IT 시스템 개발현장 보안점검항목 추출에 관한 연구

A Study on the Extraction of Security Check Lists for IT System Development Site

  • 발행 : 2003.11.14

초록

IT 시스템 평가과정은 시스템의 보안기능과 이에 적용된 보증수단이 요구사항들을 만족하는지에 대한 신뢰도를 확인하는 것이며, 평가결과는 소비자가 IT 제품이나 시스템이 주어진 환경에 적응하기에 충분히 안전한지, 사용상 내재하는 보안위험이 허용가능한지를 결정하는데 도움이 될 수 있다. 공통평가기준(정보통신부 고시 제2002-40호)에 기반한 평가를 통하여 평가보증등급(EAL) 3 이상의 등급을 인증받기 위해서는 ALC_DVS 패밀리의 요구사항을 고려하여야 하며, 국가기관에서 요구하고 있는 EAL 3+ 등급을 획득하기 위해서는 ALC_DVS.1 컴포넌트의 요구사항을 만족하여야 한다. ALC_DVS.1 컴포넌트의 요구사항 만족 여부를 확인하기 위해서는 개발현장에 대한 실사가 필요할 수 있으나, 공통평가 기준에는 이에 관하여 세부적인 요구사항이 명시되어 있지 않다. 본 논문에서는 평가자 및 개발자가 ALC_DVS.1 컴포넌트에서 요구하는 인적, 물리적, 절차적 보안 요소를 확인하는 데 도움을 줄 수 있는 점검항목들을 도출하였다.

키워드