CC(Common Criteria)와정보보호시스템...
Transcript of CC(Common Criteria)와정보보호시스템...
![Page 2: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/2.jpg)
KRnet 20012
목 차
1. 정보보호시스템 평가·인증제도
2. 국내외 평가 · 인증제도 비교
3. 국제공통평가기준(CC: Common Criteria)
4. 국외 CC 활용 동향
5. CC 수용 효과
![Page 3: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/3.jpg)
KRnet 20013
평가 · 인증제도란 ?
정보보호시스템을 일반 사용자가 신뢰하며 안전하게 사용할
수 있도록 제품의 신뢰성을 보증하기 위한 법·제도
목적
정보보호시스템에 구현된 보안기능의 신뢰도 검증
평가·인증 원칙
Appropriateness
Impartiality
Repeatability
Soundness of Results
1. 정보보호시스템 평가·인증제도
![Page 4: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/4.jpg)
KRnet 20014
평가 · 인증의 필요성
정보통신기술의 발달로 정보시스템 사용 증가
인터넷 등 정보통신망에 대한 취약성 및 위험 가중
체계적인 총체적 정보보호 대책 필수
평가·인증된 정보보호 제품 사용을 통하여 정보통신망
안전운영, 국가사회 보호
- 정보유출, 파괴, 위변조 등의
컴퓨터 범죄 및 해킹 급증
- 바이러스 감염, 서비스 방해,
불건전 정보 유통 등 정보화
역기능 확산
![Page 5: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/5.jpg)
KRnet 20015
평가 · 인증의 위치
Policy 개발
책임 및 임무정의
정보보호시스템 구현
정보망구축안전 운영
교육 훈련
보안 감리
프레임워크설계
평가 · 인증
![Page 6: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/6.jpg)
KRnet 20016
TCSEC : Trusted Computer System Evaluation CriteriaTNI : Trusted Network Interpretation of TCSECTDI : Trusted DBMS Interpretation of TCSECCSSI : Computer Security Subsystem Interpretation
CSSI
TNIo 미국국가 년도 ’83 ’85 ’90 ’95 ’00
TCSEC TCSECDoD 표준 TDI
ITSEC1.0
ITSEC1.2
o 국제
o 캐나다
o 유럽
o 한국
FC
CTCPEC1.0
CTCPEC3.0e
CC1.0
침입차단시스템기준
침입탐지시스템기준
영국, 독일프랑스기준
CC2.0
FC : Federal Criteria ITSEC : Information Technology Security Evaluation CriteriaCTCPEC : Canadian Trusted Computer Product Evaluation CriteriaCC : Common Criteria
CC2.1
2. 국내·외 평가·인증제도 비교국내외 평가기준 개발 현황
![Page 7: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/7.jpg)
KRnet 20017
CSE CESG, DTI BSI
CSECESG(국가용)5개의 CLEF(민간)
‘90 ‘85
BSI(국가용)7개의 ITSEF KISA
‘85
권고 권고권고권고
CTCPEC(T0 - T7)
ITSEC(E0 - E6)
ITSEC(E0 - E6)
침입차단(탐지)시스템 평가기준
(K0 - K7)
ITSEM ITSEM정보보호스템평가인증지침TPEP
인증기관
평가기준(등급)
평가의강제여부
평가제도시행년도
평가지침서
평가대상
평가기관
미국 캐나다 영국 독일 한국
NIAP(NSA,NIST)
5개의민간평가기관
‘83
권고
TCSEC(D - A1)
TPEP,TTAP
정보보호시스템 정보보호시스템 정보보호시스템 정보보호시스템침입차단(탐지)
시스템
‘98
국가정보원
국가별 평가인증제도 비교
![Page 8: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/8.jpg)
KRnet 20018
3. 국제공통평가기준(CC: Common Criteria)
- 평가결과 및 시간절약- 평가비용의 절감에 따른 제품가격의 인하- 평가가 신속해짐에 따라 새로운 제품개발의 가속화
평가결과의 국제적인 상호인정
국제적인 평가기준의 필요성 증가- 국가별로 상이한 평가기준
- 수 • 출입상에서 문제 발생
CC 개발 목적
![Page 9: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/9.jpg)
KRnet 20019
기존 평가기준의 조화(harmonisation)를 통한 평가결과의 상호인정
(Mutual Recognition) 골격 제시
평가기준의 향후 발전 방향 정립 및 기술적인 평가의 차이를 해결
보안요구사항의 유연성 부여
※ CC 개발 주체 및 연혁
- 참가국가 : 6개국(미국, 영국, 프랑스, 독일, 캐나다, 네덜란드)
- 1993 : 개발 합의
- 1996 : 버전 1.0 개발
