현재 공공기관에 들어가는 장비는 보안적합성 검증제도를 받은 또는 그에 준하는 기준을 통과한 제품이여야 한다.
그런데 해당 제도가 올해부로 많은 부분이 바뀌어 정리를 해본다.
아래 큰 목차로 분류했으니 원하는 부분이 따로 있으면
팍팍 내려서 스크롤 압박 피해가쟈
보안적합성 검증 개요
보안적합성 검증 절차
보안적합성 검증 신청 제출 서류
보안적합성 검증 시험 기관
■ 보안적합성 검증 개요
일단 보안적합성 검증의 개요는 아래와 같다.
국가정보통신망의 보안수준 제고를 위해 「전자정부법」 제56조에 의거, 국가ㆍ공공기관이 도입하는 정보보호시스템ㆍ네트워크 장비 등 보안기능이 탑재된 IT제품 및 저장자료 완전삭제제품의 안전성을 검증하는 제도 입니다. 중앙행정기관과 주요정보통신기반시설 관리기관 및 광역시ㆍ도(교육지원청 포함)는 정보보호시스템ㆍ네트워크 장비도입후 국가정보원에 보안적합성 검증을 신청하여야 하며 검증과정에서 발견된 취약점을 제거한 후에 운용 하여야합니다. - 국가정보원 사이트 보안적합성 검증 개요 |
어찌됬건 요는 공공기관에 납품되는 장비는 지정된 검증 절차를 통과한 제품이여야 된다는 것이다.
우선 관련해서 나오는 용어에 대해 우선 정리한다.
신청기관
보안기능확인서 발급을 의뢰한 기관 또는 업체
시험기관
검증기관이 보안기능확인서 발급을 위한 시험을 할 수 있도록 지정한 기관
검증기관
보안기능확인서 발급과 관련된 실무를 수행하는
"국가보안기술연구소"
보안기능확인서(구 보인기능시험 결과서)
시험기관이 검증기준에 따라 제품의 보안기능에 대한 시험한 결과 문서
■ 보안적합성 검증 절차
보안적합성 검증을 받는 절차가 다소 달라졌다.
기존에 신청기관이 시험기관 및 검증기관을 통해 검증을 받으면, 보안기능시험 결과서를 신청기관 보관용으로 받을 수 있게 된다.
그 이후에 장비가 들어가는 도입기관이 정해지면 시험기관을 통해 다시 도입기관 제출용을 신청해서 보안기능시험 결과서 도입기관 제출용을 발급받아 도입기관에 전달해준다.
하지만 보안적합성 검증 자체가 검증필 제도로 바뀌게 되면서 문서롤 따로 발급받아 제출하지 않아도 되게 되었다.
자세한 내용은 아래 그림을 확인한다.
※ 국정원 보안기능 시험제도 발췌
보안기능시험 결과서의 명칭도 보안기능 확인서로 변경되었으며,
국가,공공기관에서도 국가정보원에 도입확인서를 제출하여 발급현황을 직접 공지받게 되었다.
■ 보안적합성 검증 신청 제출 서류
1. 보안기능 시험 신청서
2. 제품 설명서
3. 보안기능 설명서
4. 보안기능 운용 설명서
5. 보안기능 자체 시험 결과서
(자체 시험은 보안요구사항에 규정된 항목에 따라 진행)
6. CC인증서 사본
(인증서 보유시)
7. 신청 기관 보증 서약서
8. 취약점 개선 보증 서약서
9. 제품 안전성 보증 서약서
■ 보안적합성 검증 시험 기관
보안적합성 검증에 대한 시험 기관으로
아래 8개 기관이 공인시험기관으로 지정되어 관련 업무를 수행한다고 한다.
(표 목록은 9개인데 살펴보면 TTA가 산하 팀인지 기관인지 모르겠지만 두 개가 등록되어 있다.)
※ 국정원 보안기능 시험제도 발췌
끝
- 참조
https://www.nis.go.kr:4016/AF/1_7_2_3/view.do?seq=66 - 국정원 보안적합성 검증 페이지
'IT > Security' 카테고리의 다른 글
| [기사] 네트워크 회복탄력성 연합 출범… “취약점 해결 목표” (0) | 2023.07.28 |
|---|---|
| [프로젝트] 네트워크 포렌식 패킷 분석 - 3 (0) | 2019.01.30 |
| [프로젝트] 네트워크 포렌식 패킷 분석 - 2 (0) | 2019.01.04 |
| [프로젝트] 네트워크 포렌식 패킷 분석 - 1 (0) | 2018.12.31 |
| 주요통신기반시설 취약점 분석 평가 가이드 (0) | 2018.08.10 |