정보보호 시스템 평가기준
정보보호 시스템 평가기준 개요
정보보호 시스템 평가기준 정의
컴퓨터 시스템, 솔루션 등 IT 제품의 보안성 수준을 평가하기 위한 제품 보안평가 인증제도 및 기준
정보보호 시스템 평가기준 발전 과정
- 1980년 초반 미국에서 TCSEC 개발
- 1991년 EU에서 TCSEC 개념을 기반으로 ITSEC 1.2 개발
- 1993년 각 국가의 평가기관은 국제적 통합 표준 프로젝트 CC 시작
- 1996년 CC 1.0, 1997년 2.0, 1999년 2.1, 현재는 3.1 버전
정보보호 시스템 평가기준 종류
TCSEC(Trusted Computer System Evaluation Criteria)
미국의 NCSC에서 제정한 컴퓨터 시스템의 보안성 평가기준
- 기밀성 기준으로 평가하고, 무결성 기준으로는 평가하지 않음
- 기능성, 보증을 동시에 평가해서 하나의 등급으로 표시
- 표지 색이 오렌지색이기 때문에 통상 오렌지북이라고 불림
ITSEC(Information Technology Security Evaluation Criteria)
- 유럽 국가들의 정보 시스템에 대한 공동 보안 지침서
CC(Common Criteria)
- 국가마다 서로 다른 정보보호 시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 평가기준