[논문]정보보호시스템 평가.인증체계 모델 제안

김수연; 오동규; 이승우; 최희봉; 원동호

문제 정의

인증지침, 국가기관용 PP, 정보통신망 침입차단시스템 평가기준, 정보통신망 침입 탐지시스템 평가 기준, 정보보호시스템 공통평가기준 등이 있다. 그러나, 이 문서들은 평가방법이나 절차에 대한 개략적 인 내용이 기술되어 있으므로 새로운 평가.인증스킴은 평가 .
본 논문에서 제안하는 국내 정보보호 시스템 평가. 인증 절차는 평가 신청인과 인정기관 사이에 평가를 진행하는 국가용 정보보호시스템에 대한 평가.
본 논문에서는 국가보안시스템 평가체계를 제안하기 위해 CCRA 국가 중에서도 인증서 발행국인 CAPfCertificate Authorizing Participants)14 대표 국인 미국과 영국을 분석하여, 현 우리나라 평가 . 인증체계와 비교한다.
본 논문에서는 급변하는 국내·외 환경에 대처할 수 있는 국가보안시스템 평가체계를 제안한다. 2장에서는 기존 평가체계의 문제점을 분석흐卜여, 국가 보안 시스템 평가체계 개선의 필요성에 대해서 설명하고, 국가보안시스템 평가체계에 적합한 요구사항을 도출한다.
본 논문에서는 제안한 국가보안시스템 평가 . 인증체계는 다음과 같다.
본 논문에서는 향후 정보보호 시스템 평가.인증체 계의 국제적 흐름을 결정하게 될 CC 기반의 CCRA 요구사항을 만족하는 국가보안시스템 평가체계를 제안하기 위해서, 선진국의 평가.
본 논문은 국내 정보보호 시스템 평가. 인증체계의 활성화를 위한 요구사항을 분석하여, 평가의 인프라에 대비할 수 있는 자료로 활용될 수 있으며, 향후 국가 간 정보보호 시스템에 대한 상호인정에 관한 협정인 CCRA에 가입을 위한 기초방안을 제공할 것으로 기 대된다.
인증관련 인력에 비해 현저히 부족하며, 특별히 인력양성을 위한 홍보나 교육의 기회가 거의 없는 상황이다. 이에 정보보호 시스템 평가 . 인증의 인적 기반 조성을 위해서 정보보호 시스템 평가 .
우선, 국가보안시스템 평가체계를 위한 첫 번째 제안사항으로 평가 . 인증 과정에 연관된 기관에 대한 개선점을 제시했다. 평가기관은 현재의 단일기관에서 공정하고 객관성 있게 평가를 수행할 수 있는 기술과 조건을 갖춘 복수의 민간평가기관으로의 변경이 요구되며, 높은 보안성을 요구하는 국가용 제품의 경우에 대해서는 독립적으로 평가를 수행할 수 있는 전문기관이 설립되어야 한다.
인증과 관련된 조직의 체계적인 구성과 관리로 평가. 인증의 공정성을 유지하고 일관성을 확보하는 것이다. 평가.
인증 스킴이란 평 가신청자나 사용자에게 정보보호 시스템 평가. 인증제도에 대한 신뢰를 높이기 위해 평가 . 인증제도, 평가기준.

