[일반적인 기준은 무엇이며 자격증 취득 방법]

[Áúgú~st 23, 2019]

[23 최소 읽기]

[거의 2년 전, 저는 운 좋게도 연방 제품 관리자로 Íllú~míó 팀에 합류할 수 있었습니다.가장 먼저 해야 할 일은 다음을 포함하여 연방 정부에서 요구하는 필수 제품 인증을 취득하는 것이었습니다. 팁 140-2 및 G~SÁ 섹션 508을 준수합니다.최근 Íl~lúmí~ó Cór~é는 공통 기준이라는 또 다른 중요한 정부 보안 인증을 획득했습니다.이번 인증을 통해 Íll~úmíó~는 다음과 같은 국가 정보 보증 파트너십 (ÑÍÁP~) 표준 보호 프로필 준수 인증을 받은 최초의 엔터프라이즈 보안 공급업체가 되었습니다. 엔터프라이즈 보안 관리, 정책 관리 v2.1, 액세스 제어 정책 정의 및 관리에 중점을 둡니다..]

[정부 기관 (및 비연방 조직) 이 고부가가치 자산을 지능적이고 지속적인 위협으로부터 보호하고자 함에 따라 다음과 같은 필요성이 대두되고 있습니다. 디커플링 보안 네트워크 아키텍처에서 호스트 기반 세그멘테이션을 효과적으로 배포하는 것이 최우선 과제가 되었습니다. 일루미오 코어 보안을 네트워크 및 호스트의 세그먼트와 분리하여 고객이 실행 위치에 관계없이 중요한 애플리케이션을 보호하는 세그멘테이션 정책을 만들고 적용할 수 있도록 합니다.]

[그렇다면 공통 기준은 정확히 무엇일까요¿ÑÍÁ~P 보호 프로파일이란 무엇입니까¿그리고 이것이 연방 정부에 왜 중요할까요¿조금 더 자세히 살펴보죠...]

[공통 기준이란 무엇입니까¿]

[일반 기준 목록 상용 공급업체가 정부에 제공하는 ÍT 제품의 정보 보증 (ÍÁ~) 을 평가하는 데 사용되는 국제적으로 인정받는 보안 표준 세트입니다.공통 기준 인정 협정 (CCRÁ~) 은 미국, 호주, 프랑스, 영국, 독일, 네덜란드, 한국 등을 포함한 30개 회원국으로 구성되어 있습니다.CCRÁ~에 따라 평가된 ÍT 제품은 모든 회원국에서 상호 인정하므로 기업은 제품을 한 번 평가한 후 여러 국가에 판매할 수 있습니다.이는 보증 요구 사항에 대한 ÍT~ 보안 제품의 기능 및 특징 평가의 일부입니다.]

[보안 평가는 엄격하고 포괄적이며 승인된 타사 독립 연구소에서 실시합니다.ÍÁ 테스트는 평가 대상 제품에 들어오거나 나가는 정보 또는 데이터의 사용, 처리, 저장 및 전송과 관련된 위험을 평가하기 위해 고안되었습니다.보호 프로파일의 일부는 제품이 모든 PP~ 요구 사항을 준수해야 한다는 것입니다.]

[공통 기준에는 몇 가지 중요한 주요 개념이 있습니다.]

[보안 목표: 평가 대상 프로젝트의 기능을 명시해야 합니다.]
[보호 프로필: 특정 클래스의 관련 제품에 대한 표준 요구 사항 집합에 사용되는 템플릿입니다.]
[평가 보증 수준: 제품 및 테스트 방법을 정의합니다.ÉÁL의 범위는 1~7이며, 최대값은 7이고 최소값은 1입니다.]
[평가 대상: 공통 기준 인증을 위해 검토할 시스템 또는 장치]
[보안 기능 요구 사항: 고유한 보안 기능을 참조하는 요구 사항]

[Íllú~míó C~óré의 경우 평가의 중요한 부분인 풍부한 기능의 감사 및 보안 기능에 중점을 두었습니다.C~ómmó~ñ Crí~térí~á에서 공급업체는 보안 목표 초안을 작성하여 평가할 보안 기능 주장을 정의합니다.보안 대상 내에서 평가 범위는 평가 대상 (TÓÉ~) 을 통해 식별됩니다.Íllú~míó C~óré의 경우 T~ÓÉ (또는 평가 범위) 에는 다음이 포함되었습니다. 정책 컴퓨팅 엔진 (PC~É) 그리고 가상 적용 노드 (VÉÑ~).
]

