정보보호 시스템의 평가 기준 CC ITSEC TCSEC
정보보호 시스템의 평가 기준으로 알려진 CC, ITSEC, TCSEC는 정보시스템의 신뢰성과 보안성을 측정하기 위한 중요한 도구입니다. 이 기준들은 각국의 정보보호 시스템을 평가하고 서로 인증할 수 있도록 통합된 시스템을 제공합니다. 이 글에서는 TCSEC, ITSEC, CC의 각각의 특징과 차이를 깊이 있게 알아보겠습니다.
TCSEC (Trusted Computer Security Evaluation Criteria)
TCSEC는 1983년에 미국에서 정의된 평가 기준으로, 표지가 오렌지색이라 오렌지 북이라고도 불립니다. 이 기준은 보안 시스템의 능력을 평가하기 위해 여러 계층의 보안 등급을 구축하였으며, 크게는 A, B, C, D의 4단계로 구분됩니다. 각 등급은 다시 세부 등급으로 나뉘어 총 7단계(A1, B3, B2, B1, C2, C1, D)로 구성됩니다.
TCSEC의 주요 요구사항
TCSEC의 평가 기준에는 다음과 같은 4가지 요구 사항이 포함되어 있습니다:
- 정책 (Security Policy): 정보의 기밀성을 보장하기 위해 필요한 규칙과 절차를 정의합니다.
- 책임성 (Accountability): 시스템 사용자가 모든 활동에 대해 책임을 질 수 있도록 합니다.
- 보증 (Assurance): 시스템의 안전성을 확인하고 그에 대한 증거를 제공합니다.
- 문서 (Documentation): 시스템과 관련된 모든 정보를 체계적으로 문서화합니다.
이러한 요구 사항은 TNI, TDI, CSSI 등의 시스템 분류에 따라 적용되며, 기밀성에 중점을 둡니다. 텍스트 예시를 통해 보면, A1 등급은 가장 높은 보안성을 요구하며, 시스템은 모든 요구 사항을 충족해야 합니다. 반면, D 등급은 최소한의 보안 요구 사항만을 충족하면 됩니다.
| 보안 등급 | 등급 설명 |
|---|---|
| A1 | 엄격한 보안 요구사항 충족 |
| B3 | 명확한 보안 정책과 문서 필요 |
| B2 | 보안 요구사항 일부 충족 |
| B1 | 기초적인 보안 요구사항 |
| C2 | 최소 보안 요구 사항 충족 |
| C1 | 정보를 안전하게 저장 |
| D | 최소한의 보안 요구 사항 충족 |
이 표를 통해 TCSEC의 보안 등급과 그 요구사항을 쉽게 비교할 수 있습니다.
ITSEC (Information Technology Security Evaluation Criteria)
ITSEC의 평가 원칙
ITSEC의 주요한 특징은 기술적인 문제보다는 조직적, 관리적 통제 보안 제품의 기능성 등을 중시한다는 점입니다. 이 기준은 기밀성, 무결성, 가용성을 기준으로 하여, 다음과 같은 다양한 평가 기준을 제공합니다.
- 기밀성 (Confidentiality): 정보가 무단으로 접근되거나 유출되지 않도록 보호하는 것을 목표로 합니다.
- 무결성 (Integrity): 정보가 승인된 사용자에 의해만 수정되도록 보장합니다.
- 가용성 (Availability): 정보와 서비스가 필요할 때 언제든지 접근 가능하도록 보장합니다.
ITSEC의 평가 체계는 비기술적인 측면을 강조하는데, 이는 운영상의 보안 및 관리 통제가 기술적 보호 대책보다 중요할 수 있다고 판단했기 때문입니다.
| 등급 | 설명 |
|---|---|
| E0 | 부적합 |
| E1 | 최소한의 보안 요구 |
| E2 | 기초적 보안 요구 사항 충족 |
| E3 | 통제된 보안 요구 사항 충족 |
| E4 | 고급 보안 요구 사항 충족 |
| E5 | 체계적 보안 요구 사항 충족 |
| E6 | 최고 보안 등급 |
이 표는 ITSEC의 보안 등급과 그 요구 사항을 간단히 정리하여 비교할 수 있게 합니다.
