• Review of KIISC
• /
• v.31 no.4
• /
• pp.45-53
• /
• 2021

공통평가기준(CC, Common Criteria)의 국제 표준인 ISO/IEC 15408, ISO/IEC 18045는 정보보호제품에 구현되어 있는 보안 기능의 보증과 안전성을 시험하기 위한 평가 기준을 제시하는 국제 표준으로 정보보호제품에 대한 국제적인 신뢰성을 보장할 수 있도록 기준을 제시하고 있다. 특히 ISO/IEC 15408, ISO/IEC 18045는 ISO/IEC 27000, ISO/IEC 19790과 함께 ISO/IEC JTC 1/SC 27을 대표하는 국제 표준이다. 본 논문에서는 ISO/IEC JTC 1/SC 27/WG 3 작업반에서 개정을 진행하고 올해 말에 출판 예정인 ISO/IEC 15408 및 ISO/IEC 18405의 주요 변경 내용 및 신규 개념에 대해 설명하고, 최근 WG 3 작업반에서 추진하고 있는 국제 표준화 활동 현황 및 주요 현황을 소개하고자 한다.

• Review of KIISC
• /
• v.33 no.4
• /
• pp.111-116
• /
• 2023

사이버 보안 기술, 위협 및 대응책이 진화함에 따라 정보보호 관련 국제 표준도 지속적인 개정이 필요하다. 특히 ISO/IEC JTC 1/SC 27 (정보보안, 사이버보안 및 프라이버시)에서는 현재까지 233개 표준 출판이 완료되었으며, 65개 프로젝트가 활발하게 진행되고 있다. 본 논문에서는 ISO/IEC JTC 1/SC 27 산하 WG 3 작업반에서 진행되고 있는 보안평가, 시험 및 규격 표준 중에서 IT 보안 평가에 활용되고 있는 ISO/IEC 15408, ISO/IEC 18045을 중심으로 표준화 진행 현황과 향후 개정 추진 방향에 대해 살펴보고자 한다. 또한, 2023년 4월에 열린 ISO/IEC JTC 1/SC 27/WG 3 작업반 회의에서 논의된 주요 표준화 이슈와 대응 방안을 제시한다.

• The KIPS Transactions:PartD
• /
• v.11D no.4
• /
• pp.917-928
• /
• 2004

Common Criteria as ISO/IEC 15408 is used to assure and evaluate IT system security. As the Prime class of security assurance requirement, CM Configuration Management needs the more principled quality activities and practices for developer must be supported. So in this paper, we propose the well-defined CM method as guideline for TOE developer based on Process model including common criteria and develop the CMPET a quantitative process evaluating tool for CM using checklist. It can support useful process analyzing data to developer, evaluator and user.

• Journal of Digital Convergence
• /
• v.13 no.5
• /
• pp.169-176
• /
• 2015

Virtual Private Network is a method which can use as a private network using private line. The quality of security of virtual private network is influenced by security auditability, cryptographic support, user data protection, access control, etc., and efficiency is influenced by throughput, latency, the number of cession, etc. In this paper, we constructed a evaluation model based on CC(ISO/IEC 15408) and the quality evaluation standard ISO/IEC 25000 series to evaluate the quality level about efficiency with security performance of virtual private network. We think that this study will contribute to construct the system which can evaluate the quality of virtual private network based on CC and ISO quality evaluation standard.

• Journal of Digital Convergence
• /
• v.13 no.5
• /
• pp.251-257
• /
• 2015

Intrusion protection system is a security system that stop abnormal traffics through automatic activity by finding out attack signatures in network. Unlike firewall or intrusion detection system that defends passively, it is a solution that stop the intrusion before intrusion warning. The security performance of intrusion protection system is influenced by security auditability, user data protection, security athentication, etc., and performance is influenced by detection time, throughput, attack prevention performance, etc. In this paper, we constructed a convergence performance evaluation model about software product evaluation to construct the model for security performance evaluation of intrusion protection system based on CC(Common Criteria : ISO/IEC 15408) and ISO international standard about software product evaluation.

