Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

An assurance level and product type based evaluation effort model for CC evaluation

CC기반에서 보증수준 및 제품유형을 동시에 고려한 평가업무량 모델

  • Published : 2004.02.01
Download PDF
⟨ Previous Next ⟩

Abstract

Common Criteria(CC, ISO/IEC 15408) is an international standard for evaluation of Information Suity Systems(ISS). There need a suitable evidence of estimation of evaluation cost in an evaluation facility under the CC-based evaluation and assurance scheme. In this paper, we propose an evaluation effort model, which is based not only on assurance-level but also on product-type of ISS, by means of real experience of real evaluators, use-ratio concept and the Function Point of security function. The model is based not on a real evaluation environment of evaluation facility, but on CC, public PPs and product specific STs. Our result might be used as a basic model for estimation of evaluation cost and time of ISS in an CC-based evaluation and assurance scheme.

CC(=ISO/IEC 15408)는 정보보호시스템의 국제표준이며 CC평가 및 인증체계에서는 평가기관 운영하며 평가기관에서는 적정한 평가비 산정을 위한 근거가 필요하다. 본 논문에서는 특정한 평가기관의 환경이 아니라, CC기준과 기존의 PP 및 ST만을 바탕으로 하여, 제품유형별 및 보증수준별 평가업무량 모델을 제시하였으며, 평가실무자득의 경험, 보안기능의 사용율 개념 및 기능점수방법 등을 이용하였다. 본 결과는 CC평가환경에서 정보보호제품의 평가비 및 기간의 산정을 위한 기본자료로 활용될 수 있을 것이다.

Keywords

References

  1. '정보보호시스템 평가/인증 가이드', 한국정보보호진흥원, 2002.12
  2. CC, Common Criteria for Information Technology Security Evaluation, Version 2.1, CCIMB-99-031, August 1999, http://www.commoncriteria.org/site_index.html
  3. CC, Common Evaluation MethodoIogy, Version 1.0, CEM-99/045, August 1999, http://www.commoncriteria.org/site_index.html
  4. Final Interpretations. http://www.commoncriteria.org/docs/PDF/CCPART1V21.PDF
  5. CCRA(Arrangement on the Recognition of Common Criteria Certificates) http://www.commoncriteria.org
  6. ISO/IEC PDTR 15446, 'Information technology Security techniques - Guide for the production of protection profiIes and security targets', Draft, Apr 3, 2000
  7. Oracle, PP-008, DBMS Protection Profile. EAL3, Issue 2.1, May 2000 외 32종(기재생략)
  8. Oracle 8, Security Target, Release 8.0.5, April 2000외 66종(기재생략)
  9. '소프트웨어사업대가의 기준', 정보통신부 고시 2003-14호 (2003. 2. 10)
  10. B. W. Boehm. Software Engineering Economics. Prentice Hall, 1981
  11. 영화회계법인, 정보보호시스템 평가원가분석에 관한 위탁연구과제, KISA. 2003. 6
  12. 이강수 외5명, EWBS를 통한 정보보호시스템의 보안성 평가업무량 및 비용산정 프로세스, 한국정보과학회논문지, 27권 2호, 2000년 2월
  13. '정보통신망 침입차단시스템 평가기준', 정보통신부고시 제2000-14호, 한국정보보호진흥원, 2000.2
  14. '정보통신망 침입탐지시스템 평가기준', 정보통신부고시 제2000-62호, 한국정보보호진흥원, 2000.7