반응형
* CC 인증 : 정보보호 시스템(보안 솔루션)의 보안 기능 요구사항과 보증 요구사항 평가를 위해 공통으로 제공되는 국제 평가 기준
- 해외 수출용 제품은 국제용 CC인증 수행 / 내수용 제품은 국내용 CC인증 수행
- 국제용 CC인증을 받을 시, 가입국(CCRA) 상호 간 인정됨
* CC 인증 평가 내용
| 평가 사항 | 내용 |
| 보안 기능 요구 사항 (SFR - Security Functional Requirement) |
제품 구현 시에 필요한 요구사항을 평가 |
| 보안 보증 요구 사항 (SAR - Security Assurance Requirement) |
등급에 부함함을 증명 |
* CC 인증 구성 요소
| 구성 요소 | 내용 |
| TOE (Target of Evaluation) | 인증 및 평가의 직접적인 대상인 보안 제품 |
| PP (Protection Profile) | 공통 평가 기준 |
| ST (Security Target) | 특정 제품의 보안 기능을 표현한 평가 기준 자료 |
- 즉, PP(기준)에 따라 특정 제품을 ST(평가 기준 자료)를 통해 구현, 최종 TOE(보안 제품)을 만들어 EAL의 평가 등급을 받음
* EAL (Evaluation Assuarance Level) : CC인증에서 TOE가 얼마나 정형화 되었는지에 대해 평가받는 등급 수준
| 등급 | 설명 | 관련 산출물 |
| EAL 1 | 기능적 시험 | 기능 명세서, 설명서 |
| EAL 2 | 구조적 시험 | 기본 설계서, 기능 시험서, 취약점 분석서 |
| EAL 3 | 체계적 시험 및 검사 | 생명주기 지원, 개발 보안, 오용 분석서 |
| EAL 4 | 체계적 설계, 시험 및 검토 | 상세 설계서, 보안 정책서, 일부 소스, 상세 시험서 |
| EAL 5 | 준정형화된 설계 및 시험 | 개발 문서에 대한 전체 기술, 보안 기능 전체 코드 |
| EAL 6 | 준정형화된 설계 검증 및 시험 | 전체 소스 코드 |
| EAL 7 | 정형화된 설계 검증 및 시험 | 개발 문서에 대한 정형화 기술 |
- 0 ~ 7 등급까지 존재하며, 사실상 EAL 6+가 실질적 상용 제품의 최고 등급 (스마트 기기용 핵심 보안칩)
- 보통의 네트워크 보안 장비(F/W, IPS, Anti-DDoS)의 경우 EAL4 등급이 최대로 구현되는 것이 일반적
반응형
'Information Security' 카테고리의 다른 글
| 준동형 (Homomorphic) & 동형 암호화 (Fully Homomorphic Encryption) (0) | 2021.02.09 |
|---|---|
| 난독화 (Obfuscation) (0) | 2021.02.09 |
| CVE (Common Vulnerabilities and Exposure) / CWE (Common Weakness Enumeration) (0) | 2021.02.09 |
| CPO (Chief Privacy Officer) / CISO (Chief Information Security Officer) (0) | 2021.02.08 |
| 망 분리 (Network Segmentation) / 망 연계 (Network Connection) (0) | 2021.02.08 |
