정보보호학회논문지 (Journal of the Korea Institute of Information Security & Cryptology)

  • 제14권1호
  • /
  • Pages.25-34
  • /
  • 2004
  • /
  • 1598-3986(pISSN)
  • /
  • 2288-2715(eISSN)
한국정보보호학회 (Korea Institute of Information Security and Cryptology)
권호 표지
DOI QR코드

DOI QR Code

CC기반에서 보증수준 및 제품유형을 동시에 고려한 평가업무량 모델

An assurance level and product type based evaluation effort model for CC evaluation

  • 발행 : 2004.02.01
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

CC(=ISO/IEC 15408)는 정보보호시스템의 국제표준이며 CC평가 및 인증체계에서는 평가기관 운영하며 평가기관에서는 적정한 평가비 산정을 위한 근거가 필요하다. 본 논문에서는 특정한 평가기관의 환경이 아니라, CC기준과 기존의 PP 및 ST만을 바탕으로 하여, 제품유형별 및 보증수준별 평가업무량 모델을 제시하였으며, 평가실무자득의 경험, 보안기능의 사용율 개념 및 기능점수방법 등을 이용하였다. 본 결과는 CC평가환경에서 정보보호제품의 평가비 및 기간의 산정을 위한 기본자료로 활용될 수 있을 것이다.

Common Criteria(CC, ISO/IEC 15408) is an international standard for evaluation of Information Suity Systems(ISS). There need a suitable evidence of estimation of evaluation cost in an evaluation facility under the CC-based evaluation and assurance scheme. In this paper, we propose an evaluation effort model, which is based not only on assurance-level but also on product-type of ISS, by means of real experience of real evaluators, use-ratio concept and the Function Point of security function. The model is based not on a real evaluation environment of evaluation facility, but on CC, public PPs and product specific STs. Our result might be used as a basic model for estimation of evaluation cost and time of ISS in an CC-based evaluation and assurance scheme.

키워드

참고문헌

  1. '정보보호시스템 평가/인증 가이드', 한국정보보호진흥원, 2002.12
  2. CC, Common Criteria for Information Technology Security Evaluation, Version 2.1, CCIMB-99-031, August 1999, http://www.commoncriteria.org/site_index.html
  3. CC, Common Evaluation MethodoIogy, Version 1.0, CEM-99/045, August 1999, http://www.commoncriteria.org/site_index.html
  4. Final Interpretations. http://www.commoncriteria.org/docs/PDF/CCPART1V21.PDF
  5. CCRA(Arrangement on the Recognition of Common Criteria Certificates) http://www.commoncriteria.org
  6. ISO/IEC PDTR 15446, 'Information technology Security techniques - Guide for the production of protection profiIes and security targets', Draft, Apr 3, 2000
  7. Oracle, PP-008, DBMS Protection Profile. EAL3, Issue 2.1, May 2000 외 32종(기재생략)
  8. Oracle 8, Security Target, Release 8.0.5, April 2000외 66종(기재생략)
  9. '소프트웨어사업대가의 기준', 정보통신부 고시 2003-14호 (2003. 2. 10)
  10. B. W. Boehm. Software Engineering Economics. Prentice Hall, 1981
  11. 영화회계법인, 정보보호시스템 평가원가분석에 관한 위탁연구과제, KISA. 2003. 6
  12. 이강수 외5명, EWBS를 통한 정보보호시스템의 보안성 평가업무량 및 비용산정 프로세스, 한국정보과학회논문지, 27권 2호, 2000년 2월
  13. '정보통신망 침입차단시스템 평가기준', 정보통신부고시 제2000-14호, 한국정보보호진흥원, 2000.2
  14. '정보통신망 침입탐지시스템 평가기준', 정보통신부고시 제2000-62호, 한국정보보호진흥원, 2000.7