본문 바로가기

Information Security

CC 인증 (Common Criteria, ISO15408)

반응형

https://itscc.kr (IT보안인증사무국 참조)

* CC 인증 : 정보보호 시스템(보안 솔루션)보안 기능 요구사항과 보증 요구사항 평가를 위해 공통으로 제공되는 국제 평가 기준

- 해외 수출용 제품은 국제용 CC인증 수행 / 내수용 제품은 국내용 CC인증 수행

- 국제용 CC인증을 받을 시, 가입국(CCRA) 상호 간 인정됨

 

 

 

* CC 인증 평가 내용

평가 사항 내용
보안 기능 요구 사항
(SFR - Security Functional Requirement)
제품 구현 시에 필요한 요구사항을 평가
보안 보증 요구 사항
(SAR - Security Assurance Requirement)
등급에 부함함을 증명

 

 

 

* CC 인증 구성 요소

구성 요소 내용
TOE (Target of Evaluation) 인증 및 평가의 직접적인 대상인 보안 제품
PP (Protection Profile) 공통 평가 기준
ST (Security Target) 특정 제품의 보안 기능을 표현한 평가 기준 자료

- 즉, PP(기준)에 따라 특정 제품을 ST(평가 기준 자료)를 통해 구현, 최종 TOE(보안 제품)을 만들어 EAL의 평가 등급을 받음

 

 

 

* EAL (Evaluation Assuarance Level) : CC인증에서 TOE가 얼마나 정형화 되었는지에 대해 평가받는 등급 수준

등급 설명 관련 산출물
EAL 1 기능적 시험 기능 명세서, 설명서
EAL 2 구조적 시험 기본 설계서, 기능 시험서, 취약점 분석서
EAL 3 체계적 시험 및 검사 생명주기 지원, 개발 보안, 오용 분석서
EAL 4 체계적 설계, 시험 및 검토 상세 설계서, 보안 정책서, 일부 소스, 상세 시험서
EAL 5 준정형화된 설계 및 시험 개발 문서에 대한 전체 기술, 보안 기능 전체 코드
EAL 6 준정형화된 설계 검증 및 시험 전체 소스 코드
EAL 7 정형화된 설계 검증 및 시험 개발 문서에 대한 정형화 기술

- 0 ~ 7 등급까지 존재하며, 사실상 EAL 6+가 실질적 상용 제품의 최고 등급 (스마트 기기용 핵심 보안칩)

- 보통의 네트워크 보안 장비(F/W, IPS, Anti-DDoS)의 경우 EAL4 등급이 최대로 구현되는 것이 일반적

 

반응형