본문 바로가기

기술 용어 검색

정보보호시스템

1.정보보호시스템 평가기준의 목적
 - 정보보호 시스템을 사용하는 고객에게 신뢰성을 보장하고 제품의 보안안정성을 보장하기 위함

2.정보보호시스템 평가기준 비교
 1)정보보호시스템 발전과정
   - TCSec(1986) -> ITSec(1991) -> CC V1.0(1996) -> CC V2.1(1999, ISO15408) -> CC V3.X(06)
 2)정보보호시스템의 내용 비교

구분 TCSEC ITSEC CC
개념 미국내 정보보호 시스템 평가기준 독일,프랑스,네덜란드,영국 등 유럽 정보보호 시스템 평가기준 국제 정보보호 평가기준
등급 적합: A1,B1,B2,B3,C1,C2,
부적합: D
적합: E6~E1
부적합: E0
적합: EAL7 ~ EAL1
부적합: EAL0
구성 1.보안정책-보안정책,객체접근통제마킹
2.책임추적성-주체식별가능,보안행위 책임추적성
3.보증-보증평가매커니즘,권한없는 변경 보호
4.문서화-사용자,보안기능 설명서, 테스트문서, 디자인 문서 제공
1.보안기능-보안목적,보안기능,보안메커니즘
2.보안요구사항-효용성, 정확성 평가
1.Part1: 소개 및 일반모델
2.Part2: 보안 기능 요구사항
 -기능클래스,기능패밀리,기능 컴포넌트 집합으로 구성
3.Part3: 보증요구사항
 -보증클래스,보증패밀리,보증 컴포넌트집합으로 구성
 -보호프로파일과 보안목표명세서에 대한 평가기준 정의


3.정보보호시스템 평가기준과 BS7799의 비교와 활용 

구분 정보보호시스템 평가기준 정보보호 관리체계
개념 정보보호시스템, 제품에 대한 평가 기업 경영정보 시스템에 대한 인증과 BP가이드
종류 TCSEC, IPSEC, CPCPSEC, CC BS7799,ISO17799,ISO27001

- 제품에 대한 평가는 CC를 금융권,카드 등의 기업에 대한 인증은 BS7799, ISO27000 Family 를 활용함

'기술 용어 검색' 카테고리의 다른 글

Key Escrow  (0) 2007.12.06
Digital Forensic  (0) 2007.12.06
CSOR(Computer Security Objects Register)  (0) 2007.12.06