ITSEC
Information Technology Security Evaluation Criteria
ITSEC의 개요
ITSEC의 정의
유럽 국가들의 정보 시스템에 대한 공동 보안 지침서
ITSEC 특징
- TCSEC 개념을 기반으로 개발
- 기밀성 외에 보안 요소인 무결성과 가용성까지 포함하는 포괄적 표준안 제시
- 평가등급은 최하위 E0(부적합)부터 최상위 E6까지 7등급
- 기능성과 보증을 따로 평가(기능성:F1~F10, 보증:E0~E6)
- 평가기준은 조직적, 관리적 통제와 보안 제품의 기능성 등 기술적 측면보다 비기술적 측면을 중시
ITSEC 평가 및 등급체계
ITSEC 평가방법
- 유럽 공통의 지침서이지만 유럽 각국은 평가체계를 나름대로 구성 가능
- 상세한 절차나 체계를 규정하지 않는 대신 평가방법론 및 해설을 중시
원칙 | 상세 내역 |
---|---|
공정성 | 평가자의 편견 배제 |
객관성 | 평가자의 주관적 요소 및 사건을 최소화 |
반복성 | 동일한 평가기관에서 같은 평가 대상물을 반복하여 평가해도 똑같은 평가결과가 나와야 함 |
재생성 | 여러 군데의 평가기관에서 하나의 평가 대상물을 반복하여 평가해도 똑같은 평가결과가 나와야 함 |
ITSEC 등급체계
- TCSEC와 호환을 위한 F-C1, F-C2, F-B1, F-B2, F-B3 등 5가지
- 독일 ZSIEC 보안 기능을 이용한 F-IN(무결성), F-AV(가용성), F-DI(전송 데이터 무결성), FDC(비밀성), F-DX(전송 데이터 비밀성) 등 10가지
- 등급은 E1(최저), E2, E3, E4, E5, E6(최고)의 6등급이며, E0는 부적합 판정
- 효용성 보증을 하나라도 만족하지 못하면 E0 등급을 받음
- 효용성 보증 요구사항은 모든 시스템에 대해 공통으로 요구되는 것이며, 등급은 정확성 보증을 위해 요구되는 사항에 따라 결정
- 등급들 간의 주요한 차이점은 개발 과정의 연구에서 추가되는 요구조건