CC를 적용한 시스템 보안평가 동향

  • 이경구 (한국정보보호진흥원(KISA)) ;
  • 손경호 (한국정보보호진흥원(KISA))
  • Published : 2003.08.01

Abstract

현재 미국을 비롯한 선진 국가에서는 ISO 국제 표준인 국제 공통 평가 기준 ISO/IEC 15408(CC v2.1, Common Criteria for Information Technology Security Evaluation))과 공통평가방법론(CEM, Common Methodology for Information Technology Security Evaluation)에 근거하여 IT 제품 및 시스템에 대한 보안성 평가를 하고 있다. 그러나, 현재 CC 및 CEM은 주로 IT 제품의 보안성 평가를 위한 것이며, 실제 IT 환경에서 운용되는 시스템에서 이를 적용해 평가하는데는 많은 어려움이 있다. ISO를 중심으로 각 국에서도 이와 관련해 시스템 평가에 CC를 적용하기 위한 방법론이 검토 중에 있다. 그리고 현재 개발 진행중이거나 시장에 출시된 많은 제품이 여러 단일 제품이 합성된 통합제품 형태로 구성되고 있는 추세이며, 이는 시스템 평가 문제와 더불어 향후 CC 기반의 평가를 활성화시키기 위해 풀어야 할 문제로 제기되고 있다. 본고에서는 각 국에서 추진 중인 시스템 평가 동향을 살펴보고, 현재 ISO/IEC SC27/WG3에 표준화로 제안된 "Security Assessment of Operational System"에 대해 살펴보고자 한다.자 한다.

Keywords

References

  1. Common Criteria for Information Technology Security Evaluation(Version2.1)
  2. Common Methodology for Information Technology Security Evaluation(Version1.0)
  3. 정보보호시스템 공통평가기준(정보통신부고시제2002-40호)
  4. 정보보호시스템 평가·인증지침(정보통신부고시제2002-41호)
  5. ISO/IEC JTC1/SC 27/WG3 N610 Security Assessment of Operational Systems
  6. Security Certification and Accreditation Project
  7. NIST Special Publication 800-37 Guide for the Security Certification and Accreditation of Federal Information Systems
  8. Assessing the Security of Federal Information Technology Systems Ron Ross
  9. Composition of Evaluated Components
  10. The Federal Aviation Administration
  11. Department of Defense Trusted Computer System Evaluation Criteria Department Of Defense Computer Security Center
  12. TTAP(Trust Technology Assessment Program, TPEP(Trusted Product Evaluation Program)
  13. TNI(Trusted Network Interpretation of the TCSEC)
  14. FAA System Security Testing and Evaluation Marshall D. Abrams
  15. FEDERAL AVIATION ADMINISTRATION National Airspace System(NAS) System Protection Profile Template Supplement v1.0
  16. FEDERAL AVIATION ADMINISTRATION National Airspace System Protection Profile Template Version 1.0
  17. NIST SP 800-37 Guidelines for the Security Certification and Accreditation of Federal Information Technology Systems
  18. NIST SP 800-53 Minimum Security Controls for Federal Information Technology Systems
  19. NIST SP 800-53A Techniques and Procedures for the Verification of Security Controls in Federal Information Technology Systems
  20. CCEVS
  21. CMVP
  22. CESG
  23. DCSSI
  24. CSE
  25. IPA
  26. 1st ICCC Composition of Evaluation Components Howard Holm
  27. 1st ICCC Composition - A commercial evaluation view Julian Straw
  28. 2nd ICCC Composite evaluation and application PP Brono Baronnet
  29. 2nd ICCC, 3rd ICCC Engineered Composition for Secure Systems Using the Common Criteria Shari Galitzer
  30. 2nd ICCC Trial System Evaluation based on CC/CEM Haruki Tabuchi
  31. 3rd ICCC System Evaluation Patrick Redon
  32. 3rd ICCC Development of the PP for IT system: multilevel MC&A A.Shein