• 디지털콘텐츠학회 논문지
• /
• 제5권2호
• /
• pp.95-100
• /
• 2004

정보보호 수준을 향상시키기 위해 정보보호시스템 평가$\cdot$인증에 대한 필요성이 높아지고 있으며 선진국에서는 정보화 역기능 위험 방지를 위해 제도적 일환으로 자국의 환경에 적합한 평가$\cdot$인증제도를 마련하여 정보보호시스템을 평가해 오고 있다. 그러나 상이한 평가기준의 적용으로 인한 시간 및 비용 소모의 문제점이 발생되었으며 이를 해결하기 위한 노력으로 현재 정보보호 시스템 평가를 위한 상호인증을 위해 공통평가기준(CC : Common Criteria)과 공통평가방법론(CEM : Common Evaluation Methodology)을 사용하고 있다. 선진화된 평가제도의 조기 정착과 효율적인 평가 준비 및 수행방법을 위한 정보보호시스템 평가 참여자들의 평가기준 및 방법론에 대한 유연하고 능동적인 해석이 필요하다.

• 융합보안논문지
• /
• 제5권4호
• /
• pp.7-18
• /
• 2005

현재, ISO/IEC SC27 WG3에서는 공통평가기준 개발위원회(CCDB)를 주축으로 CE V3.0의 개정작업을 2008년까지 국제표준을 목표로 적극적으로 진행하고 있다. 따라서 CC V3.0의 변경내용을 분석하여 국가적 차원에서 CC V2.*에서 V3.0의 변화에 철저하게 대비할 필요가 있다. 이에 따라 본 논문에서는 현재 개정 중인 CC V3.0의 개선내용을 CC V3.0 개용내용 요약, 제1부-소개 및 일반모델 개정내용, 제2부-보안기능컴포넌트의 개정내용, 제3부-보안보증컴포넌트의 개정내용 등 크게 네 개의 영역으로 나누어 정밀분석하고 CC V3.0의 개선사항 및 변경내용에 대해 상세하게 설명한다.

• 대한안전경영과학회지
• /
• 제2권4호
• /
• pp.45-57
• /
• 2000

국제 공통평가기준(CC)은 정보보호제품의 개발. 평가. 사용을 위한 ISO 15048 국제 표준이다. 국제 공통평가기준의 제 2 부 보안기능 요구사항은 정보보호제품의 보안 기능을 11개 클래스로 분류하였고, 13개국 인증제품 상호승인 협정(MRA)에 의하여 교차 사용이 가능한 평가된 보안제품을 해설할 수 있는 공통 언어로써 사용할 수 있다. 보호프로파일(PP)은 특정형태의 제품군이 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이다. 보호프로파일은 제품군의 운영환경, 위협요소를 분석하고 보안기능 요구사항의 부분 집합들을 모아서 제품군이 목표로 하는 보안 목적들을 주장할 수 있다.

• 정보처리학회논문지D
• /
• 제11D권4호
• /
• pp.917-928
• /
• 2004

국제 공통평가기준으로서 IS0/IEC 15408인 CC는 국내ㆍ외에서 정보보호제품에 대한 평가 체계로 사용되고 있다. 공통평가기준의 보증요구 사항에서 중요 핵심 보증클래스 중 하나인 형상관리 클래스는 TOE 제품 개발자들이 제품의 품질을 보장하기 위한 잘 정의된 절차 및 규격의 제공이 필요하다. 본 논문은 프로세스 차원에서 CC를 기반으로한 정보보호제품의 형상관리 방법론을 연구하였으며 이에 대한 명확한 품질 활동을 정의하고 형상관리 프로세스 평가를 정량적으로 수행할 수 있는 체크리스트 기반의 지원 도구인 CMPET를 개발한다. 이를 통하여 프로세스 수행활동에 대한 유용한 분석자료가 제품 개발자, 평가자 및 사용자에게 제공되어 품질활동을 개선할 수 있다.

• 융합보안논문지
• /
• 제8권2호
• /
• pp.7-13
• /
• 2008

국내외적으로 보안제품 평가를 위해서 공통평가기준(CC)을 제정하여 제품을 평가한다. 이와 같은 기준은 제품의 복잡성과 함께 버전이 변화되어 제품 평가의 기준을 확대하고 있다. 하지만 개발자 입장에서 제품을 설계할 때 보안성 평가 지침에 적합한 형태로 접근하기가 매우 어렵다는 문제점이 있다. 이는 개발자에게 제시되는 평가기준이 불명확하기 때문이다. 이에 본 연구에서는 개발자를 위한 합성제품 평가 지침을 제시함으로써 정보보안 제품을 설계단계에서부터 보안 제품 기준을 명확히 도입할 수 있도록 방안을 제시하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 추계학술발표논문집 (하)
• /
• pp.2087-2090
• /
• 2002

