정보보호학회논문지 (Journal of the Korea Institute of Information Security & Cryptology)

  • 제17권4호
  • /
  • Pages.61-74
  • /
  • 2007
  • /
  • 1598-3986(pISSN)
  • /
  • 2288-2715(eISSN)
한국정보보호학회 (Korea Institute of Information Security and Cryptology)
권호 표지
DOI QR코드

DOI QR Code

CC 2.3과 CC 3.1의 보증수준별 상대적 평가업무량 배율 추정

Estimation of relative evaluation effort ratios for each EALs in CC 2.3 and CC 3.1

  • 발행 : 2007.08.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

공통기준(CC) 평가체계에서 평가신청인과 평가자는 평가프로젝트를 계약할 때 정보보호시스템의 평가비용과 기간을 산정해야한다. 본 논문에서는 2003년과 2005년에 수행한 연구 결과들을 분석하였으며, 연구 결과의 일부분을 활용하여, CC 2.3과 CC 3.1의 평가보증수준($EAL1{\sim}EAL7$)간의 상대적 평가업무량 배율을 실험조사적으로 산정했다. 또한, 각 보증 컴포넌트에 대해 '개발자요구사항', 조정된 '증거요구사항', '평가자요구사항'으로부터 배율을 산정하였고, 특히, 2003년에 KISA 평가 자료로부터 구한 평가자요구사항별 업무량배율을 사용했다. 본 연구의 결과는 새로운 CC 3.1 평가체계에서 특정한 EAL과 제품유형에 대한 평가비용과 기간을 예측해야하는 평가신정인과 평가프로젝트 관리자에게 유용할 것이다.

In Common Criteria evaluation scheme, sponsor and evaluator should estimate evaluation cost and duration of IT security system evaluation in contracting the evaluation project. In this paper, We analyzed study result that achieve at 2003 and 2005, and utilized part of study result. And we empirically estimate relative evaluation effort ratios among evaluation assurance levels($EAL1{\sim}EAL7$) in CC v2.3 and CC v3.1. Also, we estimate the ratios from 'developer action elements', adjusted 'content and presentation of evidence elements', and 'evaluator action elements 'for each assurance component. We, especially, use ratio of amount of effort for each 'evaluator action elements', that was obtained from real evaluators in KISA in 2003. Our result will useful for TOE sponsor as well as evaluation project manager who should estimate evaluation cost and duration for a specific EAL and type of TOE, in a new CC v3.1 based evaluation schem.

키워드

참고문헌

  1. ISO/IEC TR 15443, 'Information technology - Security Techniques - A Framework for it Security Assurance', 2001
  2. Common Criteria for Information Technology Security Evaluation Part 1, 2, 3, Version 3.1, Revision 1, September 2006
  3. Common Criteria for Information Technology Security Evaluation - Evaluation methodology, Version 3.1, Revision 1, September 2006
  4. Common Criteria for Information Technology Security Evaluation Part 1, 2, 3, Version 2.3, August 2005
  5. FIPS 140-2, Security Requirements for Cryptographic Modules, May 2001. [http://csrc.nist.gov/cryptval/]
  6. ISO/IEC 17799, Information technology - Security techniques - Code of practice for information security management, June 2005
  7. '공통평가기준 기반 평가기간 산정 방안 및 평가수수료 정책 연구', 한국정보보호학회 (한남대학교), KISA연구보고서, 2003.11
  8. 최상수, 최승, 이완석, 이강수, 'CC기반에서 보증수준 및 제품유형을 동시에 고려한 평가업무량 모델', 정보보호학회논문지, 14권 1호, pp.25-34, 2004년 2월
  9. '평가수수료개선을 위한 수수료모델 타당성조사', 한영회계법인, KISA연구보고서, 2005.12
  10. 'SW기술자 노임단가 기준', 한국소프트웨어산업협회, 2006
  11. '소프트웨어사업대가의 기준', 정보통신부 공고, 제2005-22호 개정 (2006. 4. 27) http://www.sw.or.kr
  12. '엔지니어링사업대가기준', 과학기술부 공고, 2004
  13. F. Forge, 'Ways to CC evaluation cost reduction - beyond CC V3', 7'th ICCC, Sep. 2006
  14. Information Assurance - National Partnership Offers Benefits, but faces considerable challenges, GAO-06-392, GAO, March 2006. http://www.gao.gov/new.items/d06392.pdf
  15. Regulations on Ex-parte Costs on Official Acts of the Federal Office for Information Security (BSI Regulations on Ex-parte Costs-BSI-KostV), March 2005 http://www.bsi.bund.de/english/exparte_costs.pdf
  16. 정보보호시스템 평가.인증인증가이드, KISA, 2006.12
  17. B. Boehm, et al., 'Software Cost Estimation with COCOMO II', Prentice-Hall, 2000
  18. T. Jones, 'Estimating Software Costs', McGraw-Hill, 1998
  19. Albert B. Jeng and Yu-Min Yu, 'Analysis of the composition problems in CC v3.1 rev.1 with some suggested solutions', ICCC 2006, 스페인, 2006.9