CC (Common Criteria)
CC(Common Criteria)는 여러 국가에서 상이한 평가 기준을 연동시키고 평가 결과를 상호 인증하기 위해 제정된 국제 기준입니다. 이 기준은 다양한 수준의 신뢰성을 제공하며, EAL(평가 인증 수준)로 나뉘어 있습니다. EAL은 보안 기능의 검사와 검증의 형식을 정의하며, 총 7단계로 나뉩니다.
CC의 주요 등급
CC의 EAL 등급은 다음과 같이 구성됩니다:
- EAL 1: 기능 시험 및 문서화
- EAL 2: 구조 시험 및 기능 시험
- EAL 3: 체계적 시험 및 개발 보안
- EAL 4: 설계 시험/검토 및 상세 시험
- EAL 5: 준정형화 설계/시험
- EAL 6: 정형화 설계 검증
- EAL 7: 정형화 설계 검증 및 개발 문서 정형화
이러한 평가 기준들은 정보 시스템에 대한 신뢰성을 높이는 데 기여하며, 기업이나 기관이 정보 시스템을 안전하게 운영할 수 있도록 돕습니다.
| EAL 등급 | 설명 |
|---|---|
| EAL 1 | 기능 시험 및 문서화 |
| EAL 2 | 기본적 구조 시험 및 기능 시험 |
| EAL 3 | 시스템적 시험 및 소프트웨어 보안 개발 |
| EAL 4 | 설계 및 보안 정책 시험 |
| EAL 5 | 문제가 없는 소프트웨어 기능 시험 |
| EAL 6 | 정형화 설계를 통한 검증 |
| EAL 7 | 정형화 설계 검증 및 문서화 |
이 표는 CC의 EAL 등급을 통해 보안 수준의 차이를 시각적으로 보여줍니다.
💡 이사 서비스를 선택할 때 중요한 요소를 알아보세요. 💡
결론
정보보호 시스템의 평가 기준인 CC, ITSEC, TCSEC는 각국의 정보보호 시스템을 국제적으로 통합하고 인증할 수 있는 중요한 역할을 합니다. 이러한 기준은 정보 시스템의 성능과 신뢰성을 평가하는 데 필수적인 요소로 자리잡고 있으며, 사려 깊은 정보 보안 전략의 일환으로 활용되어야 합니다. 앞으로도 지속적인 연구와 업데이트가 필요하며, 정보 보안 전문가들은 이러한 기준에 대한 이해를 바탕으로 더욱 안전한 시스템을 구축해 나가야 할 것입니다.
💡 정보보호 시스템의 평가 기준을 심층적으로 이해해 보세요. 💡
자주 묻는 질문과 답변
질문1: TCSEC의 보안 등급은 무엇인가요?
답변1: TCSEC는 크게 A, B, C, D의 4단계로 나뉘며, 각각 세부 등급으로 나뉘어 총 7단계(A1, B3, B2, B1, C2, C1, D)를 구성합니다.
질문2: ITSEC의 주요 특징은 무엇인가요?
답변2: ITSEC는 기술적인 문제보다는 조직적, 관리적 통제와 보안 제품의 기능성을 중시하며, 기밀성, 무결성, 가용성을 기준으로 합니다.
질문3: CC의 EAL 등급은 무슨 의미인가요?
답변3: CC의 EAL 등급은 평가 인증 수준을 의미하며, 보안 기능의 검사와 검증의 과정을 통해 시스템의 신뢰성을 결정합니다.
질문4: 정보 보호에 대해 추가적으로 알아야 할 사항은 무엇인가요?
답변4: 정보 보호는 단순한 기술적 문제뿐만 아니라 정책, 절차, 사람의 행동 등 다양한 측면에서 접근해야 합니다.
정보보호 시스템 평가 기준: CC, ITSEC, TCSEC의 차이점은?
정보보호 시스템 평가 기준: CC, ITSEC, TCSEC의 차이점은?
정보보호 시스템 평가 기준: CC, ITSEC, TCSEC의 차이점은?
목차