정의
|
- 미국 TCSEC(오렌지북), 유럽의 ITSSEC의 보안 표준을 기반으로 작성된 보안제품 평가에 대한 국제평가 기준(ISO 15408)
- 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
- 정보기술의 보안기능과 보증에 대한 평가기준, ISO/IEC 15408
|
목적
|
- 정보보호 시스템의 보안등급 평가에 신뢰성 부여
- 현존하는 평가기준과 조화를 통해 평가결과의 상호인정 (CCRA: CC 상호인정협정)
- 정보보호 시스템의 수출입에 소요되는 인증비용절감으로 국제유통 촉진
|
구조
|
- 보호 프로파일(Protection Profile) 및 보안 목표 명세서(Security Target) 보안 기능 요구사항, 보증 요구사항, 평가등급 EAL1 ~ EAL 7, EAL0 부적합
- 모든 보안제품에 사용하고 CCRA 가입국 간의 상호인증 수용
- 보안 기능 뿐만 아니라, 비보안 기능까지도 기능 및 취약성 평가
|
주요기능
|
- 보호 프로파일 평가 : 보호 프로파일 완전성, 일관성, 기술 타당성 판단 평가 대상인 TOE 요구사항 표현 적합성 증명
- 보호 목표 명세서 평가 : 보호 파일의 요구사항 만족 여부 증명
- TOE 평가 : TOE 가 보안 목표 명세서에 명세 된 요구사항 만족 여부
|
보안기능 요구사항 구조
|
- 패키지: 기능보증사항의 집합, 재사용 가능, PP/ST의 기초
- PP(Protection Profile): 공통 심사기준
- ST(Security Target): 특정제품/시스템 의존기능 및 요구
- EAL(Evaluation Assurance Level): PP/ST의 등급(0~7 등급)
- TOE(Target of Evaluation): 심사 대상 객체
|
특징
|
- 평가 : 보안기능과 보호기능으로 나누어 평가
- 보안등급체계 : EAL(Evaluation Assurance Level) 부여
- 관련작성문서 : 보호프로파일(Protection Profile), 보안목표명세서(Security Target)
- 평가수행지침 : CEM(Common Evaluation Methodology) 평가진행을 위한 방법론 혹은 프로세스
- 인증서 효력 : CCRA(Common Criteria Recognition Arrangement)에 가입 시 효력 발생
|