초록 close

보호프로파일(PP, Protection Profile)은 ISO/IEC 15408(CC, Common Criteria) 평가에서 IT제품에 대한 특정 소비자의 보안요구사항을 담은 문서로서, 최근 들어 많은 국가기관 및 기업에 의해 개발되고 있다. 이러한 보호프로파일은 IT시스템 및 제품을 도입하는 과정에서 보안성 평가에 대한 기준이 되므로 정보보호의 중요성이 강조되는 시점에서 그 중요성이 날로 증대되고 있다. 하지만 구체적인 보호프로파일 개발 방법이나 보안환경 분석 및 보안요구사항 도출 방법에 대해서는 상세한 방법론이 존재하지 않아, 보호프로파일을 쉽게 개발하기는 어려운 실정이다. 이에 본 논문에서는 국외 보호프로파일 개발 방법론 및 사례를 분석하고, 보호프로파일의 보안환경 분석 및 보안요구사항 도출 방법론을 제안한다.


As a formal document that expresses a set of security requirements for IT products that meets specific consumer needs in the ISO/IEC 15408(CC, Common Criteria) evaluation, protection profiles are developing by many national agencies and companies recently. Since a protection profile is a criteria for security evaluation when the IT systems and products are introduced, the importance of the protection profile is increasing. However, developing protection profiles are still difficult due to lack of detailed methodology and guidance to analyze security environments or to derive security requirements. In this paper, we analyze foreign instances of developing protection profiles and propose a methodology for deriving security requirements through analyzing the TOE security environment.攀접수일: 2007년 1월 17일; 채택일: 2007년 1월 29일* 본 연구는 정보통신부 및 정보통신진흥원의 대학 IT연구센터 육성·지원사업의 연구결과로 수행되었음.‡교신저자, dhwon@security.re.kr攀攀