[정의] 국가마다 서로 다른 정보보호시스템 평가 기준을 연동하고, 평가 결과를 상호 인증하기 위해 제정된 정보보안 평가기준,국제표준
[표준 구성]
Part1(cc 소개 및 일반모델) : 공통평가기준에 대한 소개부분. IT보안성 평가의 원칙과
일반 개념을 정의. 평가의 보편적인 모델 제시.
Part2(보안기능 요구사항) : TOE(Target of Evaluation:평가제품)에 대한 기능요구
정립 표준이 되는 기능컴퍼넌트의 집합. 패밀리 및 클래스로 구성.
Part3(보증 요구사항, EAL 단계별 요구사항) : 보호프로파일 및 보안목표명세서에 대한
평가기준 정의, 7 개 등급 보증패키지를 제시.
[특징] 평가, 보안등급체계, 관련작성 문서, 평가수행지침, 인증서 효력
-평가 : 보안 기능과 보호기능으로 나누어 평가. 각 기능 및 보증 요구는 사용자로 하여금
원하는 보안요구사항을 쉽게 활용 가능한 계층적 구조 정의.
-보안등급체계 : EAL(Evaluation Assurance Level) 부여. EAL 0 : 부적절. EAM 1.0 ~ EAL 7
(정형적으로 검증된 설계 및 시험평가 보안 등급체계)
-관련작성 문서: 보호프로파일(Protection Profile), 보안 목표 명세서(Security Target).
PP : 정보 제품이 갖추어야 할 공통적인 보안 요구사항을 모아 놓은 것.ST : 요구사항을 구현할 수 있는 보안 기능 및 보증 수단 정의.
-평가수행지침 : CEM(Common Evaluation Methodology). 평가진행을 위한 방법론 혹은 프로세스.
-인증서 효력 : CCRA(Common Criteria Recognition Arrangement) 가입시 효력 발생.
[절차] 준비단계(평가제출물), 평가단계(평가보고서), 인증단계(인증서, 인증결과서), 사후관리(보안영향분석서)
[PP와 ST 비교] 그림참조
[cPP(Collaborative Protection Profile)] : 기존 필수대상이 아니었으나 3 등급 이상 상호인증을 위해 필수.
- EAL 등급기반에서 보안지침(cPP) 기반으로 변경되는 제도는 국제용에서부터 적용
- EAL3 이상 인증을 받고자 하는 국내 보안업체들은 cPP 개발 참여가 반드시 필요
이후 2020년에 개정됨
'ITPE > 보안' 카테고리의 다른 글
| 프라이버시 보존형 데이터 마이닝(PPDM) (0) | 2021.03.28 |
|---|---|
| 프라이버시 보호모델 (KLT 모델) (0) | 2021.03.27 |
| 개인정보영향평가(Privacy Impact Assessment) (0) | 2021.03.27 |
| SSO, EAM, IAM (0) | 2021.03.27 |
| GDPR (General Data Protection Regulation) (0) | 2021.03.27 |
