정보보호 시스템의 평가 기준 CC, ITSEC, TCSEC
- 보안(Security)
- 2019. 9. 8.
정보보호, 정보보안 시스템의 평가 기준 CC, ITSEC, TCSEC
각 나라에서는 정보보호 시스템의 성능과 신뢰도를 평가 하기 위해 자국의 실정에 맞는 평가 기준을 제정 했는데요
미국에서는 오렌지 북이라고 불리는 TCSEC
유럽의 공동적인 평가 기준서로 ITSEC (영국 독일 프랑스 네덜란드)
그리고 국제 공통 평가기준으로 CC라고 불리는 Common Criteria (번역하면 공통 기준입니다) 이 있습니다
이번 2019년도 9월 정보보안산업기사 문제에도 출제가 되었습니다
정보보안 시험 준비하시는분들은 기본적으로 숙지하시는게 좋을 것 같습니다
TCSEC
Trusted Computer Security Evaluation Criteria
- 1983년에 미국에서 제정
- 표지가 오렌지색이라 오렌지북이라 불림
- 보안등급은 크게는 A, B, C, D 4단계, 세부적으론 A1, B3, B2, B1, C2, C1, D 총 7단계로 나뉜다.
- 4가지 요구사항 : 정책(Security Policy), 책임성(Accountability), 보증(Assurance), 문서(Documentation)
- TNI, TDI, CSSI 등 시스템 분류에 따라 적용 기준이 다르다.
- 기밀성 만을 중심으로 평가한다
ITSEC
Information Technology Security Evaluation Criteria
- 1991년 독일, 프랑스, 네덜란드, 영국 등 유럽 4개국이 평가제품의 상호 인정 및
평가기준이 상이함에 따른 불합리함을 보완하기 위하여 작성한 것임
- 평가등급은 최하위 레벨의 신뢰도를 요구하는 E0(부적합판정)부터 최상위레벨의
신뢰도를 요구하는 E6까지 7등급으로 구분함
- ITSEC 평가기준은 기술적인 문제 보다는 조직적, 관리적 통제와 보안제품의
기능성 등 비기술적인 측면을 중시
- 기밀성 무결성 가용성을 기준으로 추가한 성격
CC
Common Criteria
국가마다 상이한 평가 기준을 연동시키고, 평가결과를 상호 인증하기 위해 제정된 국제 평가기준
| EAL 1 | 기능 시험 | 기능 명세서, 설명서 |
| EAL 2 | 구조 시험 | 기본설계서, 기능시험서 |
| EAL 3 | 체계적 시험 | 생명주기, 개발보안, 오용분석 |
| EAL 4 | 설계 시험/검토 | 상세설계, 보안정책, 상세시험 |
| EAL 5 | 준정형화 설계/시험 | 개발문서, 보안기능 전체코드 |
| EAL 6 | 준정형화 설계 검증 | 전체 소스 코드 |
| EAL 7 | 정형화 설계 검증 | 개발 문서 정형화 기술 |