Abstract
In Common Criteria evaluation scheme, sponsor and evaluator should estimate evaluation cost and duration of IT security system evaluation in contracting the evaluation project. In this paper, We analyzed study result that achieve at 2003 and 2005, and utilized part of study result. And we empirically estimate relative evaluation effort ratios among evaluation assurance levels($EAL1{\sim}EAL7$) in CC v2.3 and CC v3.1. Also, we estimate the ratios from 'developer action elements', adjusted 'content and presentation of evidence elements', and 'evaluator action elements 'for each assurance component. We, especially, use ratio of amount of effort for each 'evaluator action elements', that was obtained from real evaluators in KISA in 2003. Our result will useful for TOE sponsor as well as evaluation project manager who should estimate evaluation cost and duration for a specific EAL and type of TOE, in a new CC v3.1 based evaluation schem.
공통기준(CC) 평가체계에서 평가신청인과 평가자는 평가프로젝트를 계약할 때 정보보호시스템의 평가비용과 기간을 산정해야한다. 본 논문에서는 2003년과 2005년에 수행한 연구 결과들을 분석하였으며, 연구 결과의 일부분을 활용하여, CC 2.3과 CC 3.1의 평가보증수준($EAL1{\sim}EAL7$)간의 상대적 평가업무량 배율을 실험조사적으로 산정했다. 또한, 각 보증 컴포넌트에 대해 '개발자요구사항', 조정된 '증거요구사항', '평가자요구사항'으로부터 배율을 산정하였고, 특히, 2003년에 KISA 평가 자료로부터 구한 평가자요구사항별 업무량배율을 사용했다. 본 연구의 결과는 새로운 CC 3.1 평가체계에서 특정한 EAL과 제품유형에 대한 평가비용과 기간을 예측해야하는 평가신정인과 평가프로젝트 관리자에게 유용할 것이다.