SYSTEMS NETWORKS SECURITY
Tomasz GałanUsługi IT, Którym Możesz Zaufać
Evaluation Assurance Level
Poziom pewności oceny
Poziom pewności oceny ( od EAL1 do EAL7 ) produktu lub systemu informatycznego to ocena numeryczna przyznawana po zakończeniu oceny bezpieczeństwa Common Criteria , międzynarodowej normy obowiązującej od 1999 r. Rosnące poziomy pewności odzwierciedlają dodatkowe wymagania dotyczące pewności, które należy spełnić aby uzyskać certyfikat Common Criteria. Intencją wyższych poziomów jest zapewnienie większej pewności, że główne funkcje bezpieczeństwa systemu są niezawodnie zaimplementowane. Poziom EAL nie mierzy bezpieczeństwa samego systemu, po prostu określa, na jakim poziomie system był testowany.Aby osiągnąć określony EAL, system komputerowy musi spełniać określone wymagania dotyczące bezpieczeństwa . Większość z tych wymagań dotyczy dokumentacji projektowej, analizy projektu, testów funkcjonalnych lub testów penetracyjnych. Wyższe EAL obejmują bardziej szczegółową dokumentację, analizę i testowanie niż niższe. Uzyskanie wyższego certyfikatu EAL generalnie kosztuje więcej pieniędzy i zajmuje więcej czasu niż uzyskanie niższego. Numer EAL nadany certyfikowanemu systemowi oznacza, że system spełnił wszystkie wymagania dla tego poziomu.
Funkcjonalne cechy każdego certyfikowanego produktu są określone w Celu Bezpieczeństwad okument dostosowany do oceny tego produktu. W związku z tym produkt z wyższym EAL niekoniecznie jest „bezpieczniejszy” w konkretnej aplikacji niż produkt z niższym EAL, ponieważ mogą one mieć bardzo różne listy funkcji funkcjonalnych w swoich celach bezpieczeństwa. Przydatność produktu do określonej aplikacji zabezpieczającej zależy od tego, w jakim stopniu funkcje wymienione w Celu zabezpieczeń produktu spełniają wymagania bezpieczeństwa aplikacji. Jeśli cele bezpieczeństwa dla dwóch produktów zawierają niezbędne funkcje bezpieczeństwa, wyższy EAL powinien wskazywać bardziej godny zaufania produkt dla tej aplikacji.
EAL1: przetestowany funkcjonalnie
EAL1 ma zastosowanie tam, gdzie wymagana jest pewna pewność prawidłowego działania, ale zagrożenia bezpieczeństwa nie są postrzegane jako poważne. Będzie to cenne, gdy wymagane jest niezależne zapewnienie potwierdzające twierdzenie, że zachowano należytą staranność w odniesieniu do ochrony danych osobowych lub podobnych informacji. EAL1 zapewnia ocenę TOE (Target of Evaluation) udostępnioną klientowi, w tym niezależne testowanie pod kątem specyfikacji oraz badanie dostarczonej dokumentacji zawierającej wytyczne. Zamiarem jest, aby ocena EAL1 mogła być pomyślnie przeprowadzona bez pomocy konstruktora TOE i przy minimalnych kosztach. Ocena na tym poziomie powinna dostarczyć dowodów, że TOE funkcjonuje w sposób zgodny z jego dokumentacją oraz że zapewnia użyteczną ochronę przed zidentyfikowanymi zagrożeniami.
EAL2: przetestowany strukturalnie
EAL2 wymaga współpracy dewelopera w zakresie dostarczania informacji projektowych i wyników badań, ale nie powinien wymagać od dewelopera większego wysiłku niż jest to zgodne z dobrą praktyką handlową. Jako taka nie powinna wymagać znacznie zwiększonej inwestycji kosztów lub czasu. EAL2 ma zatem zastosowanie w tych okolicznościach, w których programiści lub użytkownicy wymagają niskiego lub średniego poziomu niezależnie gwarantowanego bezpieczeństwa w przypadku braku natychmiastowej dostępności pełnego zapisu prac rozwojowych. Taka sytuacja może wystąpić podczas zabezpieczania starszych systemów.
EAL3: Metodycznie przetestowane i sprawdzone
EAL3 pozwala sumiennemu programiście uzyskać maksymalną pewność dzięki pozytywnej inżynierii bezpieczeństwa na etapie projektowania bez istotnej zmiany istniejących, solidnych praktyk programistycznych. EAL3 ma zastosowanie w tych okolicznościach, w których konstruktorzy lub użytkownicy wymagają umiarkowanego poziomu niezależnie gwarantowanego bezpieczeństwa i dokładnego zbadania TOE i jego rozwoju bez istotnej przebudowy.
