프로세스 측면에서의 공통평가기준 접근

Abstract

1999년 ISO/IEC 표준(ISO/IEC 15408)으로 보안성 평가 기준인 공통평가기준(Common Criteria, 이하 CC라 칭한다.)이 제정되었으며, 최근 공통평가기준 기반의 평가·인증결과에 대한 상호인정협정(Common Criteria Recognition Arrangement, CCRA)에 여러 나라들이 대거 가입함에 따라 CC의 영향력은 날로 커지고 있다. CC 기반의 평가는 주어진 기능이 제대로 구현이 되었는지에 대한 보증 평가이며, 제품 자체(산출물 포함)를 평가 대상으로 한다. 본 논문은 프로세스를 정립해야 소프트웨어 품질이 높아진다는 점에 입각해 프로세스 측면에서 CC에 접근한 개발 방법론과 제품뿐 아니라 프로세스도 평가 대상으로 하는 통합 평가 모델을 제안한다. 즉 개발자가 평가에 대비하여 참고할 수 있는 개발 프로세스와 개발 산출물의 내용으로 이루어진 개발 방법론을 제안하여 개발자의 프로세스 정립에 도움을 주도록 한다. 또한 제품과 프로세스를 동시에 평가하는 통합 평가 모델을 제안함으로써 평가자가 평가에 활용하여 지속적인 프로세스의 향상에 도움을 주도록 한다. 이 논문은 먼저 TOE 개발 방법론을 기술하고, CC와 보증 방법론의 상호호환성 분석 결과를 기술한 다음, 상호호환성 분석 결과, 기존 보증 방법론 중 CC와 가장 유사하다고 보여진 SSE-CMM를 기반으로 만들어진 CC 기반 통합 평가 모델의 순으로 기술한다. ; Henceforth the impact of the Common Criteria is expected to grow, and Korea tends to join CCRA soon. CC defines the evaluation level in EAL (Evaluation Assurance Level). Higher the EAL, the greater the potential assurance level and cost of the evaluation become. Before introducing the Common Criteria to domestic, the development of IT security products is required to prepare the Common Criteria security evaluation. And producing the maximum effect with a lower cost required research on how to be efficient on EAL assurance evaluation. Our research on the guideline of the development stage for IT security system and also on the validation methodology to prepare for the Common Criteria security evaluation can help the development of IT security products. And we apply the existing assurance method and framework the model for the IT system security evaluation based on CC, We develop the guideline of building an efficient CC based security evaluation.