Evaluation Assurance Level

Poziom pewności oceny

Poziom pewności oceny ( od EAL1 do EAL7 ) produktu lub systemu informatycznego to ocena numeryczna przyznawana po zakończeniu oceny bezpieczeństwa Common Criteria , międzynarodowej normy obowiązującej od 1999 r. Rosnące poziomy pewności odzwierciedlają dodatkowe wymagania dotyczące pewności, które należy spełnić aby uzyskać certyfikat Common Criteria. Intencją wyższych poziomów jest zapewnienie większej pewności, że główne funkcje bezpieczeństwa systemu są niezawodnie zaimplementowane. Poziom EAL nie mierzy bezpieczeństwa samego systemu, po prostu określa, na jakim poziomie system był testowany.Aby osiągnąć określony EAL, system komputerowy musi spełniać określone wymagania dotyczące bezpieczeństwa . Większość z tych wymagań dotyczy dokumentacji projektowej, analizy projektu, testów funkcjonalnych lub testów penetracyjnych. Wyższe EAL obejmują bardziej szczegółową dokumentację, analizę i testowanie niż niższe. Uzyskanie wyższego certyfikatu EAL generalnie kosztuje więcej pieniędzy i zajmuje więcej czasu niż uzyskanie niższego. Numer EAL nadany certyfikowanemu systemowi oznacza, że ​​system spełnił wszystkie wymagania dla tego poziomu.

Funkcjonalne cechy każdego certyfikowanego produktu są określone w Celu Bezpieczeństwad okument dostosowany do oceny tego produktu. W związku z tym produkt z wyższym EAL niekoniecznie jest „bezpieczniejszy” w konkretnej aplikacji niż produkt z niższym EAL, ponieważ mogą one mieć bardzo różne listy funkcji funkcjonalnych w swoich celach bezpieczeństwa. Przydatność produktu do określonej aplikacji zabezpieczającej zależy od tego, w jakim stopniu funkcje wymienione w Celu zabezpieczeń produktu spełniają wymagania bezpieczeństwa aplikacji. Jeśli cele bezpieczeństwa dla dwóch produktów zawierają niezbędne funkcje bezpieczeństwa, wyższy EAL powinien wskazywać bardziej godny zaufania produkt dla tej aplikacji.

​

EAL1: przetestowany funkcjonalnie

EAL1 ma zastosowanie tam, gdzie wymagana jest pewna pewność prawidłowego działania, ale zagrożenia bezpieczeństwa nie są postrzegane jako poważne. Będzie to cenne, gdy wymagane jest niezależne zapewnienie potwierdzające twierdzenie, że zachowano należytą staranność w odniesieniu do ochrony danych osobowych lub podobnych informacji. EAL1 zapewnia ocenę TOE (Target of Evaluation) udostępnioną klientowi, w tym niezależne testowanie pod kątem specyfikacji oraz badanie dostarczonej dokumentacji zawierającej wytyczne. Zamiarem jest, aby ocena EAL1 mogła być pomyślnie przeprowadzona bez pomocy konstruktora TOE i przy minimalnych kosztach. Ocena na tym poziomie powinna dostarczyć dowodów, że TOE funkcjonuje w sposób zgodny z jego dokumentacją oraz że zapewnia użyteczną ochronę przed zidentyfikowanymi zagrożeniami.

EAL2: przetestowany strukturalnie

EAL2 wymaga współpracy dewelopera w zakresie dostarczania informacji projektowych i wyników badań, ale nie powinien wymagać od dewelopera większego wysiłku niż jest to zgodne z dobrą praktyką handlową. Jako taka nie powinna wymagać znacznie zwiększonej inwestycji kosztów lub czasu. EAL2 ma zatem zastosowanie w tych okolicznościach, w których programiści lub użytkownicy wymagają niskiego lub średniego poziomu niezależnie gwarantowanego bezpieczeństwa w przypadku braku natychmiastowej dostępności pełnego zapisu prac rozwojowych. Taka sytuacja może wystąpić podczas zabezpieczania starszych systemów.

EAL3: Metodycznie przetestowane i sprawdzone

EAL3 pozwala sumiennemu programiście uzyskać maksymalną pewność dzięki pozytywnej inżynierii bezpieczeństwa na etapie projektowania bez istotnej zmiany istniejących, solidnych praktyk programistycznych. EAL3 ma zastosowanie w tych okolicznościach, w których konstruktorzy lub użytkownicy wymagają umiarkowanego poziomu niezależnie gwarantowanego bezpieczeństwa i dokładnego zbadania TOE i jego rozwoju bez istotnej przebudowy.

EAL4: zaprojektowany metodycznie, przetestowany i zweryfikowanyEdytować

EAL4 pozwala programistom uzyskać maksymalną pewność dzięki pozytywnej inżynierii bezpieczeństwa opartej na dobrych komercyjnych praktykach programistycznych, które, choć rygorystyczne, nie wymagają znacznej specjalistycznej wiedzy, umiejętności ani innych zasobów. EAL4 to najwyższy poziom, przy którym modernizacja istniejącej linii produktów jest prawdopodobnie ekonomicznie wykonalna. EAL4 ma zatem zastosowanie w tych okolicznościach, w których konstruktorzy lub użytkownicy wymagają umiarkowanego lub wysokiego poziomu niezależnie gwarantowanego bezpieczeństwa w konwencjonalnych towarowych TOE i są gotowi ponieść dodatkowe koszty inżynieryjne związane z zabezpieczeniami.

