1. OECD 정보 보호 가이드라인
- 9개 요소로 이루어져 있다.
- 인식, 책임, 대응, 윤리, 민주성, 위험평가, 정보보호의 설계와 이행, 정보보호 관리, 재평가
2. TCSEC
- 오렌지북이라 불림
- 보안등급은 크게는 A, B, C, D 4단계, 세부적으론 A1, B1, B2, B3 등 총 7단계로 나뉜다.
- 4가지 요구사항 : 정책(Security Policy), 책임성(Accountability), 보증(Assurance), 문서(Documentation)
- TNI, TDI, CSSI 등 시스템 분류에 따라 적용 기준이 다르다.
3. ITSEC
- 미국의 TCSEC을 참고하여 유럽에서 만듬
- 시스템 분류에 따라 적용 기준을 달리하지 않는다. 단일 기준으로 통일
- 보안 요구사항, 보증 요구사항으로 구분하여 평가
- 보안 요구사항 8가지 : 식별 및 인증(Identification and Authentication), 접근통제(Access Control), 책임성(Accountability), 감사(Audit), 객체 재사용(Object Reuse), 정확성(Accuracy), 서비스 신뢰성(Reliability of Service), 데이터 교환(Data Exchange)
- 보증 요구사항 2가지 : 효용성(Effectiveness), 정확성(Correctness)
4. 국제 CC 인증
- 한나라에서 평가 받은 제품을 다른 나라에서 사용하기 위해서는 다시 재평가 받아야 하는 문제를 해결하기 위함
- TCSEC, ITSEC등을 기반으로 국제 공통기준을 제정하여 현재 ISO국제 표준
- 3부로 구성 : 1부-일반적인 소개와 일반 모델, 2부-보안 기능 요구 사항, 3부-보증 요구사항
- 인증서 발행국(Certificate Authorizing Members), 인증서 수용국 (Certificate Consuming Members)으로 나뉨(우리나라는 인증서 발행국으로 가입)
- 보안요구사항 11가지 : 보안 감사(Security Audit), 통신(Communication), 암호 지원(Cryptographic support), 사용자 데이터 보호(User Data Protection), 식별 및 인증(Identification & Authentication), 보안 관리(Security Management), 프라이버시(Privacy), TSF 보호(Protection of the TSF), 자원 활용(Resource utilization), TOE 접근(TOE access), 안전한 경로/채널(Trusted path/channel)
- 보증요구사항 : 보호프로파일 평가(Protection Profile evaluation), 보안목표명세서 평가(Security Target evaluation), 개발(Development), 설명서(Guidance Document), 생명주기 지원(Life cycle support), 시험(Test), 취약성 평가(Vulnerability assessment), 합성(Composition)
- 보증등급은 EAL1부터 EAL7까지 7단계로 분류
TCSEC, ITSEC 및 CTCPEC 등 미국, 유럽 등 여러 나라에서 개발되어 활용되고 있던 다양한 평가기준은 정보보호제품 CC(Common Criteria)인증으로 통합
국내에서도 보안성이 검증된 정보보호제품을 도입·운용할 수 있는 기반을 마련하기 위해 2002년 CC인증 제도를 도입하고 CCRA(국제 공통평가기준 상호인증 협정)에 가입하여 현재까지 CC인증체계를 운영 중
출처 : 웹, 성안당 정보보안기사 필기 교재, 금융보안원 보고서 등
'IT 이론 > 정보보호' 카테고리의 다른 글
개인정보보호 관련법 주요 사항 (0) | 2017.07.15 |
---|---|
ISMS, PIMS, PIPL의 차이, 개념 정리 (383) | 2017.07.15 |
통제 수행 시점에 따른 분류 (0) | 2017.07.15 |
SSL Handshake 과정 (정보보안기사 기준) (0) | 2017.07.12 |
국제공통평가기준(CC, Common Criteria) (0) | 2016.10.14 |
댓글