- 1998 : 버전 2.0 개발
CC 개발 철학
![Page 10: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/10.jpg)
KRnet 200110
국제공통평가기준 개발 방향
CCV1.0TCSECFC
(USA)
CTCPEC(Canada)
ITSEC(Europe)
AlignmentActivity
CCV2.1
![Page 11: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/11.jpg)
KRnet 200111
CC Part 3
* Assurance Classes
* Assurance Components
CC Part 2Functional Requirements
* Functional Classes* Functional Families* Functional Components
* Detailed Requirements* Functional Packages
CC Part 1Introduction and Model
* Assurance Families
* Detailed Requirements
* Eval. Assur. Levels
Assurance Requirements
CC Part 1
CC Part 2
Introduction and Model
* General Concepts and Principles IT Evaluation
국제공통평가기준의 기본 구조
![Page 12: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/12.jpg)
KRnet 200112
보안기능요구사항(Functional Requirement)
FTP Trusted Path 사용자와 TSF간 혹은 TSF간의 안전한 통신채널을 확보
FAU
FCO
FDP
FIA
FPR
FPT
FRU
FTA
Class
Security Audit
영 문 설 명
보안활동과 관련된 정보를 감지, 기록, 저장, 분석
설 명
Communication(Non-Repudiation)
User Data Protection
Identification and Authentication
Privacy(Anonymity, etc)
Protection of Trusted Security Functions
Resource Utilisation
TOE Access
데이터를 교환하는 주체의 신원을 감지
사용자 데이터의 보호
사용자 식별 및 인증
허가되지 않은 사용자에 의한 개인의 신원 및정보의 도용방지
TSF 데이터의 보호 및 관리
TOE의 가용 자원을 확보
TOE에 대한 사용자 세션의 보호
FCS Cryptographic Support 암호 운용 및 키관리
FMT Security Management TSF 데이터, 보안속성, 보안기능의 관리
![Page 13: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/13.jpg)
KRnet 200113
보안기능 Component 구성요소
Family k ComponentComponent
Component
· · ·
Class b
Family j ComponentComponent
Component· · ·
Class a
Family i ComponentComponent
Component· · ·
CC 목록
기능 및 보증요구사항으로 구성된재사용 가능한 집합PP/ST 요소로선택 가능
Packages
PP 기초자료PP
ST 기초자료ST
추가 요구사항(CC에 없는)
![Page 14: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/14.jpg)
KRnet 200114
보증요구사항(Assurance Requirement)
형상관리- 형상관리 자동화, 형상관리 기능, 형상관리 범위
배달절차 및 운영- 배달절차, 설치, 시스템 생성 및 시동
개발- 기능명세, 기본설계, 구현, 내부구조, 상세설계, 일치성
설명서- 사용자 설명서, 관리자 설명서
생성주기 모델- 개발환경 보안, 결함 정정, 생명주기 모델, 개발도구
시험- 시험의 완전성, 시험의 단위, 보안 기능 시험, 독립시험
취약성 분석- 비밀채널 분석, 오용분석, 보안기능 강도, 취약성 분석
보호프로파일 평가 보안목표명세서 평가 보증등급 유지
![Page 15: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/15.jpg)
KRnet 200115
평가보증등급(EALs)
o Packages of assurance componentso Intended to balance the level of assurance obtained
with cost and feasibilityo Loosely based on assurance levels in the source criteria
■ EAL-1 기능시험
■ EAL-2 구조시험
■ EAL-3 방법론적 시험과 점검
■ EAL-4 방법론적 설계시험 및 검토
■ EAL-5 준정형적 설계 및 시험
■ EAL-6 준정형적 검증된 설계 및 시험
■ EAL-7 정형적 검증
![Page 16: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/16.jpg)
KRnet 200116
보호프로파일(PP:Protection Profile) 및 보안목표명세서(ST:Security Target)
