Ocena poziomu zabezpiecznia (EAL) w oparciu o Common Criteria

Ocena poziomu zabezpiecznia (EAL) w oparciu o Common Criteria
Ci spośród Państwa, którzy nie mieli przyjemności jeszcze poznać EAL powinni nadrobić zaległości. Jeśli tylko Komisja Europejska wprowadzi nowe prawo "prostych bananów" w odniesieniu do oprogramowania, może się okazać że EAL będzie się nam śnić wielu producentom software-u po nocach. EAL to Evaluation Assurance Level czyli w wolnum tłumaczeniu ocena poziomu bezpieczeństwa.

Unia Europejska słynie z wymyślania absurdalnych przepisów prawnych. Jej najnowszym wynalazkiem jest wprowadzenie standaryzacji na oprogramowanie. Oznacza to, że każdy produkt programistyczny zanim pojawi się na rynku lub nawet za darmo do ściągnięcia (!) będzie musiał przejść proces certyfikacji. Sama weryfikacja ma na celu sprawdzenie czy oprogramowanie nie zrobi nikomu ani niczemu krzywdy. Bardzo możliwe, że proces ten oprze się o Common Criteria. CC jest standardem, którego dzieckiem jest norma ISO/IEC 15408 definiująca Ocenę Poziomu Zabezpieczenia (EAL). Trochę to złożone, ale czym bardziej zagmatwane tym bardziej europejskie.

Proces weryfikacji i certyfikacji na najniższym poziomie (EAL1) kosztuje kilkadziesiąt tysięcy euro, najwyższy poziom (EAL7) jest praktycznie nieosiągalny.

Oto poziomy zabezpieczeń:

EAL1: Funkcjonalność przetestowana (Functionally Tested)

Kiedy zagrożenia dla bezpieczeństwa są niewielkie. Głównie testowanie zgodności specyfikacji z TOE (Target of Evaluation - oceniane oprogramowanie)

EAL2: Przetestowane strukturalnie (Structurally Tested)

Przetestowanie kodu razem z programistami TOE.

EAL3: Przetestowane metodycznie i sprawdzone (Methodically Tested and Checked)

Testowanie bezpieczeństwa na poziomie projektu.

EAL4: Zaprojektowane, przetestowane i przejrzane metodycznie (Methodically Designed, Tested, and Reviewed)

Testowanie oparte na najlepszych praktykach rynkowych w całym procesie tworzenia oprogramowania.

EAL5: Zaprojektowane i przetestowano częściowo formalnie (Semiformally Designed and Tested)

Wdrożenie rygorystycznych praktyk tworzenia oprogramowania i testowania.

EAL6: Zweryfikowany projekt i przetestowany częściowo w sposób formalny (Semiformally Verified Design and Tested)

Wdrożenie technik kontroli kodowania i środowiska programistycznego.

EAL7: Formalnie zweryfikowany projekt i przetestowany (Formally Verified Design and Tested)

TOE poddanyy jest ścisłym testom funkcjonalnym bezpieczeństwa oraz rozszerzonej analizie formalnej.

 

To powinno Cię zainteresować