정보관리기술사 공부방

[국제공통평가기준(CC, Common Criteria)의 정의]
국가마다 서로 다른 정보보호시스템 평가 기준을 연동하고 평가 결과를 상호 인증하기 위해 제정된 정보보안 평가기준 (KISA)

[국제공통평가기준의 배경]
- 국가간 평가결과를 상호인정하기 위해 미국, 유럽 등 기존의 여러 국가의 평가기준을 참고하여 단일화된 평가기준인 공통평가기준을 개발.
(기존에는 미국 TCSEC(Trusted Computer System Evaluation Criteria), 유럽 ITSEC(Infomation Technology Security Evaluation Criteria)등으로 나뉘어 있었음.
- CC V2.1이 국제표준(ISO/IEC 15408)로 1999년 6월 인증
- 2009년 12월 현재는 CC V3.1이 국제표준(ISO/IEC 15408 3rd)로 되어 있으며 CC V4.0 개발중

[국제공통평가기준의 목적]
- 정보보호 시스템의 보안 등급 평가에 신뢰성 부여
- 현존하는 평가 기준과 조화를 통해 평가 결과의 상호 인정(CCRA:Common Criteria Recognition Arrangement : CC 상호인정 협정)
- 정보보호 시스템의 수출입에 소요 되는 인증 비용 절감 및 경쟁력 확보

[국제공통평가기준의 구성]
1부 : 소개 및 일반 모델
   -용어정의
   - 보안성 평가 개념 정의
   - PP/ST 구조 정의
2부 : 보안기능요구사항
   - 보안기능요구사항 패러다임 정의
   - 보안기능요구사항(클래스/패밀리/컴포넌트/엘리먼트) 정의
   - 보안기능 요구사항 해석사항(부록)
3부 : 보증요구사항
   - 보증 패러다임 정의
   - 보증요구사항(클래스/패밀리/컴포넌트/엘리먼트) 정의
   - 평가보증등급(EAL) 정의
* 평가대상(TOE, Target of Evaluation) : 공통평가기준은 IT제품에만 한정되지 않으므로 "TOE"라는 용어를 사용.
TOE 예 : 응용소프트웨어, 운영체계, IC칩등
* 보호프로파일(PP, Protection Profile) : 사용자의 보안 요구를 표현하기 위해 공통평가기준을 준용하여 작성한 것으로, 보안기능을 포함한 IT제품이 갖추어야 할 "보안요구사항 집합"임
* 보안목표명세서(ST, Security Target) : 개발자가 특정 IT 제품의 보안기능을 표현하기 위해 공통평가기준을 준용하여 작성한 것으로, 제품 평가를 위한 기초자료로 사용됨.

[국제공통평가기준의 등급]
평가보증등급 (EAL, Evalation Assurance Level)
- TOE의 신뢰도 수준을 정의한 것. 요구되는 보증수준과 보증을 얻기 위한 비용간의 균형을 고려하여 평가 보증 등급을 결정.
EAL 1 : 기능 및 인터페이스 명세, 설명서를 이용하여 보안기능 분석, 기초적인 수준의 보증 제공
EAL 2 : EAL 1보다 개발자의 시험, 더 상세한 독립적인 시험, 취약성 분석을 요구
EAL 3 : EAL 2보다 더 완전한 범위의 보안기능 시험, 개발환경 등제요구
EAL 4 : EAL 3보다 더 많은 설계 설명, 구현 표현 요구. 기존 제품 생산라인을 개선하여 경제적 효과를 볼 수 있는 가장 높은 등급
EAL 5~7 : 준정형/정형화된 설계 설명, 체계적인 취약성 분석요구. 높은 위험 상황이나 자산의 가치가 높아서 많은 비용을 정당화 할 수 있는 경우 사용

[참고자료]
한국인터넷진흥원(http://www.kisa.or.kr