[보안] CC 인증 - 정보보안 평가 기준 - 공통평가
- 보안(Security)
- 2020. 12. 8.
CC인증(Common Criteria)
CC인증은 IT보안인증 사무국(ITSCC)에서 인증을 부여하는 공통평가 기준으로
IT제품의 보안 기능성과 평가 과정에서 그 제품들에 적용되는
보증 수단에 대한 공통의 요구 사항들을 제시함으로써,
독립적으로 보안성 평가의 결과들을 비교할 수 있도록 합니다
국제표준 ISO/IEC 15408 로 제정된 정보보호제품의 보안성 평가 기준입니다
평가 결과는 소비자가 그 제품이 보안 요구에 충족되는지 확인하는데 도움을 줄 수 있습니다
만약 정보보안기사 문제에
정보보호제품에 대한 국제표준(ISO-15504) 인증의 명칭은?
이라는 문제가 나오면
CC인증이라고 생각하시면 됩니다
CEM이라는 말도 있는데요
IT 제품의 평가 방법론을 CEM (Common Evaluation Methodology) 이라고 합니다
이 평가 방법론도 국제 표준이며 ISO/IEC 18045 입니다
CC인증을 받는 기관은 CEM도 준수해서 평가 받도록 되어 있습니다
우리나라에서는 3개의 평가기관 한국정보보호진흥원(KISA), 산업기술시험원(KTL), 한국시스템보증(KOSYAS)과
인증기관인 (국가정보원 IT 보안인증사무국)이 있습니다
일반적으로 아래의 보안 회사 제품들이 평가를 요청하고 인증을 받아내고 있습니다
침입차단 및 방지 시스템
통합보안관리제품
웹 응용프로그램 침입 차단 제품
네트워크 접근통제 제품
DDoS 대응 장비 등이 있습니다
CC인증 평가 절차는
신청 -> 계약 -> 평가 -> 인증
순서로 진행됩니다
CC 인증은 평가 대상 제품 보증 등급을 EAL1에서 EAL7까지 7단계의 계층적인 등급으로 정의하고 있습니다
평가보증등급 EAL(Evaluation Assurance Level)은 최대 EAL4 라고 보면 됩니다
아직까지 전세계에서 가장 높은 등급을 받은 사례는 EAL5+ 등급 뿐입니다
IT보안인증사무국
IT보안인증사무국은 정보보호제품 평가·인증제도에 지정된 CC(공통평가기준, Common Criteria) 인증기관입니다. IT보안인증사무국은 정보보호제품 평가·인증제도에 지정된 CC(공통평가기준, Common Cri
itscc.kr
보안인증사무국에 오시면 인증을 받은 기업들의 목록을 볼 수 있습니다
등급이 높을 수록 제출할 산출물의 양이 많아지고 검토 수준이 높아지게 됩니다
|
등급 |
주요 내용 |
산출물 |
|
EAL 1 |
기능 시험 |
기능 명세서, 설명서 |
|
EAL 2 |
구조 시험 |
기본설계서, 기능시험서 |
|
EAL 3 |
체계적 시험 |
생명주기, 개발보안, 오용분석 |
|
EAL 4 |
설계 시험/검토 |
상세설계, 보안정책, 상세시험 |
|
EAL 5 |
준정형화 설계/시험 |
개발문서, 보안기능 전체코드 |
|
EAL 6 |
준정형화 설계 검증 |
전체 소스 코드 |
|
EAL 7 |
정형화 설계 검증 |
개발 문서 정형화 기술 |
감사합니다 😝