ITSEC

ITSEC(Information Technology Security Evaluation Criteria)는 제품 및 시스템 내의 컴퓨터 보안을 평가하기 위한 체계화된 기준의 집합이다.ITSEC는 1990년 5월 프랑스, 독일, 네덜란드, 영국에서 각 국가의 기존 저작물을 바탕으로 처음 출판되었다.광범위한 국제 검토 후, 버전 1.2는 평가와 인증 제도 내에서 운영상 사용을 위해 유럽 공동체 위원회에 의해 1991년 6월에 간행되었다.

1990년 ITSEC가 출범한 이후, 많은 다른 유럽 국가들은 ITSEC 평가의 타당성을 인정하기로 합의했다.

ITSEC는 유사하게 정의된 평가 수준을 제공하고 평가 개념과 보안 대상 문서를 구현하는 공통 기준(Common Criteria)으로 대체되었다.

개념

평가 대상이라고 불리는 평가 대상 제품이나 시스템은 포괄적이고 정보에 입각한 기능 및 침투 시험으로 정점을 찍고 있는 보안 기능의 상세한 검사를 받게 된다.시험의 정도는 목표물에 대해 원하는 신뢰 수준에 따라 달라진다.다른 수준의 신뢰도를 제공하기 위해, ITSEC는 E0에서 E6까지로 표시된 평가 수준을 정의한다.더 높은 평가 수준은 대상의 보다 광범위한 검사 및 시험을 포함한다.

이전의 기준, 특히 미국 방위사업청이 개발한 TCSEC와 달리, ITSEC는 특정 보증 수준을 달성하기 위해 평가 대상에게 특정 기술적 특징을 포함하도록 요구하지 않았다.예를 들어, ITSEC 대상은 기밀성이나 가용성을 제공하지 않고 인증 또는 무결성 기능을 제공할 수 있다.주어진 대상의 보안 기능은 대상 자체를 평가하기 전에 해당 내용을 평가하고 승인해야 하는 보안 대상 문서에 문서화되었다.각 ITSEC 평가는 Security Target에서 식별된 보안 기능을 검증하는 것에만 기반을 두고 있었다.

사용하다

공식 Z 표기법은 몬덱스 스마트 카드 전자 현금 시스템에 대한 보안 속성을 증명하는 데 사용되어, ITSEC 레벨 E6, 즉 최고 허가된 보안 수준 분류 달성이 가능해졌다.^[1][2]

참조

참고 문헌 목록

• ITSEC (June 1991). "Information Technology Security Evaluation Criteria (ITSEC): Preliminary Harmonised Criteria" (PDF). Document COM(90) 314, Version 1.2. Commission of the European Communities. Archived from the original (PDF) on 2006-05-23. Retrieved 2006-06-02.