ITSEC

Information Technology Security Evaluation Criteria

ITSEC의 개요

ITSEC의 정의

유럽 국가들의 정보 시스템에 대한 공동 보안 지침서

ITSEC 특징

  • TCSEC 개념을 기반으로 개발
  • 기밀성 외에 보안 요소인 무결성과 가용성까지 포함하는 포괄적 표준안 제시
  • 평가등급은 최하위 E0(부적합)부터 최상위 E6까지 7등급
  • 기능성과 보증을 따로 평가(기능성:F1~F10, 보증:E0~E6)
  • 평가기준은 조직적, 관리적 통제와 보안 제품의 기능성 등 기술적 측면보다 비기술적 측면을 중시

ITSEC 평가 및 등급체계

ITSEC 평가방법

  • 유럽 공통의 지침서이지만 유럽 각국은 평가체계를 나름대로 구성 가능
  • 상세한 절차나 체계를 규정하지 않는 대신 평가방법론 및 해설을 중시
원칙 상세 내역
공정성 평가자의 편견 배제
객관성 평가자의 주관적 요소 및 사건을 최소화
반복성 동일한 평가기관에서 같은 평가 대상물을 반복하여 평가해도 똑같은 평가결과가 나와야 함
재생성 여러 군데의 평가기관에서 하나의 평가 대상물을 반복하여 평가해도 똑같은 평가결과가 나와야 함

ITSEC 등급체계

  • TCSEC와 호환을 위한 F-C1, F-C2, F-B1, F-B2, F-B3 등 5가지
  • 독일 ZSIEC 보안 기능을 이용한 F-IN(무결성), F-AV(가용성), F-DI(전송 데이터 무결성), FDC(비밀성), F-DX(전송 데이터 비밀성) 등 10가지
  • 등급은 E1(최저), E2, E3, E4, E5, E6(최고)의 6등급이며, E0는 부적합 판정
  • 효용성 보증을 하나라도 만족하지 못하면 E0 등급을 받음
  • 효용성 보증 요구사항은 모든 시스템에 대해 공통으로 요구되는 것이며, 등급은 정확성 보증을 위해 요구되는 사항에 따라 결정
  • 등급들 간의 주요한 차이점은 개발 과정의 연구에서 추가되는 요구조건