공통 기준

공통 기준 인증이란 무엇입니까?

Common Criteria는 정부가 정부 기관 및 중요 인프라에서 사용하기로 선택한 제품에 대한 인증 체계로 사용하는 모델입니다.또한 많은 기업에서는 공통 기준 인증이 보장하는 품질 때문에 소프트웨어 선택 과정에서 공통 기준을 사용합니다.

공통 기준 인정 규정 (CCRA) 은 정보 기술 보안 평가의 공통 기준 및 정보 기술 보안 평가 (CEM) 를 위한 공통 방법론에 정의되어 있습니다.이는 매우 일반적인 표준이며 보안을 보장하지는 않습니다.

하지만 Common Criteria 인증을 통해 공급업체의 보안 주장이 독립적으로 평가되었는지 확인할 수 있습니다.

CC 인증은 평가를 거친 제품을 더 많은 사용자가 사용할 수 있도록 하고, 제품이 공급업체의 주장에 부합하는지 확인하며, 소프트웨어 고객이 소프트웨어를 평가하는 데 드는 부담과 비용을 없애줍니다.

주요 공통 기준 개념

다음은 일반 기준을 이해하려고 할 때 알아야 할 몇 가지 개념입니다.

• 평가 대상 (TOE): 평가 대상 제품 또는 시스템입니다.
• 보안 대상 (ST): 이 문서는 평가 대상 제품의 보안 속성을 정의합니다.이를 통해 소프트웨어 공급업체는 제품의 특정 기능에 맞게 평가를 사용자 지정할 수 있습니다.또한 잠재 고객이 테스트된 제품의 보안 기능을 파악하여 더 많은 정보에 입각한 결정을 내릴 수 있도록 도와줍니다.
• 보호 프로파일 (PP): 이 문서는 사용자 커뮤니티에서 디지털 서명이나 방화벽과 같은 특정 등급의 보안 장치에 대한 보안 요구 사항을 식별하기 위해 작성하는 문서입니다.공급업체는 하나 이상의 PP를 준수하는 제품을 제조한 다음 해당 제품에 대한 평가를 받도록 선택할 수 있습니다.공급업체는 PP를 모델로 사용하여 자체 보안 대상을 만들 수도 있습니다.
• 보안 기능 요구 사항 (SFR): 여기에는 제품에서 제공하는 고유한 보안 기능이 나열되어 있습니다.
• 보안 보증 요구 사항 (SAR): 이는 품질 보증 프로세스에 사용되며 제품이 해당 보안 표준을 충족하는지 확인하기 위해 취해야 할 단계를 설명합니다.
• 평가 보증 수준 (EAL): 이것은 평가의 깊이와 엄격함을 나타내는 수치 등급입니다.각 EAL은 일련의 SAR에 해당합니다.공통 기준에는 7가지 수준의 EAL이 나열되어 있습니다. 여기서 1은 가장 기본적인 평가 수준이고 7은 가장 엄격한 평가입니다.

제품이 CC 인증을 받는 방법

기업이 공통 기준 인증을 받기 위해 거쳐야 하는 몇 가지 단계는 다음과 같습니다.

1. 회사는 모든 지원 문서와 함께 보안 대상 설명을 작성해야 합니다.여기에는 제품 개요, 보안 기능 및 잠재적 보안 위협이 포함되어야 합니다.
2. 회사는 제품을 평가하고 회사가 제품에 대해 정의한 보안 표준을 충족하는지 확인하기 위해 독립 허가를 받은 실험실을 찾아야 합니다.
3. 제품이 평가를 통과하면 여러 인증 작성 체계 중 하나가 인증을 발급합니다.

공통 기준은 컴퓨터 보안 인증을 위한 국제 표준입니다.제품 공급업체는 자사 제품의 Common Criteria Certified 인증을 받아 자신이 제기한 보안 주장을 입증할 수 있습니다. 그러면 기업은 자사의 보안 요구 사항을 테스트된 클레임과 비교하여 인프라에 추가할 소프트웨어와 시스템을 찾을 수 있습니다.

자세히 알아보기

Illumio의 Common Criteria 인증 및 기타 정부 보안 인증에 대한 자세한 내용은 다음을 참조하십시오. 자격증 및 정부 페이지.