기술용어/정보보안

CC(Common Criteria)

아이티신비 2024. 6. 15. 09:30

정보보호시스템 공통 국제 표준 평가기준, Common Croteria

정의
  • 미국 TCSEC(오렌지북), 유럽의 ITSSEC의 보안 표준을 기반으로 작성된 보안제품 평가에 대한 국제평가 기준(ISO 15408)
  • 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
  • 정보기술의 보안기능과 보증에 대한 평가기준, ISO/IEC 15408
목적
  • 정보보호 시스템의 보안등급 평가에 신뢰성 부여
  • 현존하는 평가기준과 조화를 통해 평가결과의 상호인정 (CCRA: CC 상호인정협정)
  • 정보보호 시스템의 수출입에 소요되는 인증비용절감으로 국제유통 촉진
구조
  • 보호 프로파일(Protection Profile) 및 보안 목표 명세서(Security Target) 보안 기능 요구사항, 보증 요구사항, 평가등급 EAL1 ~ EAL 7, EAL0 부적합
  • 모든 보안제품에 사용하고 CCRA 가입국 간의 상호인증 수용
  • 보안 기능 뿐만 아니라, 비보안 기능까지도 기능 및 취약성 평가
주요기능
  • 보호 프로파일 평가 : 보호 프로파일 완전성, 일관성, 기술 타당성 판단 평가 대상인 TOE 요구사항 표현 적합성 증명
  • 보호 목표 명세서 평가 : 보호 파일의 요구사항 만족 여부 증명
  • TOE 평가 : TOE 가 보안 목표 명세서에 명세 된 요구사항 만족 여부
보안기능
요구사항 구조
  • 패키지: 기능보증사항의 집합, 재사용 가능, PP/ST의 기초
  • PP(Protection Profile): 공통 심사기준
  • ST(Security Target): 특정제품/시스템 의존기능 및 요구
  • EAL(Evaluation Assurance Level): PP/ST의 등급(0~7 등급)
  • TOE(Target of Evaluation): 심사 대상 객체
특징
  • 평가 : 보안기능과 보호기능으로 나누어 평가
  • 보안등급체계 : EAL(Evaluation Assurance Level) 부여
  • 관련작성문서 : 보호프로파일(Protection Profile), 보안목표명세서(Security Target)
  • 평가수행지침 : CEM(Common Evaluation Methodology) 평가진행을 위한 방법론 혹은 프로세스
  • 인증서 효력 : CCRA(Common Criteria Recognition Arrangement)에 가입 시 효력 발생


 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥

 

 

 

'기술용어 > 정보보안' 카테고리의 다른 글

ISMS(Information Security Management System)  (0) 2024.06.18
IPS(Intrusion Prevention System)  (0) 2024.06.17
IDS(TMS)  (0) 2024.06.17
EMS(Enterprise Security Management)  (0) 2024.06.16
DDoS(Distributed Denial of Service)  (0) 2024.06.16