Transcript 정보보호시스템 평가제도 개요

침입탐지시스템 평가기준
제정 배경
정보통신부 정보보호산업과
김 영 문
([email protected])
목
차
 정보보호시스템 평가제도 개요

국외 정보보호시스템 평가제도 현황

국제상호인정제도

침입탐지시스템 평가기준 제정 개요

기대 효과

향후 계획
2
정보통신부
정보보호시스템 평가제도 개요

정의 :
– 정보보호시스템을 일반 사용자가 안전하게 사용할
수 있도록 제품의 신뢰성 보증하기 위한 법제도 및
기술체계

법적근거
– 정보화촉진기본법 제15조, 시행령 제16조
침입차단시스템 평가기준 및 지침 고시(‘98. 2.)
침입차단시스템 평가기준 개정고시(‘2000. 2.)
정보보호시스템 평가•인증지침 개정고시(‘2000. 2.)
•
•
•
*
세계 7번째로 평가기준 제정
3
정보통신부
정보보호시스템 평가 개요

목적
– 국가주요기반보호 및 전자상거래의 안전 •신뢰성 제고

평가 내용
– 방화벽, 침입탐지시스템 등의 보안,보증기능

평가 현황
– 침입차단시스템 5개제품 평가 완료
– 평가소요기간 : 1제품당 6개월(3명/1제품당)

영국의 경우 5명이 8개월이상 소요
4
정보통신부
해외 평가제도 운영 현황

미국 : TCSEC(‘83)

캐나다 : CTCPEC(‘93)

영국, 독일, 프랑스, 네덜란드 : ITSEC V1.2(‘91)

국가기관용과 민간용 평가로 구분 실시

제품별 평가기준와 공통평가기준 병행 적용
– 미국의 경우 NCSC(국가용), 5개의 TEF(민간)
– 영국의 경우 CESG(국가용), 5개의 CREF(민간)
5
정보통신부
국내외 평가기준 개발 현황
국가
년도
o 미국
’83
TCSEC
’85
’90
’95
TCSEC
DoD 표준
’99
TDI
TNI
FC
CSSI
ITSEC
1.0
o 유럽
영국, 독일
프랑스 기준
o 캐나다
ITSEC
1.2
CTCPEC
3.0e
CTCPEC
1.0
CC
1.0
o 국제
CC
2.0
CC
2.1
침입차단
시스템 기준
o 한국
정보보호
시스템 기준
TCSEC : Trusted Computer System Evaluation Criteria
TNI : Trusted Network Interpretation of TCSEC
TDI : Trusted DBMS Interpretation of TCSEC
CSSI : Computer Security Subsystem Interpretation
FC : Federal Criteria
ITSEC : Information Technology Security Evaluation Criteria
CTCPEC : Canadian Trusted Computer Product Evaluation Criteria
CC : Common Criteria
6
정보통신부
국가별 평가기준 비교 (보증 측면)
미국
TCSEC
D
FC
PP
보증
캐나다
유럽
국제
한국
CTCPEC
ITSEC
Common
Criteria
침입차단시스템
평가기준
최소한의
보호
C1 임의적 보호
EAL0
부적절한 보증
K0
EAL1
기능시험
K1(E)
비정형적
기본설계
EAL2
구조시험
K2(E)
E0
부적절한
보증
E1
F-C1
C2
통제된
접근보호
CS-1
T1
T1
E2
F-C2
비정형적
기본설계
EAL3
방법론적 시험
과 점검
K3(E)
B1
레이블된
보호
LP-1
CS-2
CS-3
T2
T3
T4
T2
T3
E3
F-B1
소스코드와
하드웨어
도면제공
EAL4
방법론적 설계,
시험 및 검토
K4(E)
B2
구조적
보호
LP-2
T5
T4
E4
F-B2
준정형적
기능명세서
기본설계
상세설계
EAL5
준정형적 설계
및 시험
K5(E)
B3
보안
영역
LP-3
T6
T6
E5
F-B3
보안요소
상호관계
EAL6
준정형적 검증된
설계 및 시험
K6(E)
A1
검증된
설계
LP-4
T7
T6
T7
E6
F-B3
정형적
기능명세서
상세설계
EAL7
정형적 검증
K7(E)
7
정보통신부
국제공통평가기준(CC)

목적

보안요구사항의 유연성 부여

평가의 상호인증(Mutual Recognition) 골격 제시
 1999년 6월 ISO 국제표준으로 제정

특장점

단일평가기준으로 다양한 정보보호제품 평가
 제품 유형 및 기술추세에 적합한 PP 개발로 평가기준 의 유연성 부여
 정보보호시스템 평가기준의 범용성 확보