• Review of KIISC
• /
• v.15 no.4
• /
• pp.80-96
• /
• 2005

ISO/IEC ISO/IEC 15408인 CC(Common Criteria)는 전세계 정보보호 학계와 산업 분야에서 정보보호 기능과 보증에 대한 표준적 개념, 평가 및 분류체계로 자리매김했다. 현재의 공식적인 버전은 CC 2.2이지만, 2004년 3월에 CC 2.4(초안)가 발표된 후, 공식버전이 되기도 전인 2005년 7월에 CC 3.0 (초안, 수정 2판)이 발표되었다. CC 3.0은$50\%$이상 대폭 변화되었으며 지난 10년간 경험했던 CC의 문제점을 해결하려한 흔적이 역역하다. 본 논문에서는 CC 3.0의 변화를 CC 2.4와 함께 조사 및 분석하였고 변화에 따른 문제점과 대책을 제시한다.

• Journal of Digital Convergence
• /
• v.15 no.12
• /
• pp.303-311
• /
• 2017

As new information technology emerges, companies are introducing an Enterprise Security Management system to cope with new security threats, reducing redundant investments and waste of resources and counteracting security threats. Therefore, it is necessary to construct a security evaluation metric based on related standards to demonstrate that the Enterprise Security Management(ESM) System meets security. Therefore, in order to construct a metric for evaluating the security of the ESM, this study analyzed the security quality related requirements of the ESM and constructed a metric for measuring the degree of satisfaction. This metric provides synergies through the unification of security assessments that comply with ISO/IEC 15408 and ISO/IEC 25000 standards. It is expected that the evaluation model of the security quality level of ESM will be established and the evaluation method of ESM will be standardized in the future.

• Review of KIISC
• /
• v.13 no.4
• /
• pp.25-36
• /
• 2003

현재 미국을 비롯한 선진 국가에서는 ISO 국제 표준인 국제 공통 평가 기준 ISO/IEC 15408(CC v2.1, Common Criteria for Information Technology Security Evaluation))과 공통평가방법론(CEM, Common Methodology for Information Technology Security Evaluation)에 근거하여 IT 제품 및 시스템에 대한 보안성 평가를 하고 있다. 그러나, 현재 CC 및 CEM은 주로 IT 제품의 보안성 평가를 위한 것이며, 실제 IT 환경에서 운용되는 시스템에서 이를 적용해 평가하는데는 많은 어려움이 있다. ISO를 중심으로 각 국에서도 이와 관련해 시스템 평가에 CC를 적용하기 위한 방법론이 검토 중에 있다. 그리고 현재 개발 진행중이거나 시장에 출시된 많은 제품이 여러 단일 제품이 합성된 통합제품 형태로 구성되고 있는 추세이며, 이는 시스템 평가 문제와 더불어 향후 CC 기반의 평가를 활성화시키기 위해 풀어야 할 문제로 제기되고 있다. 본고에서는 각 국에서 추진 중인 시스템 평가 동향을 살펴보고, 현재 ISO/IEC SC27/WG3에 표준화로 제안된 "Security Assessment of Operational System"에 대해 살펴보고자 한다.자 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.24 no.5
• /
• pp.969-974
• /
• 2014

CC (Common Criteria) requires collecting vulnerability information and analyzing them by using penetration testing for evaluating IT security products. Under the time limited circumstance, developers cannot help but apply vulnerability analysis at random to the products. Without the systematic vulnerability analysis, it is inevitable to get the diverse vulnerability analysis results depending on competence in vulnerability analysis of developers. It causes that the security quality of the products are different despite of the same level of security assurance. It is even worse for the other IT products that are not obliged to get the CC evaluation to be applied the vulnerability analysis. This study describes not only how to apply vulnerability taxonomy to IT security vulnerability but also how to manage security quality of IT security products practically.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.14 no.1
• /
• pp.25-34
• /
• 2004

Common Criteria(CC, ISO/IEC 15408) is an international standard for evaluation of Information Suity Systems(ISS). There need a suitable evidence of estimation of evaluation cost in an evaluation facility under the CC-based evaluation and assurance scheme. In this paper, we propose an evaluation effort model, which is based not only on assurance-level but also on product-type of ISS, by means of real experience of real evaluators, use-ratio concept and the Function Point of security function. The model is based not on a real evaluation environment of evaluation facility, but on CC, public PPs and product specific STs. Our result might be used as a basic model for estimation of evaluation cost and time of ISS in an CC-based evaluation and assurance scheme.