제안 방법

인증분야의 고급 전문인력 양성교육을 지원해야 하며. 국 외 관련 기관의 협조를 통해 평가 . 인증 기술력을 습득할 기회를 마련해야 한다.
또한, 인증기관의 역할, 규정, 절차 등에 대해 명확하게 문서화해야 한다. 국내 인증기관을 국가용과 민간용 제품의 평가에 대한 두 개의 인증기관으로 분류하여 얻을 수 있는 효과는 첫째, 국가용으로 사용하는 EAL4 등급 이상의 제품의 보증 결과를 얻기 위한 평가. 인증비용과 소요되는 기간을 줄이고 평가에 대한 인증 결과의 효율성을 높일 수 있다.
선진국은 CC 기반의 평가체계로 전환하며 국가보안기관 주도의 평가업무를 대부분 민간평가기관에 이양함으로써 평가기술과 업무를 상업화하고, 자국의 정보보 호제품에 대한 시장을 확보하려고 노력하고 있다. 또한 CCRA에 가입하여 자국에서 평가 . 인증된 정보보 호시스템을 상호 인정하기로 회원국 간 합의하여 표준화된 정보보호 시스템 평가.
등급별 자격 등의 평가자를 위한 스킴문서가 요구되며, 평가자 양성을 위한 교육 및 자격 부여 프로그램이 필요하다. 또한, CCRA 신청국의 평가능력 검증시. CAP에서 평가 전문가를 직접 신청국에 파견하여 현장 평가 를 실시하기 때문에 평가자는 선진국의 평가기술과 방법론을 우선적으로 습득해야 한다.
인증기관은 평가신청인이 제출한 서류에 추가하여, CC에 의해 요구되는 평가 증거물인 상세설계문서나 매뉴얼, 사후관리계획 등을 제공받아 평가할 수 있다. 예비 평 가의 결과로 예비 평가보고서를 작성하고, 평가의 결과 외에 앞으로 필요한 사항이나 CC의 각 요구사항에 대한 제품의 대략적인 평가, 기술적인 문제와 관리적인 문제점 등을 기술한다. 예비평가에 대한 최종 결정이 내려지면, 실제적인 평가가 시작되며, 에비평가 결과는 본 평가에서 평가보고서를 작성할 때 이용하며, 그 결과를 인증한다.
인증체계는 다음과 같다. 우선, 국가보안시스템 평가체계를 위한 첫 번째 제안사항으로 평가 . 인증 과정에 연관된 기관에 대한 개선점을 제시했다.
인증 절차는 평가 신청인과 인정기관 사이에 평가를 진행하는 국가용 정보보호시스템에 대한 평가. 인증 절차와 평가신청인과 평가기관, 인증기관이 필요한 민간용 정보보호시스템에 대한 평가. 인증 절차로 구분한다.
기존의 국내 평가. 인증 절차의 준비 단계에서는 평가기관이 제출물을 검토하여 평가 수행 여부를 결정하였으나, 제안하는 민간용 정보보호시스템 평가 . 인 증 절차의 준비단계에서는 인증기관이 평가제출물 검토의 역할을 담당하도록 하여 민간평가기관의 부담을 줄여주고.
인증절차나 각 평가 . 인증관련 기관의 요구사항들에 대해 자세히 기술하고 있지 않으며, 대략적인 조건만을 설명하고 있으므로 평가 . 인증스킴이라고 볼 수 없다.
인증스킴은 평가 . 인증관련 전문가를 통해 자세한 과정 및 방법을 설명하고, 국내 평가 . 인증제도를 누구나 이해할 수 있도록 쉽게 작성되어야 한다.
각 국의 법, 법적 수단, 혹은 행정절차에 의해 설립되고, CCRA의 모든 요구조건을 충족한다는 조건을 만족해야 한다. 인증기관은 CC 와 CEM(Common Evaluation Methodo- logyμ(2)을 일관성 있고 신뢰성 있게 적절히 적용하겠다는 목표를 위해 인증기관은 평가. 인증스킴 내에서 진행 중인 모든 종류의 평가를 적정 수준에서 감시하는 책임을 가진다.