국제표준 수용으로 전세계적으로 공개 등록된 PP 활용
8
정보통신부
국제공동 평가기준 요구사항 개요
국제공통평가기준 개발 방향
CTCPEC
(Canada)
FC
(USA)
TCSEC
Alignment
Activity
CC
V2.0
ITSEC
(Europe)
9
정보통신부
CC
V2.1
국제공통평가기준 기본 체계(2)
EAL7
보증요구사항
EAL
1
사용자의 수요
보호프로파일
TOE
평가
보안목표명세서
(
기능요구사항
평가의뢰인
10
개발자
정보통신부
국제공통평가기준(CC)

CC 수용 시 전제조건

국내 정보보호업체 및 사용자의 PP/ST 개발 능력 함양
 PP/ST 개발 기술 확보 시급
 정보보호업체 및 사용자들의 CC 및 PP 에 대한 홍보

CC 수용 추진방안

정보보호제품 평가 관련 법제도 정비

CC 및 PP 개발 및 구축환경 조성
11
정보통신부
국제상호인정제도(1)

CC-MRA(CC-Mutual Recognition Arrangement)
– 미국(NSA,NIST), 영국(CESG), 프랑스(SCSSI), 독일(BSI),
캐나다(CSE)등 5개국 중심 구성(1998. 10)
– 호주(AISEP), 뉴질랜드(GCSB) 신규 가입(1999. 10)
– MRA 가입 국가간 CC와 CEM(Common Criteria
Evaluation Methodology)을 이용한 평가결과에 대한 정보
보호제품 평가인증서 상호인정
12
정보통신부
국제상호인정제도(2)

CC-RA(Arrangement on the Recognition of CC)
– CAP 7개국과 CCP 6개국이 중심(2000. 5. 23., 제1차 ICCC)
CAP(Certificate Authorizing Participants): 인증서 발행국가(미국,
캐나다, 영국, 독일, 프랑스, 호주, 뉴질랜드)
※ CCP(Certificate Consuming Participants): 인증서 활용국가(네델란
드, 이탈리아, 그리스, 핀란드, 노르웨이, 스페인)
※
– 가입국간 정보보호시스템 평가제품의 상호인정
기존 CC-MRA체제를 CC-RA체제로 전환하면서 회원국을 평가
인증기관 역량에 따라 CAP와 CCP로 구분하여 이원화
※ ITSEC 기반의 MRA의 회원국들을 새로운 회원국으로 흡수
※
13
정보통신부
국제상호인정제도(3)

국제상호인정제도 기대효과
 국내 정보보호제품 수출 경쟁력 강화

공개된 PP를 준용하여 국제수준에 적합한 제품 개발

평가 결과의 상호인정을 통한 평가비용 부담 감소
 국제적으로 평가기술 입증기회 제공

유의사항
 경쟁력있는 국산제품이 부족하고, 대응능력이 떨어질
경우 국내시장 잠식우려
14
정보통신부
국내 평가제도 발전방향

정보보호시스템 평가기준 확대 개발

국제상호인정 대비
– CC 기반의 평가체계 연구 및 환경 구축
– CC-RA 회원국과의 지속적인 협력체계 구축
– 국내 개발 제품의 국외 평가기관을 통한 평가 추진

민간평가기관 도입 검토
– 민간평가기관 지정 요건 및 법 제도 정비
– 국내 평가전문가 육성 및 평가기술 확보
15
정보통신부
침입탐지시스템 평가기준 개발 배경

국내시장 제품 개발 현황 및 시장수요 반영

개발 일정
– 국내외 상용제품 및 사용자 요구사항 분석
– 산 학 연 전문가 의견 수렴
※‘99.11-2000. 5월사이 총 5회의 산업체 전문가 의견수
렴
―KISA 홈페이지를 통한 의견수렴(2000. 5.24 - 6.10)
―공청회실시(2000. 6.22)
― 정보통신부장관 고시(7월초 예정)
16
정보통신부
기대 효과

공공 및 민간기관 정보보호시스템의 안전• 신
뢰성 향상 및 보안유지비 절감

국내 정보보호시스템의 품질향상 촉진
– 정보보호산업체의 기술 향상 유도 기대

신뢰성 있는 정보보호시스템 개발 및 보급촉진
– 정보보호시스템 구매지침으로 활용가능

국내 정보보호산업의 활성화
17
정보통신부
향후 계획
 평가기준 확대개발
– 2000. 7 : 침입탐지시스템 평가기준 고시
– 2000. 10 : 스마트카드 평가기준 제정
– 2001. 2 : CA서버 평가기준 제정

CC 체계 도입 선행연구(2000~)
– CC기반의 시범 평가체계(PP, CEM, ST) 구축

국제상호인정제도 수용 타당성 연구 (2000~)
18
정보통신부