최근 보안성 평가기준의 국제 표준인 공통평가기준(Common Criteria, ISO/IEC 15408)의 국내 도입이 활발하게 진행되고 있다. 따라서 개발자들은 개발초기부터 공통평가기준에 대비하여 보안 제품을 개발하는 것이 필요하다. 본 논문에서는 공통평가기준과 공통평가방법론(Common Evaluation Methodology, CEM)을 참고하여 개발자들이 공통평가기준에 대비하여 보안 제품을 개발할 수 있도록 하기 위한 개발 지침을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 춘계학술발표대회
• /
• pp.702-705
• /
• 2012

공통평가 기준(CC, Common Criteria)은 정보 보호 제품, 즉 IT제품에 대한 보안성을 평가하기 위한 국제 평가 기준이다. 그러나 개발자 측면에서는 CC 에서 정의된 보안 기능 사항 중 IT제품 개발에 있어서 어떤 보안기능을 요구하며, 적용 가능한 IT기술에는 무엇이 있는지 알기 어렵다. 이 때문에 평가를 받고자 할 때 제출물을 작성하거나 IT제품 개발에 있어서 많은 시간과 인력이 필요하게 된다. 본 논문은 IT제품 개발자를 위해 공통평가 기준에서 정의하여 서술된 보안기능항목을 이해하고 적용 가능한 IT기술에는 어떤 것 들이 있는지 제시하기 위한 도구를 개발하기 위해 CC(Ver3.1)2부 보안기능 요구사항 중 프라이버시 클래스만을 해결할 수 있는 S/W를 개발 및 프로토타이핑 하였다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2003년도 추계학술대회
• /
• pp.467-478
• /
• 2003

국제공통평가기준(Common Criteria)2.1을 기반으로 한 국제공통평가인정협정(Common Criteria Recognition Arrangement)은 21세기 정보보호 산업 전반에 수출입 장벽 및 국제적 표준으로 자리매김 할 것이다. 이미 국제공통평가상호인정협정(CC-MRA)에서부터 적극적으로 기술을 축적하고 세계적 표준을 선도한 미국, 캐나다, 영국, 독일, 프랑스 등의 주요 선진국들은 국제공통평가인정협정 인증서발행국(CCRA-CAP)으로서의 우월적 지위를 확보한 상태이다. 이에 본 연구는 CCRA-CAP국가들에 대한 스킴(Skim) 분석을 통하여 우리나라 의 스킴 개발이 국제적인 선도국과 비교하여 어떤 차이를 보이는지와 우리나라의 문제점을 도출해보고자 한다. 이를 통하여 향후, CCRA-CAP국가로 세계적 평가, 인증체계의 선도국이 되기 위한 준비과정에서 얻을 수 있는 통찰력과 시사점을 제공하고자 한다. 본 연구에서는 여러 스킴 중 정보보호시스템 평가, 인증 제도 관련 기관 책임 및 임무에 관한 1번 스킴을 주요 논의의 대상으로 하여 분석 연구한다.

• 정보보호학회논문지
• /
• 제13권5호
• /
• pp.57-67
• /
• 2003

보안정책모델은 평가대상제품(Target of Evaluation, TOE)의 보안정책을 비정형적, 준정형적, 또는 정형적 방법을 사용하여 구조적으로 표현하는 한 것이다. 보안정책모델은 보안기능요구사항과 기능명세간의 일관성 및 완전성을 제공함으로써 평가대상제품이 요구사항과 기능명세간 불명확성으로 인한 보안결점을 최소화할 수 있도록 보증성을 보장한다. 이러한 이유로 ISO/IEC 15408(공통평가기준. CC) 등 IT 제품 및 시스템의 보안성 평가기준의 고등급 평가에서 보안정책모델을 요구하고 있다. 본 논문에서는 보안정책모델의 개념과 관련 연구 및 공통평가기준의 보안정책모델 보증요구사항을 분석하여 보안정책모델 평가방법을 제시한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.397-399
• /
• 2004

오늘날 조직에서 공개된 소프트웨어를 이용한 오픈소스 내포형 정보보호시스템(OSS-embedded Information Security System) 개발이 증가되고 있으며 소스의 상당부분을 오픈소스 소프트웨어(OSS : Open source Software)를 이용함으로써 복잡한 IT환경 속에서 효율성 증대와 고가의 라이센스에 대한 비용 절감 효과 등을 통해 높은 시장성이 예상된다. 그러므로 오픈소스 내포형 정보보호시스템에 대한 평가 제출물 준비 및 평가에 대한 기준을 정의할 필요가 있으며 공통평가기준(CC : Common Criteria)과 공통평가방법론(CEM : Common Evaluation Methodology)에서 유도한 OSS 평가요구사항을 분석하고자 한다.