정보보호개론] 17. 정보보호시스템 평가기준, 표준화

* 정보보호 시스템 평가기준 및 제도

○ 정보보호 시스템 평가기준 및 제도

  - 선진 각국에서는 정보보호 시스템의 성능과 신뢰도를 평가하기 위해 자국의 실정에 맞는 평가 기준을 제정

    · 미국 : 오렌지 북으로 불리는 평가기준 TCSEC 제정

    · FC(Federal Criteria) 발표 →  NIST+NSA(시행은 안됨)

    · 영국 : 그린 북 시리즈

    · 독일 : 블루 & 화이트 북

    · 프랑스 : 블루-화이트-레드 북

    · 유럽의 공동적인 평가 기준서 ITSEC - 영,독.프,네

    · 캐나다 : CTCPEC

    · ISO : 국제 표준 평가 기준 개발 작업

       => ISO/IEC JTC1/SC27/WG3 에 할당

○ 미국의 평가기준 및 제도

  - 오렌지 북으로 불리는 평가기준을 TCSEC 초안을 수정하여 1985년 미 국방성의 표준(DoD STD 5200.28)으로 채택

 • TCSEC

    - [TCSEC의 기본적인 보안 요구사항]

      · 보안 정책, 표시, 신분확인, 감사기록, 보증, 등등등

    - TCSEC의 등급 및 기능

      · TCSEC을 6가지 등급으로(C1, C2, B1, B2, B3, A1) 분류

      · 안전한 컴퓨터 시스템이 지녀야 하는 기능 : 보안정책, 보안정책을 지원하는 책임성, 보증, 문서

 • TPEP

   - TCSEC에 의거한 정보보호 시스템의 평가를 위해 시행

   - 기술검토, 강력한 예비기술검토, 등급유지계획 및 문서화 등 평가절차를 규정

   - 현재 B2등급 이상만 평가하며 NSA가 주축

   - 목적

      · 사용자의 운용상 요구를 만족하는 유용한 보안제품을 안정적으로 공급

      · 안전한 시스템을 구축 할 때 사용하는 보안 제품을 공급

      · 개별적으로 평가 받은 제품을 위하여 보안 특성 및 특정한 특성과 관련된 보증 수준의 상호 운영을 위한 지침 제공

      · 정보 기반구조의 조성을 위해 정보보호관련 사업체를 육성

 • TTAP

   - NIST와 NSA 는 낮은 등급 (C2이하)의 정보보호 제품의 평가를 다수의 민간기관에서 수행하도록 함

   - 현재 B1 등급도 평가하고 있음

   - 평가는 TORA 와 TC2PR 조건을 만족시키는 민간평가기관(TEF)에서 시행

   - NSA 와 NIST로 구성된 TTAP 감독위원회가 인증역할 및 인증서 발급업무를 수행하고 있음

 • CCTP

   - CCTP는 국제공통평가기준(CC)에 기반한 평가,인증체계를 정립하기 위하여 NIAP에서 개발하고 있는 프로그램

○ 유럽의 평가기준 및 제도

 • 평가기준

   - ITSEC : 유럽 4개국(영,독,프,네)이 합의한 공동평가기준서

   - ITSEC은 미국의 TCSEC과 달리 단일기준으로 평가

   - 보증요구사항

     · 효용성 기준: 적절성 분석, 바이딩 분석, 메커니즘 강도 분석, 개발시 취약성 분석, 사용의 용이성, 운영중의 취약성분석

     · 정확성 보증 기준 : 구조설계, 상세설계, 구현, 구성관리 ..등의 구현된 보안기능의 신뢰성을 평가

 • 평가 및 인증제도

   - ITSEM : ITSEC의 지침서이며 ITSEC 에 의거한 평가 수행에 필요한 원칙, 절차 방법론을 제시

   - ITSEM 의 평가원칙

     · 공정성: 평가자의 편견을 배제

     · 객관성: 평가자의 주관적 요소 및 사견을 최소화

     · 반복성: 동일한 평가 기관에서 하나의 평가 대상물을 반복하여 평가해도 똑같은 평가결과를 산출

     · 재생성: 여러 개의 평가 기관에서 하나의 평가 대상물을 반복 평가해도 똑같은 평가결과를 산출

 • 평가 및 인증에 참여하는 조직 및 역할

   - 개발자, 평가신청인, 평가기관, 인증기관(인증서 발부기관), 인정기관(민간평가기관을 인정)

<!--[if !supportEmptyParas]--> <!--[endif]-->

○ 평가기준

 • 국제공동 평가기준

   - 국제공통평가기준(Common Criteria) 개발위해 여러 위원회

   - CCEB, CCIB, CCIMB

   - CC는 5가지 부분으로

 • 보호프로파일(PP)

 • 보안명세서(ST)

○ 평가방법론

 • CEMEB

   - CC에 적용할 수 있는 방법론 연구

   - CEM : 평가에 참여하는 주체를 개발자, 평가의뢰인, 평가자, 감독자로 분류

○ 국내 정보보호 시스템 평가제도, 체계

 • 국내 평가기관

   - 평가기준 제정의 의의 : 세계7번째

   - 인증기관 : 국가정보원

   - 평가기관 : 한국정보보호진흥원

   - 평가기준 : 정보통신부 고시

   - 평가, 인증지침 : 정보통신부 고시

 • 보안기능 요구사항

 • 보증 요구사항

<!--[if !supportEmptyParas]-->  

* 정보보호 기술 표준화

○ ISO/IEC

 - 국제 표준화 관련활동

 - 정보보호 기술분야

 - SC27, WG1, WG2, WG3 등 활동

○ ITU-T

 - 전기통신 표준화 부분

 - 데이터 통신망과 개방 시스템

○ IETF

 - 인터넷에 관련된 표준개발

 - 프로토콜 및 구조에 대한 표준 제안

○ ETSI

 - 유럽표준화

○ 국내

 - 한국정보통신기술협회(TTA) : 국내외 정보통신분야 기술 및 표준에 관한 정보를 수집, 보급

 - 한국산업표준원(KISI)

 - 한국전자통신연구소 표준연구센터(PEC)

 - 한국전자거래진흥원(Korea EDI)

   : 한국정보호호진흥원, 한국정보통신기술협회, 국립기술품질원