정보통신 이용 촉진 및 정보보호 등에 관한 법률 시책
1. 시책내용
- 정보통신망에 관련된 기술의 개발, 보급
- 정보통신망 표준화
- 정보내용물 및 제 11조에 따른 정보통신망 응용서비스의 개발 등 정보통신망의 이용 활성화
- 정보통신망을 통하여 수집, 처리, 보관, 이용되는 개인정보의 보호 및 그와 관련된 기술의 개발 보급
- 정보통신망에서의 청소년 보호
- 정보통신망의 안전성 및 신뢰성 제고
- 그 밖의 정보통신망 이용 촉진 및 정보보호 등을 위하여 필요한 사항.
전자서명법
제6조(공인인증업무준칙)
① 공인인증기관은 은증업무를 개시하기 전 다음 각 호의 사항이 포함된 공인인증업무준칙(이하"인증업무준칙"이라한다)을 작성하여 미래창조과학부장관에게 신고하여야 한다.
1. 인증업무의 종류
2. 인증업무의 수행방법 및 절차
3. 공인인증역무(이하 "인증역무"라 한다)의 이용조건
4. 기타 인증업무의 수행에 관하여 필요한 사항
I. 정보보호시스템의 개요
가. 정보보호시스템의 평가/인증 제도의 개념
- 정보보호시스템을 일반 사용자가 신뢰하며 안전하게 사용할 수 있도록 제품의 신뢰성을 보증하기 위한 법/제도
나. 평가/인증의 종류
① TCSEC(Trusted Computer System Evaluation Criteria)
② ITSEC(Information Technology Security Evaluation Criteria)
③ CC(Common Criteria)
II. TCSEC의 개요
가. TCSEC의 정의
- 정보가 안전한 정도를 객관적으로 판단하기 위하여 보안의 정도를 판별하는 기준을 제시한 것
나. TCSEC의 보안 요구사항
구분 |
내용 |
보안정책(Security Policy) |
-명백하고 잘 정의된 보안정책 존재 |
표시(Marking) |
-객체의 보안등급을 나타내는 “레이블”지님 |
식별(Identification) |
-접근주체의 식별 및 관련인증정보의 안전관리 |
기록성(Accountability) |
-보안에 영향을 주는 동작에 대한 기록유지 -보안문제 발생시 추적가능 |
보증(Assurance) |
-보안정책,표시,식별,기록성에 대한 요건 충족 |
지속적인 보호 (Continuous Protection) |
-비안가자에 의한 수정이나 변경으로부터 지속적 보호 |
III. TCSEC의 평가체계
- 보안등급은 A로 갈수록,같은 등급에서는 뒤의 숫자가 클수록 강하다.
보안등급 |
의 미 |
세부등급 |
A(검증된 보호) |
정형화된 검증방법을 사용 |
A1 |
B(강제적 보호) |
보안레이블의 무결성을 보장하고, 강제적 접근통제 규칙들의 집합을 적용하기 위하여 보안레이블을 사용 |
B3 B2 B1 |
C(임의적 보호) |
감사기능을 통하여 주체와 그들의 행위에 대한 책임추적을 제공 |
C2 C1 |
D(최소한의 보호) |
평가가 수행되었지만 평가등급의 요구사항을 만족하지 못한 시스템을 |
없음 |
IV. TCSEC의 향후방향
- 선진 외국의 기업은 TCSEC, ITSEC 등의 보안 평가기준에 따라 제품을 개발하고 인증을 획득한 제품을 사용화하여 판매하고 있음
- 국가 주요 정보기반 구조 보호에 대한 인식이 확산됨에 따라 국가적인 정보보호 인프라를 구축하여 국가 주요 정보 기반구조를 보호하기 위한 강력한 도구로써 안전한 운영체제가 활용되어질 것으로 전망
[출처] [보안] TCSEC|작성자 선
'Certificate > 정보보안기사' 카테고리의 다른 글
암호학 (0) | 2014.09.25 |
---|---|
대책 구현 및 운영 (0) | 2014.09.19 |
위험 관리 (0) | 2014.09.19 |
업무연속성 관리와 재난 복구 (0) | 2014.09.19 |
Email Security (0) | 2014.09.17 |