정보보호시스템 공통평가기준: 두 판 사이의 차이

IT위키
편집 요약 없음
편집 요약 없음
1번째 줄: 1번째 줄:
[[분류:보안]][[분류:정보보안기사]]
[[분류:보안]][[분류:정보보안기사]]
;국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
* 국제 표준 [[ISO/IEC 15408]]
* 상호인정 협정 CCRA에 의해 국가한 상호 인정
* [[TCSEC]], [[ITSEC]], [[CPCPEC]]의 통합
== 용어 정의==
== 용어 정의==
* '''엘리먼트''' :  컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 '''최소 단위'''를 말한다.
* '''엘리먼트''' :  컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 '''최소 단위'''를 말한다.
5번째 줄: 10번째 줄:
* '''패밀리''' :  같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 '''컴포넌트의 모음'''을 말한다.
* '''패밀리''' :  같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 '''컴포넌트의 모음'''을 말한다.
* '''클래스''' : 같은 보안목적을 가지는 '''패밀리의 모음'''을 말한다.
* '''클래스''' : 같은 보안목적을 가지는 '''패밀리의 모음'''을 말한다.
 
* '''보호프로파일(PP)''' : 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 '''보안요구사항의 집합'''을 말한다.
* '''보호프로파일''' : 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 '''보안요구사항의 집합'''을 말한다.
* '''보안목표명세서(ST)''' : 식별된 평가대상의 평가를 위한 근거로 사용되는 '''보안요구사항과 구현 명세의 집합'''을 말한다.
* '''보안목표명세서''' : 식별된 평가대상의 평가를 위한 근거로 사용되는 '''보안요구사항과 구현 명세의 집합'''을 말한다.
* '''평가보증등급(EAL)''' : 공통평가기준에서 미리 정의된 보증수준을 가지는 '''보증 컴포넌트로 이루어진 패키지'''를 말한다.
* '''평가보증등급''' : 공통평가기준에서 미리 정의된 보증수준을 가지는 '''보증 컴포넌트로 이루어진 패키지'''를 말한다.


== 평가기준 구조 ==
== 평가기준 구조 ==
; 공통평가기준은 총 3부로 구성된다.
; 공통평가기준은 총 3부로 구성된다.
* '''1부'''
* '''1부. CC소개 및 일반 모델'''
** 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개
** 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개
** IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의
** IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의
** 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개
** 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개


* '''2부'''
* '''2부. 보안기능 요구사항'''
** 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성
** 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성
** 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류
** 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류


* '''3부'''
* '''3부. 보증 요구사항'''
** 보증요구사항을 표준화된 방법으로 표현
** 보증요구사항을 표준화된 방법으로 표현
** 컴포넌트들의 집합으로 구성
** 컴포넌트들의 집합으로 구성
32번째 줄: 36번째 줄:
** EAL1은 최저의 평가보증등급, EAL7은 최고의 평가보증등급
** EAL1은 최저의 평가보증등급, EAL7은 최고의 평가보증등급
* 기존의 평가보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있다.
* 기존의 평가보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있다.
{| class="wikitable"
! 등급
! 주요 내용
! 산출물
|-
| EAL 1
| 기능 시험
| 기능 명세서, 설명서
|-
| EAL 2
| 구조 시험
| 기본설계서, 기능시험서
|-
| EAL 3
| 체계적 시험
| 생명주기, 개발보안, 오용분석
|-
| EAL 4
| 설계 시험/검토
| 상세설계, 보안정책, 상세시험
|-
| EAL 5
| 준정형화 설계/시험
| 개발문서, 보안기능 전체코드
|-
| EAL 6
| 준정형화 설계 검증
| 전체 소스 코드
|-
| EAL 7
| 정형화 설계 검증
| 개발 문서 정형화 기술
|}

2019년 11월 14일 (목) 23:49 판

국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준

용어 정의

  • 엘리먼트 : 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 최소 단위를 말한다.
  • 컴포넌트 : 보호프로파일, 보안목표명세서에 포함될 수 있는 보안요구사항의 가장 작은 선택 단위로서 엘리먼트의 모음을 말한다.
  • 패밀리 : 같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 컴포넌트의 모음을 말한다.
  • 클래스 : 같은 보안목적을 가지는 패밀리의 모음을 말한다.
  • 보호프로파일(PP) : 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항의 집합을 말한다.
  • 보안목표명세서(ST) : 식별된 평가대상의 평가를 위한 근거로 사용되는 보안요구사항과 구현 명세의 집합을 말한다.
  • 평가보증등급(EAL) : 공통평가기준에서 미리 정의된 보증수준을 가지는 보증 컴포넌트로 이루어진 패키지를 말한다.

평가기준 구조

공통평가기준은 총 3부로 구성된다.
  • 1부. CC소개 및 일반 모델
    • 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개
    • IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의
    • 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개
  • 2부. 보안기능 요구사항
    • 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성
    • 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류
  • 3부. 보증 요구사항
    • 보증요구사항을 표준화된 방법으로 표현
    • 컴포넌트들의 집합으로 구성
    • 보증 클래스, 보증 패밀리, 보증 컴포넌트로 분류
    • 보호프로파일 및 보안목표명세서에 대한 평가기준을 정의

평가보증등급

  • 정보보호제품의 보증수준을 정하기 위한 공통평가기준에서 미리 정의된 보증등급
    • EAL1, EAL2, EAL3, EAL4, EAL5, EAL6, EAL7의 7개의 등급으로 구분
    • EAL1은 최저의 평가보증등급, EAL7은 최고의 평가보증등급
  • 기존의 평가보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있다.
등급 주요 내용 산출물
EAL 1 기능 시험 기능 명세서, 설명서
EAL 2 구조 시험 기본설계서, 기능시험서
EAL 3 체계적 시험 생명주기, 개발보안, 오용분석
EAL 4 설계 시험/검토 상세설계, 보안정책, 상세시험
EAL 5 준정형화 설계/시험 개발문서, 보안기능 전체코드
EAL 6 준정형화 설계 검증 전체 소스 코드
EAL 7 정형화 설계 검증 개발 문서 정형화 기술
원본 주소 "https://itwiki.kr/index.php?title=정보보호시스템_공통평가기준&oldid=4960"