명세서이다.
4. Protection Profile
4.1 개요
보호프로파일.
정보보호 시스템 사용 환경에서 보안 문제를 해결하기 위한 보안 요구 사항을 국제 공통 평가 기준(CC)내에서 선택하여 작성한 제품/시스템 군별 보안기능/보안요구사항이다.
4.2 특징
정보보호 제품의 평가를 위해 인정된 보호 프로파일에 따라 제품을 개발하고 평가를 받거나, 혹은 개발된 제품의 제원을 보호 프로파일로 등록하고 평가를 받게 된다.
IT 제품 및 시스템별 특성에 맞는 보안 목적을 효과적으로 표현하기 위해 평가 기준의 보안 기능 요구 사항을 선택하여 보호 프로파일을 작성하며, 같은 분류에 속하는 IT 제품이나 시스템은 보호 프로파일을 새로 작성할 필요 없이 기존의 보호 프로파일을 활용할 수 있다. 또한 표준화된 기준을 제시하고 명세서를 공식화하기 위해 보호 프로파일을 사용한다.
특정형태의 제품군이 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이다.
사용자, 개발자 및 임의의 집단 등에서 작성한다.
5. 구조도