EAL4: zaprojektowany metodycznie, przetestowany i zweryfikowany
EAL4 pozwala programistom uzyskać maksymalną pewność dzięki pozytywnej inżynierii bezpieczeństwa opartej na dobrych komercyjnych praktykach programistycznych, które, choć rygorystyczne, nie wymagają znacznej specjalistycznej wiedzy, umiejętności ani innych zasobów. EAL4 to najwyższy poziom, przy którym modernizacja istniejącej linii produktów jest prawdopodobnie ekonomicznie wykonalna. EAL4 ma zatem zastosowanie w tych okolicznościach, w których konstruktorzy lub użytkownicy wymagają umiarkowanego lub wysokiego poziomu niezależnie gwarantowanego bezpieczeństwa w konwencjonalnych towarowych TOE i są gotowi ponieść dodatkowe koszty inżynieryjne związane z zabezpieczeniami.
Komercyjne systemy operacyjne, które zapewniają konwencjonalne funkcje bezpieczeństwa oparte na użytkownikach, są zazwyczaj oceniane na poziomie EAL4. Przykłady z wygasłym certyfikatem to AIX , [1] HP-UX , [1] Oracle Linux , NetWare , Solaris , [1] SUSE Linux Enterprise Server 9 , [1] [2] SUSE Linux Enterprise Server 10 , [3] Red Hat Enterprise Linux 5 , [4] [5] Windows 2000 z dodatkiem Service Pack 3, Windows 2003 , [1] [6] Windows XP , [1] [6] Windows Vista , [7] [8] Windows 7 , [1] [9] Windows Server 2008 R2 , [1] [9] z/OS w wersji 2.1 i z/VM w wersji 6.3. [1]
Systemy operacyjne zapewniające wielopoziomowe zabezpieczenia są oceniane na poziomie co najmniej EAL4. Przykłady z aktywnym certyfikatem obejmują SUSE Linux Enterprise Server 15 (EAL 4+). [10] Przykłady z wygasłym certyfikatem to Trusted Solaris , Solaris 10 Release 11/06 Trusted Extensions , [11] wczesna wersja XTS-400 , VMware ESXi wersja 4.1, [12] 3.5, 4.0, AIX 4.3, AIX 5L, AIX 6, AIX7, Red Hat 6.2 i SUSE Linux Enterprise Server 11 (EAL 4+). vSphere 5.5 Update 2 nie osiągnął poziomu EAL4+, był to poziom EAL2+ i uzyskał certyfikat 30 czerwca 2015 r.
EAL5: Półformalnie zaprojektowany i przetestowany
EAL5 umożliwia programistom uzyskanie maksymalnej pewności dzięki inżynierii bezpieczeństwa opartej na rygorystycznych praktykach rozwoju komercyjnego wspieranych przez umiarkowane stosowanie specjalistycznych technik inżynierii bezpieczeństwa. Taki TOE zostanie prawdopodobnie zaprojektowany i opracowany z zamiarem uzyskania pewności EAL5. Jest prawdopodobne, że dodatkowe koszty związane z wymaganiami EAL5, w stosunku do rygorystycznego rozwoju bez zastosowania specjalistycznych technik, nie będą duże. EAL5 ma zatem zastosowanie w tych okolicznościach, w których programiści lub użytkownicy wymagają wysokiego poziomu niezależnie gwarantowanego bezpieczeństwa w planowanym rozwoju i wymagają rygorystycznego podejścia do rozwoju bez ponoszenia nieracjonalnych kosztów związanych ze specjalistycznymi technikami inżynierii bezpieczeństwa.
Liczne urządzenia z kartami inteligentnymi zostały ocenione na poziomie EAL5, podobnie jak wielopoziomowe bezpieczne urządzenia, takie jak Tenix Interactive Link . XTS-400 (STOP 6) to system operacyjny ogólnego przeznaczenia, który został oceniony na poziomie rozszerzonym EAL5.
LPAR w systemie IBM System z ma certyfikat EAL5. [13]
EAL6: częściowo zweryfikowany projekt i przetestowany
EAL6 pozwala programistom na uzyskanie wysokiej pewności dzięki zastosowaniu technik inżynierii bezpieczeństwa w rygorystycznym środowisku programistycznym w celu wytworzenia premium TOE do ochrony aktywów o dużej wartości przed poważnymi zagrożeniami. EAL6 ma zatem zastosowanie do rozwoju zabezpieczeń TOE do zastosowań w sytuacjach wysokiego ryzyka, gdzie wartość chronionych aktywów uzasadnia dodatkowe koszty.