보호프로파일
사용자 및 개발자의 요구사항 정의
기능 구현 기술에 독립적임
제품 개발의 기본 문서로 사용
보안목표명세서
개발자가 작성
제품 평가를 위한 상세 기능 정의
구현 기술에 의존적임
![Page 17: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/17.jpg)
KRnet 200117
TOE
보호프로파일사용자의수요 보안목표명세서
EAL7
EAL1
기능요구사항
보증요구사항
제출물
개발자
((
평가의뢰인
평가자
국제공통평가기준 기반 평가
![Page 18: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/18.jpg)
KRnet 200118
4. 국외 CC 활용 동향
• 선진각국의정책변환- CC 기반의평가수용
※ 선진 각국은 자국의 전통적인 평가기준과(ITSEC, TCSEC등)
병행하여 활용
• 평가인증제도를 운영하는 선진국들을 중심으로평가결과에 대한 상호인정협정(Mutual Recognition) 확대
![Page 19: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/19.jpg)
KRnet 200119
1. 상호인정협정의목적 MRA(Mutual Recognition Arrangement) 가입 국가간
정보보호제품 평가인증서 상호인정
국가간 정보보호제품 수출입시의 중복 평가에 소요되는 시간, 인력 및
노력 감소
단일 평가기준 사용을 통한 평가 신뢰성 강화
※ 공정성, 객관성, 반복성 및 재생성 평가 원칙 반영
2. 기본원칙 CC와 CEM을 이용한 평가 결과 인정
EAL1 ~ EAL4 제품에 대한 평가 결과 인정
기본원칙
CC 기반의 상호인정
![Page 20: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/20.jpg)
KRnet 200120
1998. 10. 독일, 미국, 영국, 캐나다, 프랑스 등 5개국 가입
(CCMRA: CC 기반의 Mutual Recognition Arrangement)1999. 10. 호주, 뉴질랜드 등 2개국 추가 가입
2000. 5. CCMRA에서 CCRA(CC기반의 Recognition Arrangement)로 명칭 변경
※ ITSEC 기반의 유럽 MRA(SOG-IS 상호인정 조약)를 합병
2000. 5. 제 1차 ICCC 개최(13개국 가입)※ 2000. 10월 이스라엘 가입
2000. 7. 제 2차 ICCC 개최 예정
CC 상호인정협정(Mutual Recognition) 연혁
![Page 21: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/21.jpg)
KRnet 200121
• 협정의목적(Purpose of the Arrangement)– 정보보호제품과보호프로파일(PP)에대한일관성있는평가수행으로제품및 PP의보안성및신뢰성향상
– IT제품과 PP의가용성향상– 평가의중복성방지– 평가및인증과정의효율성향상
• 협정의정신(Spirit of the Arrangement)– 참가 주체들간의 기술적 판단과 능력을 상호 이해하고
신뢰하며, 공개적인 논의와 토론을 통하여 일관성을유지함
CCRA 분석
![Page 22: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/22.jpg)
KRnet 200122
• 회원제(Membership) 규정신설인증서사용국가(CCP)와인증서발급국가(CAP)로이원화
• 인정범위(Scope)규정추가인정범위확장(Extension)시협정참가국의동의필요
• 정보공유(Sharing of Information)의강화각참가국간정보공유의의무화
• 존속기간(Duration)조항의삭제협상개시 3년경과후재검토규정삭제
CCMRA(98. 10) vs. CCRA(2000. 5) 비교
![Page 23: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/23.jpg)
KRnet 200123
단일평가기준으로 다양한 정보보호제품 평가
평가기준 유연성 부여
제품 유형 및 기술추세에 적합한 PP 개발
정보보호시스템 평가기준의 범용성 확보
국제표준 수용
전세계적으로 공개 등록된 PP 활용
5. CC 수용 효과
![Page 24: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/24.jpg)
KRnet 200124
국내 정보보호제품 평가기준으로서의 CC 수용 선언
국내 정보보호업체 및 사용자의 PP/ST 개발 능력 함양
PP/ST 개발 기술 확보
정보보호업체 및 사용자를 위한 CC 및 PP 개발 관련 교육
CC 수용 시 전제조건
CC 수용 추진방안
정보보호제품 평가인증 관련 법, 제도 개정
CC 및 PP 개발 교육 프로그램 운영
![Page 25: CC(Common Criteria)와정보보호시스템 평가krnet.or.kr/board/data/dprogram/558/C1-3%C0%CC%B0%E6%B1... · 2012. 5. 6. · 정보통신기술의발달로정보시스템사용증가](https://reader034.fdocuments.net/reader034/viewer/2022052022/603751c2ae3a4c09cd6b89f2/html5/thumbnails/25.jpg)
KRnet 200125
결론 및 추진방향