-
개요
- 1980년대부터 시행된 국가별 상이한 평가 기준을 단일 평가 기준으로 대체하기 위하여 개발
- 현존하는 평가 기준의 조화를 통해 평가 결과의 상호인증 추진과 보안 요구사항의 유연성 부여, 평가의 상호인증을 위한 골격 제시, 평가 기준의 향후 발전 방향의 정립
-
공통 평가 기준 구조
-
Part 1 : 소개 및 일반 모델
- 일반 모델은 정보 보호 시스템의 평가 원칙과 일반 개념을 정의하고, 평가의 일반 모델을 표현하는 공통평가 기준의 소개 부분
- 정보 보호 시스템의 보안 목적을 표현하고, 정보 보호 시스템의 보안 요구사항을 선택하여 정의하며, 정보 보호 시스템의 상위 수준 명세를 작성하기 위한 구조를 소개
- 각 이용자 집단에 대해 공통 평가 기준의 각 부분의 유용성을 서술
-
Part 2 : 보안 기능 요구 사항
TOE(Target of Evaluation)의 기능 요구사항을 표준화된 방법으로 표현한 것으로, 기능 컴포넌트들의 집합으로 구성되고, 11개의 클래스로 이루어져 있음
-
Part 3 : 보증 요구사항
- TOE의 보증 요구사항을 표준화된 방법으로 표현한 것으로, 보증 컴포넌트들의 집합으로 이루어져 있음
- Part 3은 보호 프로파일과 보안 목표 명세서에 대한 평가 기준을 정의
- TOE의 보증 수준에 대해 공통 평가 기준에서 미리 정의된 척도를 소개하는데, 이를 평가 보증 등급이라 함
-
CC의 핵심
Part 2와 Part 3로 정보 보호 시스템이 구비해야 하는 기능 및 보증 요구사항을 기술하고 있으며, 개발자는 기술된 요구사항을 참조하여 정보 보호 시스템을 개발
-
평가 기준 상호 인정 협정
공통 평가 기준과 유럽 평가 기준의 경우 평가 기준의 국가 간 상호인정을 위한 협정을 체결하여 타국에서 평가받은 제품을 일정 등급까지 자국 내에서 평가 받은 제품과 동일한 효력이 발생되도록 인정
-
-
기타