보호 프로파일
Protection Profile보호 프로파일(PP)은 ISO/IEC 15408 및 공통 기준(CC)에 따라 인증 과정의 일부로 사용되는 문서다.시큐리티 타겟(ST)의 일반적인 형태로서, 일반적으로 이용자 또는 이용자 커뮤니티에 의해 생성되며, 정보보안 요건의 구현 독립된 사양을 제공한다.PP는 위협, 보안 목표, 가정, 보안 기능 요건(SFR), 보안 보증 요건(SAR) 및 합리성의 조합이다.
PP는 정보시스템 제품의 특정 제품군에 대한 공급업체의 주장을 입증하기 위해 일반적인 보안 평가 기준을 명시한다.그 중에서도, 그것은 일반적으로 1에서 7까지의 숫자인 평가보증수준(EAL)을 명시하여, 제품이 PP에 명시된 보안요건을 충족한다는 것을 입증하는 문서와 시험의 형태로 보안평가의 심도와 엄격함을 나타낸다.
미국 국립표준기술원(NIST)과 국가안보국(NSA)이 미국 정부의 검증된 PP 개발에 협력하기로 합의했다.
목적
PP는 평가의 대상(TOE)으로 알려진 특정 시스템 또는 제품의 수집에 대해 보안 문제를 엄격하게 규정하고 있으며, 이러한 요구사항이 어떻게 이행될 것인지 지시하지 않고 그러한 문제를 해결하기 위한 보안 요구사항을 명시하고 있다.PP는 하나 이상의 다른 PP로부터 요건을 상속받을 수 있다.
CC에 따라 평가 및 인증을 받기 위해서는 제품 공급업체가 하나 이상의 PP를 준수할 수 있는 ST(Security Target)이러한 방식으로 PP는 제품의 ST를 위한 템플릿 역할을 할 수 있다.
문제 영역
EAL은 평신도들이 비교하기 가장 쉽지만, 평가에 사용된 PP와 ST의 보안 함의 이해 없이는 다소 무의미하기 때문에 단순성이 기만적이다.기술적으로 평가된 제품을 비교하려면 EAL과 기능 요건을 모두 평가해야 한다.안타깝게도 PP가 의도한 애플리케이션에 미치는 보안의 영향을 해석하려면 매우 강력한 IT 보안 전문지식이 필요하다.제품을 평가하는 것도 한 가지지만, 어떤 제품의 CC 평가가 특정 용도에 적합한지 결정하는 것은 전혀 다른 일이다.신뢰할 수 있는 기관이 공통 기준 평가 제품의 시스템 적용 가능성을 평가하는 데 필요한 IT 보안 전문지식의 깊이를 가지고 있는 것은 명확하지 않다.
평가 적용 문제는 새로운 것이 아니다.이 문제는 수십 년 전에 정보를 보호할 수 있는 소프트웨어 기능을 정의하고, 그 강도를 평가하고, 특정 운영 환경 위험에 필요한 보안 기능을 매핑하는 대규모 연구 프로젝트에 의해 해결되었다.그 결과는 레인보우 시리즈에 기록되었다.EAL과 기능 요건을 분리하기 보다는 Orange Book은 기능 보호 기능과 적절한 보증 요구사항을 단일 범주로 정의하는 덜 진보된 접근방식을 따랐다.7개의 그러한 범주가 이런 식으로 정의되었다.또한, 황서는 보안 환경의 매트릭스를 정의하고 각각의 위험을 평가했다.그리고 나서 그것은 각각의 오렌지 북 카테고리에 대해 어떤 보안 환경이 유효한지를 정확히 설정했다.이 접근방식은 특정 용도에서 제품을 사용할 수 있는지 여부를 결정하는 방법에 대한 명확하지 않은 일반인의 요리책을 작성했다.이 응용기술의 손실은 공통기준에 의한 Orange Book의 초과의 의도하지 않은 결과인 것 같다.
PP가 있는 보안 장치
검증된 미국 정부 PP
검증된 비 미국 정부 PP
외부 링크
참조
- ^ M. Volkamer (2009). Evaluation of Electronic Voting (Chapter 8). Springer. ISBN 978-3-642-01661-5. Archived from the original on 2013-02-03.
- ^ https://www.commoncriteriaportal.org/files/ppfiles/anssi-profil_PP-2014_01.pdf