System INTEGRITY-178B RTOS firmy Green Hills Software uzyskał certyfikat EAL6 augmented. [1]
EAL7: formalnie zweryfikowany projekt i przetestowany
EAL7 ma zastosowanie do opracowywania zabezpieczeń TOE do zastosowań w sytuacjach skrajnie wysokiego ryzyka i/lub tam, gdzie wysoka wartość aktywów uzasadnia wyższe koszty.
Praktyczne zastosowanie EAL7 jest obecnie ograniczone do TOE z ściśle ukierunkowaną funkcjonalnością bezpieczeństwa, która jest podatna na obszerną analizę formalną. Urządzenie Tenix Interactive Link Data Diode i Fox-IT Fox Data Diode (jednokierunkowe urządzenie do transmisji danych) zostały ocenione na poziomie EAL7 rozszerzonym (EAL7+).
LCENCJIE OPROGRAMOWANIA KOMPUTEROWEGO
Elastyczna Licencja
Nasza licencja pozwala na przenoszenie oprogramowania między urządzeniami, zapewniając pełną elastyczność.
Dystrybucja Elektroniczna
Otrzymujesz pełnowartościową licencję ESD, która jest dostarczana szybko i bezpiecznie na Twój e-mail.
Oprogramowanie Freeware
Bezpłatne oprogramowanie do użytku osobistego, z zachowaniem pełnych praw autorskich.
Licencja GNU GPL
Udostępnij każdą wersję binarną i źródłową zgodnie z zasadami Free Software Foundation.
Licencja OEM
Licencja przypisana do jednego urządzenia, idealna dla dedykowanych systemów.
Domena Publiczna
Oprogramowanie dostępne jako dobro publiczne, z możliwością swobodnej dystrybucji.
Oprogramowanie Shareware
Przetestuj nasze oprogramowanie w pełni funkcjonalnej wersji przed zakupem.
Wersja Pro
Zaawansowane funkcje dostępne w wersji Professional, wymagającej dodatkowej opłaty.
Ograniczenia do oprogramowania
Adware
Oprogramowanie, które jest darmowe, ale wyświetla reklamy, z których producenci czerpią korzyści finansowe. Użytkownicy mogą korzystać z pełnej funkcjonalności, ale muszą akceptować obecność reklam.
Demo
Wersja demonstracyjna, która pozwala na korzystanie z oprogramowania bez ograniczeń czasowych, ale z ograniczoną funkcjonalnością. Często używana do zaprezentowania możliwości programu przed zakupem pełnej wersji.
Postcardware
Licencja, która wymaga od użytkowników wysłania kartki pocztowej z opinią lub dokonania wpłaty bankowej jako formy uznania dla autora programu. To unikalny sposób na wsparcie twórców oprogramowania.
Trialware
Oprogramowanie, które oferuje pełną funkcjonalność przez ograniczony czas. Użytkownicy mogą w pełni przetestować program przed podjęciem decyzji o zakupie licencji na dłuższy okres.
Najczęściej Zadawane Pytania
Czy mogę legalnie odsprzedać używane oprogramowanie?
Tak, zgodnie z unijnymi regulacjami, odsprzedaż używanego oprogramowania jest legalna, o ile spełnione są określone warunki, takie jak pierwotne wprowadzenie oprogramowania do obrotu na terenie EOG za zgodą producenta.
Jakie warunki muszą być spełnione, aby odsprzedaż była legalna?
Oprogramowanie musi być wprowadzone do obrotu na terenie EOG za zgodą producenta, licencja musi być udzielona na czas nieokreślony za jednorazową opłatę, a pierwszy nabywca musi zaprzestać korzystania z oprogramowania.
Czy mogę kupować klucze do oprogramowania na stronach takich jak key-soft.pl?
Tak, ale przed zakupem należy upewnić się, że oferowane oprogramowanie spełnia wszystkie prawne wymogi, aby zapewnić legalność transakcji. Dyrektywy https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32009L0024
Co to jest Dyrektywa 2009/24/WE?
Jest to unijna dyrektywa dotycząca ochrony prawnej programów komputerowych, która reguluje m.in. kwestie związane z odsprzedażą używanego oprogramowania.https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32009L0024
Jakie jest znaczenie orzeczenia TSUE z dnia 3 lipca 2012 r.?
Orzeczenie potwierdza, że autor oprogramowania nie może sprzeciwić się odsprzedaży licencji umożliwiających korzystanie z jego programów, nawet jeśli zostały pobrane z Internetu.