정보보호시스템 공통평가기준: Difference between revisions
From IT위키
(새 문서: == 용어 정의== * 엘리먼트 : 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 최소 단위를 말한다. * 컴포넌트 : 보호프로파일, 보안목...) |
No edit summary |
||
Line 1: | Line 1: | ||
== 용어 정의== | == 용어 정의== | ||
* 엘리먼트 : 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 최소 | * '''엘리먼트''' : 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 '''최소 단위'''를 말한다. | ||
* 컴포넌트 : 보호프로파일, 보안목표명세서에 포함될 수 있는 보안요구사항의 가장 작은 선택 단위로서 엘리먼트의 | * '''컴포넌트''' : 보호프로파일, 보안목표명세서에 포함될 수 있는 보안요구사항의 가장 작은 선택 단위로서 '''엘리먼트의 모음'''을 말한다. | ||
* 패밀리 : 같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 컴포넌트의 | * '''패밀리''' : 같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 '''컴포넌트의 모음'''을 말한다. | ||
* 클래스 : 같은 보안목적을 가지는 패밀리의 | * '''클래스''' : 같은 보안목적을 가지는 '''패밀리의 모음'''을 말한다. | ||
* 보호프로파일 : 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항의 | |||
* 보안목표명세서 : 식별된 평가대상의 평가를 위한 근거로 사용되는 보안요구사항과 구현 명세의 | * '''보호프로파일''' : 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 '''보안요구사항의 집합'''을 말한다. | ||
* 평가보증등급 : 공통평가기준에서 미리 정의된 보증수준을 가지는 보증 컴포넌트로 이루어진 | * '''보안목표명세서''' : 식별된 평가대상의 평가를 위한 근거로 사용되는 '''보안요구사항과 구현 명세의 집합'''을 말한다. | ||
* '''평가보증등급''' : 공통평가기준에서 미리 정의된 보증수준을 가지는 '''보증 컴포넌트로 이루어진 패키지'''를 말한다. | |||
== 평가기준 구조 == | == 평가기준 구조 == |
Revision as of 21:34, 22 May 2018
용어 정의
- 엘리먼트 : 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 최소 단위를 말한다.
- 컴포넌트 : 보호프로파일, 보안목표명세서에 포함될 수 있는 보안요구사항의 가장 작은 선택 단위로서 엘리먼트의 모음을 말한다.
- 패밀리 : 같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 컴포넌트의 모음을 말한다.
- 클래스 : 같은 보안목적을 가지는 패밀리의 모음을 말한다.
- 보호프로파일 : 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항의 집합을 말한다.
- 보안목표명세서 : 식별된 평가대상의 평가를 위한 근거로 사용되는 보안요구사항과 구현 명세의 집합을 말한다.
- 평가보증등급 : 공통평가기준에서 미리 정의된 보증수준을 가지는 보증 컴포넌트로 이루어진 패키지를 말한다.
평가기준 구조
- 공통평가기준은 총 3부로 구성된다.
- 1부
- 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개
- IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의
- 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개
- 2부
- 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성
- 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류
3부
- 보증요구사항을 표준화된 방법으로 표현
- 컴포넌트들의 집합으로 구성
- 보증 클래스, 보증 패밀리, 보증 컴포넌트로 분류
- 보호프로파일 및 보안목표명세서에 대한 평가기준을 정의
평가보증등급
- 정보보호제품의 보증수준을 정하기 위한 공통평가기준에서 미리 정의된 보증등급
- EAL1, EAL2, EAL3, EAL4, EAL5, EAL6, EAL7의 7개의 등급으로 구분
- EAL1은 최저의 평가보증등급, EAL7은 최고의 평가보증등급
- 기존의 평가보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있다.