IT 기술/보안
CC 인증 (ISO/IEC 15408)
gooooooood
2024. 9. 23. 19:05
반응형
Ⅰ. 정보보호시스템 공통 국제 표준 평가 기준 Common Criteria 개요
가. CC 인증의 개념
- 국가마다 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 국제 표준 평가 기준 ISO/IEC 15408
나. CC 인증 특징
| 구분 | 내용 |
| 평가 | - 보안기능과 보증기능으로 나누어 평가 |
| 보안 등급 체계 | - EAL 0~7: EAL 0은 부적합, EAL 4가 사실상 최고 등급 |
| 관련 작성 문서 | - 보호프로파일(Protection Profile) - 보안목표명세서(Security Target) |
| 평가 수행 지침 | - CEM(Common Evaluation Methodology) |
| 인증서 효력 | - CCRA(Common Criteria Recognition Arrangement) 가입 시 효력 발생 |
Ⅱ. CC 인증 체계 및 구성
가. CC 인증 체계
나. CC 인증 구성
| 구분 | 구성 | 설명 |
| part 1 | CC 소개 및 일반 모델 | 일반 사항 및 모델 설명 |
| part 2 | 보안기능 요구사항 | 보안 기능 평가 분야 요구사항 |
| part 3 | 보증 요구사항 | 수준평가 등급별 요구사항 |
Ⅲ. 보호프로파일(PP)와 보안목표명세서(ST) 비교
| 구분 | Portection Profile | Security Target |
| 개념 | 동일 제품 적용 가능한 일반적인 보안, 보증 요구사항 | 특정 제품에 적용 가능한 보안, 보증 요구사항 |
| 관계 | PP는 ST를 수용할 수 없음 | ST는 PP를 수용할 수 있음 |
| 적용성 | 제품군의 여러 제품에 동일한 PP 수용 | 특정 제품에 하나의 ST 수용 |
| 완전성 | 불완전한 오퍼레이션 가능 | 모든 오퍼레이션 완전해야함 |
| 구현성 | 독립적 | 종속적 |
반응형