정보보호시스템 공통평가기준

제1조(목적) 이 기준은 「정보화촉진 기본법」 제15조제1항 및 동법 시행령 제16조의 규정에 의하여 정보보호시스템을 평가하기 위한 요구사항을 정함을 목적으로 한다.

제2조(적용 범위) 이 기준은「정보화촉진 기본법」제15조제1항 및 동법 시행령 제16조에서 규정한 정보보호시스템을 평가하는 데 적용한다.

제3조(용어 정의) 이 기준에서 사용하는 용어의 정의는 다음과 같다. 1. 삭제 2. 삭제 3. 삭제 4. 삭제 5. 삭제 6. 삭제 7. "엘리먼트"라 함은 컴포넌트를 구성하는 분할할 수 없는 보안요구사항의 최소 단위를 말한다. 8. "컴포넌트"라 함은 보호프로파일, 보안목표명세서에 포함될 수 있는 보안요구사항의 가장 작은 선택 단위로서 엘리먼트의 모음을 말한다. 9. "패밀리"라 함은 같은 보안목적을 가지지만 강조점이나 엄격함이 서로 다른 컴포넌트의 모음을 말한다. 10. "클래스"라 함은 같은 보안목적을 가지는 패밀리의 모음을 말한다. 11. "보호프로파일"이라 함은 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항의 집합을 말한다. 12. "보안목표명세서"라 함은 식별된 평가대상의 평가를 위한 근거로 사용되는 보안요구사항과 구현 명세의 집합을 말한다. 13. "평가보증등급"이라 함은 공통평가기준에서 미리 정의된 보증수준을 가지는 보증 컴포넌트로 이루어진 패키지를 말한다.

제4조(평가기준 구조) 공통평가기준은 별첨과 같이 총 3부로 구성된다. 1. 1부는 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개부분으로, IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의하며, 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개한다. 2. 2부는 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성되며, 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류된다. 3. 3부는 보증요구사항을 표준화된 방법으로 표현한 것으로 보증 컴포넌트들의 집합으로 구성되고, 보증 클래스, 보증 패밀리, 보증 컴포넌트로 분류되며, 보호프로파일 및 보안목표명세서에 대한 평가기준을 정의한다.

제5조(평가보증등급) ①정보보호제품의 보증수준을 정하기 위한 공통평가기준에서 미리 정의된 보증등급으로, EAL1, EAL2, EAL3, EAL4, EAL5, EAL6, EAL7의 7개의 등급으로 구분된다. EAL1은 최저의 평가보증등급이고, EAL7은 최고의 평가보증등급이다. ②기존의 평가보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있다.