[ÑÍÁP~ 보호 프로필이란 무엇입니까¿]

[2009년 미국의 공통 기준 평가 제도인 ÑÍÁP~ (국가 정보 보증 파트너십) 는 모든 공통 기준 인증이 승인된 ÑÍÁP~ 보호 프로필의 보안 요구 사항을 직접 준수하도록 정책을 업데이트했습니다.이전에는 개별 공급업체가 ÉÁL (평가 보증 수준) 프레임워크를 통해 공통 기준 기능 요구 사항을 정의했습니다.Ñ~ÍÁP 보호 프로파일이 변경됨에 따라 C~ómmó~ñ Crí~térí~á 기능 요구 사항이 특정 기술 등급 (예: 정책 관리, 방화벽, VPÑ~) 의 보안 및 테스트 요구 사항을 충족하도록 조정되었습니다.]

[보호 프로필에 대한 평가를 받는 제품은 보호 프로필에 지정된 기능 요구 사항을 100% 준수해야 합니다.보호 프로필의 99% 만 준수하는 것은 허용되지 않습니다. 인증을 통과하려면 완전하고 완전한 규정 준수가 필요합니다..보호 기능을 강화할 수 있는 한 가지 방법은 다음을 완료하는 것입니다. 엔드포인트 보안.엄격한 보안 요구 사항은 위에서 언급한 Cómm~óñ Cr~ítér~íá 인증의 엄격하고 포괄적인 특성을 잘 보여줍니다.이제 마지막 요점으로 넘어가겠습니다...]

[정부가 공통 기준 및 보호 프로필에 관심을 갖는 이유는 무엇입니까¿]

[첫 번째, 미국 국방 기관의 경우 미국 정부의 정보 보증 및 ÍÁ 지원 ÍT~ 제품 구입을 규제하는 미국 국가 안보 정책 ÑSTÍ~SSP #11 에 따라 C~ómmó~ñ Crí~térí~á 인증이 의무화됩니다.요컨대, 국가 보안 시스템 (ÑSS~) 보호를 목적으로 국방부에 제품을 판매하려는 ÍT 또는 보안 공급업체인 경우 공통 기준을 충족해야 합니다.]

[다음, 관리 예산 사무소의 ÍT에 따르면 계기반, 미국 국방부 (Dó~D) 는 지출을 순조롭게 진행하고 있습니다 380억 달러 2019 회계연도의 분류되지 않은 정보 기술 계약에 대해상용 공급업체가 ÍT 제품을 D~óD에 판매하기 위해 극복해야 하는 가장 큰 장애물 중 하나는 Có~mmóñ~ Crít~éríá~와 같은 필수 정부 규정 준수 및 제품 보안 인증을 획득하는 것입니다.에서 언급한 바와 같이니아프: “미국 정부 보호 프로필을 준수한다고 주장하는 ÑÍÁP~ 제품 준수 목록 (PCL) 에 등재된 제품은 Ñ~ÍST 및 Ñ~SÁ에서 적절하다고 간주하는 최소 보안 수준을 충족하므로 일반적으로 그러한 주장을 하지 않는 제품보다 선호됩니다.”]

[또한,니아프 다음과 같이 명시되어 있습니다. “특정 기술 영역에 대해 승인된 미국 정부 보호 프로필이 존재하지만 해당 보호 프로필을 준수하는 검증된 제품을 사용할 수 없는 경우, 인수 조직은 구매 전에 공급업체가 승인된 보호 프로필과 비교하여 평가 및 검증을 위해 제품을 제출하도록 요구해야 합니다.”]

[보시다시피, ÑÍÁP~ 보호 프로파일을 기반으로 하는 Cómm~óñ Cr~ítér~íá 인증은 상용 제품 및 솔루션 구입과 관련하여 미국 정부가 중요한 ÍT~ 규정 준수 여부를 확인하는 역할을 합니다.]

[마지막으로, 모든 분들께 많은 감사와 축하의 말씀을 전합니다. 일루미오 제품 이 중요한 성과를 거둔 개발 및 엔지니어링 팀과 Íllú~míó의 Ñ~VLÁP~ 연구소로서 뛰어난 성과를 거둔 시그나콤 솔루션의 재능 있는 팀.]

[Íllú~míó의 공통 기준 및 기타 정부 보안 인증에 대한 자세한 내용은 다음을 참조하십시오.]