PP, ST,EAL0, EAL 1~7, ISO 15408
KEY : ISO15408 , 국가마다 다른 기준 평가 , EAL0~7 , CCRA
CC의 평가대상 3가지 (PP, ST, TOE)
활용 : 정보시스템 보호 평가기준의 다양성 해결
패턴 : -CC인증으로 동일한제품을 평가하느냐(PP) 특정제품을 평가하느냐(SP) 심사대상객체를 통해서 평가하느냐(ToE)
- 평가기관 (KISA) , 회원국 (CCRA) , 정책기관(지경부) , 인증기관(국정원)
ISO/IEC 15408 국제표준
보안 기능과 보안 보증에 대한 ISO 15408 국제평가 기준을 만족할 때 CC 인증을 부여
CC 인증의 평가보증등급(EAL, evaluation Assurance Level)은 1~7등급으로 총 7개의 단계로 구분되며, 등급이 높을수록 그에 상응하게 보안의 안전성 검증도 까다로워지며 검증에 소요되는 시간도 길어진다. 이번에 화웨이가 취득한 CC인증은 EAL4+이며 이는 네트워크 장비로 취득할 수 있는 최고 레벨이다.
지난 2년 동안 지속적인 소스코드 검증과 제품 개발 과정의 설계, 아키텍처 평가, 엄격한 제품 테스트를 거쳐 발급된 CC인증은 향후 5년 동안에도 인증 발급 기관에서 제품의 실제 응용과정을 지속적으로 추적해 인증서를 갱신 관리해 나가게 된다.
(https://www.zdnet.co.kr/view/?no=20200605134743
화웨이 세계 최초 5G EAL4+ CC인증 획득
화웨이가 세계 최초로 5G 기지국 장비에 대한 CC 인증을 획득했다.화웨이는 5G 기지국 장비에 대해 스페인의 정보보안 평기기관인 E&E(Epoche and Espri) 연구소로부터 국제보안 CC(Common Criteria) EAL4+ 인��
zdnet.co.kr
CC (Common Criteria)
최근에는 전자상거래, 클라우드 컴퓨팅 환경, 스마트 머신, 생체인식, IoT 환경 등에서 정보화 역기능을 방지하기 위해 정보보호제품 사용이 증대되고 있어 정보보호제품의 보안평가 표준기술 개발이 더욱 요구되고 있다.
CC 인증은 국제보안평가 상호인정협정(Common Criteria Recognition Arrangement, 이하 CCRA)에서 작성한 공통평가기준(CC)과 평가방법론(Common Evaluation Methodology, 이하 CEM)으로 구성되며, 공통평가기준 및 평가방법론은 WG3의 ISO/IEC 15408 및 ISO/IEC 18045로 국제표준화된다.
정보보호 제품의 정보보안 평가기술 국제표준은 정보보호 국가산업에 장·단기적으로 미치는 영향이 매우 크다. 특히, 한국 WG3 전문가 그룹에서 개발업체 전문가들의 역할이 중요하게 부각될 예정이다. 따라서 개발업체 전문가들의 표준활동에 대한 국가 및 개발업체 차원의 적극적인 지원이 필요하다. 또한, 이들의 표준 활동을 뒷받침 할 수 있는 학계의 기술적 지원도 요구된다.
(http://www.boannews.com/media/view.asp?idx=65840
KCMVP 개발 암호모듈 현장시험기준 올해 신규 국제표준 발행
WG3(Working Group 3)는 1990년 결성되어 미국, 영국, 프랑스, 독일, 캐나다, 네덜란드 등이 정보보안 평가기술 국제표준화 프로젝트를 수행하기 시작했다.
www.boannews.com
1. CC : 국가마다 서로 다른 정보보호시스템의 평가기준을 연동하고, 평가결과를 상호인증하기 위해서 제정된 정보보안 평가기준
2. CC의 구성요소 및 인증절차
(1) 구성
1) Part 1 : CC소개 및 일반모델
2) Part 2 : 보안기능요구사항 (TOE의 기능요구사항, Family, Class구성)
3) Part 3 : 보증요구사항 (PP, ST의 평가기준정의, 7개 등급 보증패키지)
(2) 구성요소
1) 패키지 : 부분적인 보안목표를 만족시키기 위한 Component 집합
2) EAL : 평가(Evaluation), CC의 체계화된 보증수준이 보증등급형성 , 0~7단계
3) PP (Protection Profile)/ ST (Security Target)
4) CEM:common Evaluation Methodology/평가진행 방법론 /
5) CCRA(Common Criteria Recognition Arrangement)에 가입 시 효력 발생
6) CAP/CEP : 인증서 수용국.발행국
(3) 인증절차
- 인증기관 (국가정보원, IT보안인증사무국), 평가기관(KISA 보안성평가센터), 신청인
CEM(CC Evaluation Methodology)
[개념] IT 보안 평가시 CC를 위한 평가수행지침문서
* CC내용을 가지고 평가수행 방법론으로 서술하세요. 힘내세요.
[평가원칙]
- 적절성 : EAL 요구사항이 정확히 일치하는 평가행위만을 수행
- 공정성 : 평가대상물 또는 PP에 편견이 있어서는 안됨
- 반복성 및 재생산성 : 평가대상자에 관계없이 동일한
[평가결과] 완전성 : 기술적으로 정확하게 평가받았음을 보여야함
[공통평가방법론]
1~7 : 소개, 개요, 문서규정
8. 평가과정 및 관련 업무 / 9. 보호프로파일 평가 / 10. 보안 목표명세서 평가
11. 개발 평가 활동 / 12. 설명서 평가활동 / 13. 생명주기 지원 평가활동
14. 시험평가 활동 / 15. 취약성 평가 활동 / 16. 합성 평가 활동
'03.Security' 카테고리의 다른 글
| 네트워크 보안 - 프로토콜 - SSL/TLS (0) | 2020.06.29 |
|---|---|
| 개인정보 - 정책 협력 거버넌스 체계 (0) | 2020.06.29 |
| 공인인증서 이슈 - DID (Decentralized Identity) (2/2) (0) | 2020.06.29 |
| 클라우드 보안 (0) | 2020.06.29 |
| FDS (Fraud Detection System), 이상거래 (0) | 2020.06.29 |
