보안 대상

Security Target

정보 기술 보안 평가를 위한 공통 기준, 버전 3.1 Part 1(CC 3.1 또는 CC라 함)[1]보안 대상(ST)을 "특정 식별된 평가 대상(TOE)에 대한 보안 필요성에 대한 구현 의존적 진술"로 정의한다.즉, ST는 경계를 정의하고 TOE의 세부사항을 명시한다.CC에 따른 제품 평가 프로세스에서 ST 문서는 제품의 공급업체에 의해 제공된다.

ST는 해당 정보시스템 제품에 대한 정보보안 및 기능요건을 정의하는데, 이를 평가의 대상(TOE)이라고 한다.ST는 TOE 설명, 위협, 가정, 보안 목표, 보안 기능 요건(SFR), 보안 보증 요건(SAR) 및 합리성의 측면에서 보안 문제에 대한 완전하고 엄격한 설명이다.SAR은 일반적으로 EAL(평가 보증 수준)이라고 하는 숫자 1에서 7까지 주어지며, 보안 평가의 깊이와 엄격함을 나타내며, 일반적으로 지원 문서와 시험의 형태로 제품이 SFR을 충족한다는 것을 나타낸다.

ST에는 제품이 보안 요건을 어떻게 충족하는지 보여주는 구현별(매우 상세하지는 않지만) 정보가 포함되어 있다.하나 이상의 보호 프로파일(PP)을 참조할 수 있다.이 경우 ST는 이 PP 각각에 제시된 일반적인 보안 요건을 충족해야 하며, 추가 요건을 정의할 수 있다.

보안 대상 개요

1. 소개 – 주요 특징과 목적을 포함하여 TOE가 수행하는 작업에 대한 개요

  • ST 참조
  • TOE 참조
  • TOE 개요
  • TOE 설명

2. 적합성 청구 – TOE 평가에 대한 적합성 청구 식별

  • CC 버전 준수 요청
  • CC Part 2 적합성 주장
  • CC Part 3 적합성 주장
  • PP 적합성 주장 – 엄격한 적합성 또는 입증 가능한 적합성 주장

3. 보안 문제 정의 - 운영 환경에 대한 위협과 가정을 설명한다.목표는 TOE와 TOE의 운영 환경에 의해 해결되도록 의도된 보안 문제를 입증하는 것이다.

  • 위협 - 자산에 대해 위협 에이전트가 수행하는 불리한 조치.위협 요원은 전문성, 자원, 기회, 동기 부여 등의 측면에 의해 설명된다.
  • OSP(Organization Security Policies) – OSP는 TOE 운영 환경에서 조직이 부과하는 보안 규칙, 절차 또는 지침의 집합이다.
  • 가정 – TOE 동작의 작동 환경에 대해서만 작성.

4. 보안 목표 – 보안 문제 정의에 명시된 문제에 대한 의도된 해결책에 대한 간결하고 추상적인 진술.각 보안 목표는 적어도 하나의 위협 또는 OSP로 거슬러 올라가야 한다.

1) 달성해야 할 보안 측면은 기밀성, 무결성, 가용성, 사용자 신뢰성, 접근 허가, 책임성 등 특정 경감 대책을 사용하는 목적과 목적이다.

2) 해당 기본 요구사항을 지원하는 데 필요한 기밀성, 무결성 또는 가용성.-[1]

  • TOE의 보안 목표
  • 운영 환경의 보안 목표
  • 보안 목표 근거 – 모든 위협과 가정이 보안 목표에 의해 효과적으로 해결된다는 것을 보여주는 일련의 정당성

5. 확장 구성요소 정의 – 확장 구성요소는 적합성을 입증할 수 있는 측정 가능하고 객관적인 요소로 구성되어야 한다.
6. 보안 요구사항 - CC Part 2의 SFR과 CC Part 3의 SARs를 정의하고 설명한다.

  • 보안 기능 요건 - SFR은 TOE의 예상 보안 행동에 대한 명확하고 명확하며 명확한 설명을 형성한다.
  • 보안 보증 요건 - SARs는 TOE의 보장을 얻기 위해 수행될 예상 활동에 대한 명확하고 명확하며 확립된 설명을 형성한다.
  • 보안 요구사항 근거 – TOE의 보안 목표에 대한 정당성은 SFR이 충분하고 필요하다는 것을 보여준다.

7.TOE 요약 사양 - 평가자와 잠재 소비자는 TOE 구현 방법에 대한 일반적인 이해를 얻을 수 있다.

  • 보안 기능 - 구역 또는 도관 내의 장치 및 시스템의 정상적인 기능에 영향을 미치거나 영향을 미칠 수 있는 무단 전자 개입을 방지하기 위한 구역 또는 도관의 기능.TOE 요약 사양에는 TOE가 각 SFR을 충족하는 방법이 설명되어야 한다.
  • TOE 보안 사양 - 개발자가 각 SFR을 어떻게 충족시킬 것인지에 대한 높은 수준의 관점.

참고 항목

참조

  1. ^ 공통 기준 포털 - http://www.commoncriteriaportal.org/cc/