공통평가기준 포탈에 게시되는 보안목표명세서는 벤더의 지적 재산권 보호를 위해 독점적인 기술 정보(proprietary technical information)의 비공개를 허용한다(공통평가기준 포탈에 게시된 공개용 보안목표명세서 편집 지침은 아래 내용을 참고).

원문: ST sanitising for publication


  • 문서 번호: 2006–04–004
  • 날짜: [April,2006]
  • 주제: 공개용 보안목표명세의 편집 지침

1. 근거

공통평가기준 상호인정 협정은 인증 보고서와 함께 보안목표명세서의 제출을 요구합니다. 부록 I.13은 독점적 기술 정보를 삭제하거나 다른 방법으로 표현할 수 있도록 허용하고 있습니다. 여기서는 보안목표명세서의 편집 규칙을 정의하고 약식 보안목표명세서(ST-lite)의 최소 내용을 설명합니다.

2. 개요

인증 보고서에는 모든 이해 관계자들이 관심 가질만한 IT 제품 또는 보호프로파일에 대한 상세한 정보를 담고 있습니다. 인증 보고서에는 소비자에게 IT 제품이나 보호프로파일과 관련해 실용적인 정보를 전하려는 목적이 있습니다. 인증 보고서는 독점적 정보를 포함할 필요가 없고, 포함해서도 안됩니다. 동시에 인증 보고서는 보안목표명세서와 같이 평가받은 IT 제품을 소비자가 안전하게 사용하는데 필요한 정보를 포함합니다. 보안목표명세서는 인증 보고서와 함께 제공되어야 하므로, 독점적 기술 정보를 삭제하거나 표현의 변경이 허용됩니다. 이러한 문서가 약식 보안목표명세서입니다.

약식 보안목표명세서는 완전한 보안목표명세서의 실제 표현이어야 합니다. 약식 보안목표명세서에서 TOE의 보안 속성과 평가 범위를 이해하는데 필요한 정보를 생략할 수 없습니다.

3. 최소 정보

공통평가기준1부 부록 C를 기준으로 약식 보안목표명세서가 서술할 최소 정보는 다음과 같습니다.

  1. 보안목표명세서 소개는 대게 특허 정보를 담고 있지 않으므로 소개부를 요약할 필요는 없습니다. 약식 보안목표명세서는 완전한 보안목표명세서와 구별할 수 있도록 고유한 식별자를 부여합니다.
  2. TOE 설명은 공개하지 말아야할 TOE 설계와 관련한 상세 정보와 특허 정보를 포함할 수도 있으므로 줄일 수 있습니다.
  3. TOE 보안 환경 설명(가정사항, 위협, 조직의 보안정책)은 모두 평가 범위를 이해하는데 필요하므로 축약할 수 없습니다.
  4. 모든 보안요구사항은 공개되어야 합니다. 응용 시 주의사항은 공통평가기준 2부의 보안기능요구사항 컴포넌트가 어떻게 사용되는지 설명하므로 보안목표명세서를 이해할 수 있도록 도와줍니다. 응용 시 주의 사항이나 상세사항은 (설계와 같은) 독점적 정보를 노출하지 않도록 축약할 수 있습니다.
  5. TOE 요약명세도 (설계와 같은) 독점적 정보를 노출하지 않도록 축약할 수 있습니다. 하지만 최소한 TOE의 모든 보안 기능을 포함해야 합니다.
  6. 보호프로파일 준수는 포함되어야 합니다.
  7. 이론적 근거는 독점적 정보의 보호를 위해 축약할 수 있습니다.

4. 평가

TOE 평가는 공통평가기준에 의해 작성된 완전한 보안목표명세서에 근거해야 합니다.

약식 보안목표명세서는 공통평가기준에 따라 공식적인 평가를 받지 않습니다. 완전한 보안목표명세서와 약식 보안목표명세서의 확인은 평가자 또는 인증 기관에서 수행할 수 있습니다. 인증 보고서는 약식 보안목표명세서 뿐만 아니라 완전한 보안목표명세서를 모두 참조합니다. 인증 기관은 약식 보안목표명세서의 발행을 승인해야 합니다.