본문 바로가기
IT 이론/정보보호

정보보호의 국제/국가 표준 지침 정리

by 지식id 2017. 7. 15.
반응형

1. OECD 정보 보호 가이드라인

- 9개 요소로 이루어져 있다.

- 인식, 책임, 대응, 윤리, 민주성, 위험평가, 정보보호의 설계와 이행, 정보보호 관리, 재평가


2. TCSEC

- 오렌지북이라 불림

- 보안등급은 크게는 A, B, C, D 4단계, 세부적으론 A1, B1, B2, B3 등 총 7단계로 나뉜다.

- 4가지 요구사항 : 정책(Security Policy), 책임성(Accountability), 보증(Assurance), 문서(Documentation)

- TNI, TDI, CSSI 등 시스템 분류에 따라 적용 기준이 다르다.


3. ITSEC

- 미국의 TCSEC을 참고하여 유럽에서 만듬

- 시스템 분류에 따라 적용 기준을 달리하지 않는다. 단일 기준으로 통일

- 보안 요구사항, 보증 요구사항으로 구분하여 평가

- 보안 요구사항 8가지 : 식별 및 인증(Identification and Authentication), 접근통제(Access Control), 책임성(Accountability), 감사(Audit), 객체 재사용(Object Reuse), 정확성(Accuracy), 서비스 신뢰성(Reliability of Service), 데이터 교환(Data Exchange)

- 보증 요구사항 2가지 : 효용성(Effectiveness), 정확성(Correctness)


4. 국제 CC 인증

- 한나라에서 평가 받은 제품을 다른 나라에서 사용하기 위해서는 다시 재평가 받아야 하는 문제를 해결하기 위함

- TCSEC, ITSEC등을 기반으로 국제 공통기준을 제정하여 현재 ISO국제 표준

- 3부로 구성 : 1부-일반적인 소개와 일반 모델, 2부-보안 기능 요구 사항, 3부-보증 요구사항

- 인증서 발행국(Certificate Authorizing Members), 인증서 수용국 (Certificate Consuming Members)으로 나뉨(우리나라는 인증서 발행국으로 가입)

- 보안요구사항 11가지 : 보안 감사(Security Audit), 통신(Communication), 암호 지원(Cryptographic support), 사용자 데이터 보호(User Data Protection), 식별 및 인증(Identification & Authentication), 보안 관리(Security Management), 프라이버시(Privacy), TSF 보호(Protection of the TSF), 자원 활용(Resource utilization), TOE 접근(TOE access), 안전한 경로/채널(Trusted path/channel)

- 보증요구사항 : 보호프로파일 평가(Protection Profile evaluation), 보안목표명세서 평가(Security Target evaluation), 개발(Development), 설명서(Guidance Document), 생명주기 지원(Life cycle support), 시험(Test), 취약성 평가(Vulnerability assessment), 합성(Composition)

- 보증등급은 EAL1부터 EAL7까지 7단계로 분류



TCSEC, ITSEC 및 CTCPEC 등 미국, 유럽 등 여러 나라에서 개발되어 활용되고 있던 다양한 평가기준은 정보보호제품 CC(Common Criteria)인증으로 통합


국내에서도 보안성이 검증된 정보보호제품을 도입·운용할 수 있는 기반을 마련하기 위해 2002년 CC인증 제도를 도입하고 CCRA(국제 공통평가기준 상호인증 협정)에 가입하여 현재까지 CC인증체계를 운영 중


출처 : 웹, 성안당 정보보안기사 필기 교재, 금융보안원 보고서 등



반응형

댓글