I. 국가 간 평가결과 상호 인증, CC (Common Criteria)
가. CC(Common Criteria) 인증의 개념
국가마다 상이한 평가 기준을 연동시키고, 평가결과를 상호 인증하기 위해 제정된 국제 평가기준
나. CC인증 구성 체계
| 구분 | 구성 체계 | 설명 |
|---|---|---|
| Part 1 | CC 소개/일반 모델 | – 구성요소, 활용방법(PP, ST) |
| Part 2 | 보안기능 요구사항 | – 보안 기능 평가 분야 정리 |
| Part 3 | 보증 요구사항 | – 수준평가 등급별 요구사항 |
II. CC 인증 체계 및 평가 보증 등급
가. CC 인증 체계
– 정보보호제품 평가 인증은 일정 자격 요건을 갖춘, 인증기관 소속 담당자 수행
나. CC인증의 평가보증등급
| 등급 | 주요 내용 | 산출물 |
|---|---|---|
| EAL 1 | 기능 시험 | 기능 명세서, 설명서 |
| EAL 2 | 구조 시험 | 기본설계서, 기능시험서 |
| EAL 3 | 체계적 시험 | 생명주기, 개발보안, 오용분석 |
| EAL 4 | 설계 시험/검토 | 상세설계, 보안정책, 상세시험 |
| EAL 5 | 준정형화 설계/시험 | 개발문서, 보안기능 전체코드 |
| EAL 6 | 준정형화 설계 검증 | 전체 소스 코드 |
| EAL 7 | 정형화 설계 검증 | 개발 문서 정형화 기술 |
– EAL 0은 부적합, EAL 4가 사실상 최고 등급
III. CC 인증의 보호프로파일(PP)와 보안목표명세(ST)
| 보호 프로파일(PP) | 보안 목표명세(ST) |
|---|---|
| – 동일 제품/시스템 적용가능 – 일반적 요구사항/보증사항 – 독립 구현, 여러 제품적용 | – 특정 제품/시스템 적용 – 특수 목표/보증사항 정의 – 종속적 구현, 특정제품적용 |
– PP는 ST 수용가능하나, ST는 PP 수용 불가