1.정보보호시스템 평가기준의 목적
- 정보보호 시스템을 사용하는 고객에게 신뢰성을 보장하고 제품의 보안안정성을 보장하기 위함
2.정보보호시스템 평가기준 비교
1)정보보호시스템 발전과정
- TCSec(1986) -> ITSec(1991) -> CC V1.0(1996) -> CC V2.1(1999, ISO15408) -> CC V3.X(06)
2)정보보호시스템의 내용 비교
| 구분 | TCSEC | ITSEC | CC |
| 개념 | 미국내 정보보호 시스템 평가기준 | 독일,프랑스,네덜란드,영국 등 유럽 정보보호 시스템 평가기준 | 국제 정보보호 평가기준 |
| 등급 | 적합: A1,B1,B2,B3,C1,C2, 부적합: D |
적합: E6~E1 부적합: E0 |
적합: EAL7 ~ EAL1 부적합: EAL0 |
| 구성 | 1.보안정책-보안정책,객체접근통제마킹 2.책임추적성-주체식별가능,보안행위 책임추적성 3.보증-보증평가매커니즘,권한없는 변경 보호 4.문서화-사용자,보안기능 설명서, 테스트문서, 디자인 문서 제공 |
1.보안기능-보안목적,보안기능,보안메커니즘 2.보안요구사항-효용성, 정확성 평가 |
1.Part1: 소개 및 일반모델 2.Part2: 보안 기능 요구사항 -기능클래스,기능패밀리,기능 컴포넌트 집합으로 구성 3.Part3: 보증요구사항 -보증클래스,보증패밀리,보증 컴포넌트집합으로 구성 -보호프로파일과 보안목표명세서에 대한 평가기준 정의 |
3.정보보호시스템 평가기준과 BS7799의 비교와 활용
| 구분 | 정보보호시스템 평가기준 | 정보보호 관리체계 |
| 개념 | 정보보호시스템, 제품에 대한 평가 | 기업 경영정보 시스템에 대한 인증과 BP가이드 |
| 종류 | TCSEC, IPSEC, CPCPSEC, CC | BS7799,ISO17799,ISO27001 |
- 제품에 대한 평가는 CC를 금융권,카드 등의 기업에 대한 인증은 BS7799, ISO27000 Family 를 활용함
'기술 용어 검색' 카테고리의 다른 글
| Key Escrow (0) | 2007.12.06 |
|---|---|
| Digital Forensic (0) | 2007.12.06 |
| CSOR(Computer Security Objects Register) (0) | 2007.12.06 |