공통 기준

공통 기준 인증이란 무엇인가요?

공통 평가 기준은 정부가 정부 기관 및 중요 인프라에서 사용할 제품에 대한 인증 체계로 사용하는 모델입니다. 또한 많은 기업이 공통 기준 인증이 보장하는 품질로 인해 소프트웨어 선택 프로세스에서 공통 기준을 사용합니다.

CCRA(공통 기준 인정 협정)는 정보 기술 보안 평가를 위한 공통 기준 및 정보 기술 보안 평가를 위한 공통 방법론(CEM)에 정의되어 있습니다. 이는 매우 일반적인 표준이며 보안을 보장하지 않습니다.

그러나 공통 기준 인증은 공급업체의 보안 주장이 독립적으로 평가되었는지 확인할 수 있습니다.

CC 인증은 평가를 거친 제품을 더 많은 사용자 그룹이 사용할 수 있게 하고, 제품이 공급업체의 주장에 부합하도록 보장하며, 소프트웨어 고객의 소프트웨어 평가에 대한 부담과 비용을 제거합니다.

주요 공통 기준 개념

다음은 공통 기준을 이해하려고 할 때 알아야 할 몇 가지 개념입니다:

• 평가 대상(TOE): 평가 대상 제품 또는 시스템입니다.
• 보안 대상(ST): 이 문서는 평가 대상 제품의 보안 속성을 정의합니다. 이를 통해 소프트웨어 공급업체는 제품의 특정 기능에 맞게 평가를 사용자 지정할 수 있습니다. 또한 잠재 고객이 제품의 어떤 보안 기능이 테스트되었는지 확인할 수 있으므로 정보에 입각한 결정을 내릴 수 있도록 도와줍니다.
• 보호 프로필(PP): 디지털 서명이나 방화벽과 같은 특정 등급의 보안 장치에 대한 보안 요구 사항을 식별하기 위해 사용자 커뮤니티에서 작성하는 문서입니다. 공급업체는 하나 이상의 PP를 준수하는 제품을 제조하도록 선택한 다음 해당 제품에 대해 평가를 받을 수 있습니다. 공급업체는 PP를 모델로 사용하여 자체 보안 대상을 만들 수도 있습니다.
• 보안 기능 요구 사항(SFR): 제품에서 제공하는 고유한 보안 기능을 나열합니다.
• 보안 보증 요구사항(SAR): 이는 품질 보증 프로세스에서 사용되며 제품이 청구된 보안 표준을 충족하기 위해 취해야 할 단계를 설명합니다.
• EAL(평가 보증 수준): 평가의 깊이와 엄격함을 설명하는 수치 등급입니다. 각 EAL은 일련의 SAR에 해당합니다. 공통 기준에는 7단계의 EAL이 나열되어 있으며, 1단계는 가장 기본적인 평가 수준이고 7단계는 가장 엄격한 수준입니다.

제품이 CC 인증을 받는 방법

다음은 기업이 공통 기준 인증을 받기 위해 거쳐야 하는 몇 가지 단계입니다:

1. 회사는 모든 증빙 서류와 함께 보안 대상 설명을 작성해야 합니다. 여기에는 제품의 개요, 보안 기능 및 잠재적인 보안 위협이 포함되어야 합니다.
2. 회사는 제품을 평가하고 회사가 제품에 대해 정의한 보안 표준을 충족하는지 판단할 수 있는 독립적으로 허가된 실험실을 찾아야 합니다.
3. 제품이 평가를 통과하면 여러 인증 기관 중 한 곳에서 인증을 발급합니다.

공통 기준은 컴퓨터 보안 인증을 위한 국제 표준입니다. 제품 공급업체는 자사 제품의 공통 기준 인증을 받아 보안 주장을 입증할 수 있으며, 기업은 보안 요구 사항과 테스트된 주장을 비교하여 인프라에 추가할 소프트웨어 및 시스템을 찾을 수 있습니다.

자세히 알아보기

Illumio의 공통 기준 인증 및 기타 정부 보안 인증에 대한 자세한 내용은 인증 및 정부 페이지를 참조하세요.