Abstract
Common Criteria(CC, ISO/IEC 15408) is an international standard for evaluation of Information Suity Systems(ISS). There need a suitable evidence of estimation of evaluation cost in an evaluation facility under the CC-based evaluation and assurance scheme. In this paper, we propose an evaluation effort model, which is based not only on assurance-level but also on product-type of ISS, by means of real experience of real evaluators, use-ratio concept and the Function Point of security function. The model is based not on a real evaluation environment of evaluation facility, but on CC, public PPs and product specific STs. Our result might be used as a basic model for estimation of evaluation cost and time of ISS in an CC-based evaluation and assurance scheme.
CC(=ISO/IEC 15408)는 정보보호시스템의 국제표준이며 CC평가 및 인증체계에서는 평가기관 운영하며 평가기관에서는 적정한 평가비 산정을 위한 근거가 필요하다. 본 논문에서는 특정한 평가기관의 환경이 아니라, CC기준과 기존의 PP 및 ST만을 바탕으로 하여, 제품유형별 및 보증수준별 평가업무량 모델을 제시하였으며, 평가실무자득의 경험, 보안기능의 사용율 개념 및 기능점수방법 등을 이용하였다. 본 결과는 CC평가환경에서 정보보호제품의 평가비 및 기간의 산정을 위한 기본자료로 활용될 수 있을 것이다.