Komercyjne systemy operacyjne, które zapewniają konwencjonalne funkcje bezpieczeństwa oparte na użytkownikach, są zazwyczaj oceniane na poziomie EAL4. Przykłady z wygasłym certyfikatem to AIX , ^[1] HP-UX , ^[1] Oracle Linux , NetWare , Solaris , ^[1] SUSE Linux Enterprise Server 9 , ^[1] [2] SUSE Linux Enterprise Server 10 , ^[3] Red Hat Enterprise Linux 5 , ^[4] [5] Windows 2000 z dodatkiem Service Pack 3, Windows 2003 , ^[1] [6] Windows XP , ^[1] [6] Windows Vista , ^[7] [8] Windows 7 , ^[1] [9] Windows Server 2008 R2 , ^[1] [9] z/OS w wersji 2.1 i z/VM w wersji 6.3. ^[1]

Systemy operacyjne zapewniające wielopoziomowe zabezpieczenia są oceniane na poziomie co najmniej EAL4. Przykłady z aktywnym certyfikatem obejmują SUSE Linux Enterprise Server 15 (EAL 4+). ^[10] Przykłady z wygasłym certyfikatem to Trusted Solaris , Solaris 10 Release 11/06 Trusted Extensions , ^[11] wczesna wersja XTS-400 , VMware ESXi wersja 4.1, ^[12] 3.5, 4.0, AIX 4.3, AIX 5L, AIX 6, AIX7, Red Hat 6.2 i SUSE Linux Enterprise Server 11 (EAL 4+). vSphere 5.5 Update 2 nie osiągnął poziomu EAL4+, był to poziom EAL2+ i uzyskał certyfikat 30 czerwca 2015 r.

EAL5: Półformalnie zaprojektowany i przetestowanyEdytować

EAL5 umożliwia programistom uzyskanie maksymalnej pewności dzięki inżynierii bezpieczeństwa opartej na rygorystycznych praktykach rozwoju komercyjnego wspieranych przez umiarkowane stosowanie specjalistycznych technik inżynierii bezpieczeństwa. Taki TOE zostanie prawdopodobnie zaprojektowany i opracowany z zamiarem uzyskania pewności EAL5. Jest prawdopodobne, że dodatkowe koszty związane z wymaganiami EAL5, w stosunku do rygorystycznego rozwoju bez zastosowania specjalistycznych technik, nie będą duże. EAL5 ma zatem zastosowanie w tych okolicznościach, w których programiści lub użytkownicy wymagają wysokiego poziomu niezależnie gwarantowanego bezpieczeństwa w planowanym rozwoju i wymagają rygorystycznego podejścia do rozwoju bez ponoszenia nieracjonalnych kosztów związanych ze specjalistycznymi technikami inżynierii bezpieczeństwa.

Liczne urządzenia z kartami inteligentnymi zostały ocenione na poziomie EAL5, podobnie jak wielopoziomowe bezpieczne urządzenia, takie jak Tenix Interactive Link . XTS-400 (STOP 6) to system operacyjny ogólnego przeznaczenia, który został oceniony na poziomie rozszerzonym EAL5.

LPAR w systemie IBM System z ma certyfikat EAL5. ^[13]

EAL6: częściowo zweryfikowany projekt i przetestowanyEdytować

EAL6 pozwala programistom na uzyskanie wysokiej pewności dzięki zastosowaniu technik inżynierii bezpieczeństwa w rygorystycznym środowisku programistycznym w celu wytworzenia premium TOE do ochrony aktywów o dużej wartości przed poważnymi zagrożeniami. EAL6 ma zatem zastosowanie do rozwoju zabezpieczeń TOE do zastosowań w sytuacjach wysokiego ryzyka, gdzie wartość chronionych aktywów uzasadnia dodatkowe koszty.

System INTEGRITY-178B RTOS firmy Green Hills Software uzyskał certyfikat EAL6 augmented. ^[1]

EAL7: formalnie zweryfikowany projekt i przetestowanyEdytować

EAL7 ma zastosowanie do opracowywania zabezpieczeń TOE do zastosowań w sytuacjach skrajnie wysokiego ryzyka i/lub tam, gdzie wysoka wartość aktywów uzasadnia wyższe koszty.

Praktyczne zastosowanie EAL7 jest obecnie ograniczone do TOE z ściśle ukierunkowaną funkcjonalnością bezpieczeństwa, która jest podatna na obszerną analizę formalną. Urządzenie Tenix Interactive Link Data Diode i Fox-IT Fox Data Diode (jednokierunkowe urządzenie do transmisji danych) zostały ocenione na poziomie EAL7 rozszerzonym (EAL7+).

​