국가용 정보보호시스템 평가 . 인증기관은 기능평가가 완료한 후에, 시험결 과에 대한 문서와 평가보고서를 수정하여 최종평가보 고서를 작성하며. 작성한 최종 평기보고서를 검토하여 CC 인증서의 발행 여부를 결정한다.
또한 CCRA에 가입하여 자국에서 평가 . 인증된 정보보 호시스템을 상호 인정하기로 회원국 간 합의하여 표준화된 정보보호 시스템 평가. 인증체계에 대한 관심이 고조되고 있는 실정이다.
캐나다 등은 자국의 평가.인증스킴 문서를 공개하여 정보보호 시스템 평가 . 인증제도를 설명하고 있다.
이에 정보보호 시스템 평가 . 인증의 인적 기반 조성을 위해서 정보보호 시스템 평가 . 인증분야의 고급 전문인력 양성교육을 지원해야 하며.
앞에서 살펴본 바와 같이, 국내에서는 1998년부터 정보보호 시스템 평가. 인증제도를 시행하여, 국내에 적합한 평가 . 인증제도를 구축하는 데 주력하여 왔다.
본 논문에서는 향후 정보보호 시스템 평가.인증체 계의 국제적 흐름을 결정하게 될 CC 기반의 CCRA 요구사항을 만족하는 국가보안시스템 평가체계를 제안하기 위해서, 선진국의 평가. 인증체계를 분석하여 우리나라 실정에 맞는 평가 .
국외의 평가 . 인증체계 관련 기관의 현황을 알아보고, 각 기관별 요구사항에 대해 조사하며, 다음으로 평가방법. 제도 등 평가에 대한 자세한 설명서라고 할 수 있는 국외의 평가 ■ 인증 스킴을 알아본다.
인증체 계의 국제적 흐름을 결정하게 될 CC 기반의 CCRA 요구사항을 만족하는 국가보안시스템 평가체계를 제안하기 위해서, 선진국의 평가. 인증체계를 분석하여 우리나라 실정에 맞는 평가 . 인증체계를 제안했다.
인증체계를 분석하여 우리나라 실정에 맞는 평가 . 인증체계를 제안했다. 선진국은 CC 기반의 평가체계로 전환하며 국가보안기관 주도의 평가업무를 대부분 민간평가기관에 이양함으로써 평가기술과 업무를 상업화하고, 자국의 정보보 호제품에 대한 시장을 확보하려고 노력하고 있다.
본 논문에서는 국가보안시스템 평가체계를 제안하기 위해 CCRA 국가 중에서도 인증서 발행국인 CAPfCertificate Authorizing Participants)14 대표 국인 미국과 영국을 분석하여, 현 우리나라 평가 . 인증체계와 비교한다. 우선.
제안하는 민간용 정보보호 시스템 평가, 인증 절차의 평가 단계에서는 평가신청인이 제출한 제출물을 평가신청인, 평가기관.인증기관이 서로 검토하는 과정을 추가하고, 평가기관의 평가결과를 인증기관이 인증함에 따라 평가 결과를 신뢰할 수 있다.
기존 국내 평가 단계에서는 평가보고서를 한 번만 작성하지만.제안하는 평 가단계에서는 평가기관이 평가한 결과를 관찰보고서와 평가보고서를 통해 두 번 인증기관에 보고하여 평가의 신뢰도를 높인다.
둘째, 현 국내 평가체계에는 구체적으로 평가방법론이나 평가 절차 등에 대한 상세한 내용을 담은 문서가 없으므로 이에 대한 구체적인 문서인 스킴의 작성이 필요하다. 즉, 평가신청자나 사용자에게 정보보호 시스템 평가, 인증제도에 대한 신뢰를 높이기 위해 평가 . 인증제도, 평가기준, 평가방법론, 평가 관련 기관 및 사용자의 임무 등을 설명한 문서를 개발해야 한다.

대상 데이터

상급평가자 이렇게 3단계의 자격을 인정하며. 평가자 훈련 프로그램으로 Ml-기본보 안 컨셉, 평가기술 접근, M3-계획과 업무, M4-외 부의 기관 등 4개 모듈을 설명하고 있다. 평가 후보자가 모듈 Ml과 M2를 만족하게 완성하면.

성능/효과

작성한 최종 평기보고서를 검토하여 CC 인증서의 발행 여부를 결정한다. 검증 결과, 평가를 의뢰한 정보보호 시스템의 평가 결과가 성공적으로 완료된 것으로 결정되면, 제품은 인증제품 대장에 등재되며, 인증 결과서가 교부된다. 최종평가보고서의 인증과 정의 수행 결과, 평가의 결과를 인증할 수 없으면 평가는 중단된다.
인증비용과 소요되는 기간을 줄이고 평가에 대한 인증 결과의 효율성을 높일 수 있다. 둘째, 국가용과 민간용 제품이 만족해야 하는 보증 요구사항이 다르므로 각 기관이 주로 인증하는 사항에 대한 기술력을 집중 투자 및 보완하여 인증 결과의 신뢰성을 높일 수 있다. 셋째, 민간평가기관을 도입함에 따라 민간평가기관에 대한 관리 및 평가 결과에 대한 보증을 해주는 기관이 요구되는데, 이를 국가용과 민간용 제품 평가의 인증을 구별하지 않고 하나의 인증기관에서 단독으로 수행한다면, 인증기관의 역할과 책임이 편중되는 문제점이 있다.
둘째, 국가용과 민간용 제품이 만족해야 하는 보증 요구사항이 다르므로 각 기관이 주로 인증하는 사항에 대한 기술력을 집중 투자 및 보완하여 인증 결과의 신뢰성을 높일 수 있다. 셋째, 민간평가기관을 도입함에 따라 민간평가기관에 대한 관리 및 평가 결과에 대한 보증을 해주는 기관이 요구되는데, 이를 국가용과 민간용 제품 평가의 인증을 구별하지 않고 하나의 인증기관에서 단독으로 수행한다면, 인증기관의 역할과 책임이 편중되는 문제점이 있다.
인증제도, 평가기준, 평가방법론, 평가 관련 기관 및 사용자의 임무 등을 설명한 문서를 개발해야 한다. 셋째, 인정기관이 평가기관을 인정하기 위한 구체적인 민간평가기관인 정기준을 개발해야 한다. 민간평가기관의 자격에 대한 요구사항을 명시한 인정기준의 개발을 통해 공정성과 반복성, 재생성 등의 평가자격을 갖춘 민간평가기관이 인정될 수 있을 것이다.

후속연구

그러므로 현재 평가가 잘 이루어지는 국가에서 실제적인 교육을 통해 관련 기술을 확보하거나, PP 또는 ST를 개발하는 프로젝트를 국외의 평가 관련 선진국과 함께 수행함으로써 기술을 전수받는 등의 방법 등의 방법을 고려하여 평가 관련 기술력을 확보해야 한다. 또한, 평가자의 자격, 훈련 프로그램, 평가자의 등급 구분, 등급별 자격 등의 평가자를 위한 국내 스킴 문서가 요구되며, 평가자 양성을 위한 교육 및 자격 부여 프로그램을 개발해야 한다. CCRA 체제에는 복수의 민간평가기관의 설립이 필수적인 데이에 능동적으로 대응하기 위해서는 평가기관의 업무수행에 필요한 교육, 훈련, 기술적 지식 및 경험을 갖춘 충분한 수의 평가인력의 확보가 중요하다.
그러므로, 인증기관은 평가기관보다 훨씬 더 많은 평가기술력을 확보하여야 하고 평가기관의 평가 결과를 정확하게 판단할 수 있어야 한다. 이러한 현실을 종합하여 볼 때, 국내 인증기관은 CCRA의 요구사항인 EN 45011 및 ISO Guide 65 규정을 만족하고, 평가기술력을 더욱 확충하여 인증 및 평가 경험의 노하우를 가진 발전된 형태의 운영이 요구된다.
그리고 CCRA에 가입했을 경우, CCRA 기관에 제품의 인증 사실을 알린다. 인증서의 발급한 후에는, 인증기관과 평가기관 절차의 끊임없는 개선을 위해 효율적인 평가과정 및 인증과정에 대해 토론하고, 추후 재인증시에 절차를 향상시킬 수 있는 방법에 대해 추천을 받는 사후 검토 회의가 열리게 된다.
본 논문은 국내 정보보호 시스템 평가. 인증체계의 활성화를 위한 요구사항을 분석하여, 평가의 인프라에 대비할 수 있는 자료로 활용될 수 있으며, 향후 국가 간 정보보호 시스템에 대한 상호인정에 관한 협정인 CCRA에 가입을 위한 기초방안을 제공할 것으로 기 대된다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

정보보호시스템 평가.인증체계 모델 제안 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

정보보호시스템 평가.인증체계 모델 제안 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

이 논문을 인용한 문헌

저자의 다른 논문 :

오동규 (1) 이승우 (5) 최희봉 (6) 원동호 (199)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

초록
AI-Helper

AI 본문요약
AI-Helper