Evaluation Assurance Level
Evaluation Assurance Level (úroveň jistoty ohodnocení, zkratka EAL) je v informatice číselné ohodnocení IT produktu nebo systému podle „Common Criteria security evaluation“, což je mezinárodní standard platný od roku 1999. Ve standardu je definováno sedm úrovní, které jsou označeny jako EAL1 až EAL7. Vyšší úroveň jistoty ohodnocení přináší též vyšší požadavky jistoty (assurance requirements), které musí daný systém splňovat pro získání certifikátu Common Criteria. Vyšší úroveň by měla poskytovat vyšší úroveň jistoty, že bezpečnostní funkce a vlastnosti systému jsou správně implementovány. To ovšem nutně neznamená, že systém s vyšší úrovní EAL je lépe zabezpečený (protože může být například chybně nastaven). EAL úroveň tedy udává, jak bylo zabezpečení systému otestováno, nikoliv však jak je systém ve skutečnosti zabezpečen.
Pro dosažení určité EAL úrovně musí systém splnit všechny požadavky jistoty zadané pro tuto úroveň. Většina těchto požadavků zahrnuje dokumentaci a analýzu řešení systému, funkční testy a penetrační testy (testy simulující možné útoky s cílem prolomení se do systému). Čím je EAL vyšší, tím jsou dokumentace, analýzy a testy podrobnější, ale tím pádem také časově a finančně náročnější.
Pro dosažení stejné EAL úrovně musí všechny systémy splnit stejné požadavky jistoty, ale jejich funkční požadavky (functional requirements) se mohou lišit. Funkční vlastnosti hodnoceného systému definuje jeho Bezpečnostní cíl (Security target, zkratka ST). Proto systém s vyšší úrovní EAL nemusí být nutně "bezpečnější" než systém s nižším EAL, protože mohou mít odlišné seznamy funkčních prvků ve svých Bezpečnostních cílech. Výsledná úroveň zabezpečení systému a jeho využitelnost v praxi je tedy závislá na tom, jaké bezpečnostní funkce a vlastnosti implementuje výrobce systému do Bezpečnostního cíle v závislosti na prvotních požadavcích na zabezpečení. Pokud tedy mají dva systémy pro stejnou aplikaci shodné Bezpečnostní cíle, měl by být systém s vyšší EAL úrovní spolehlivější.
EAL úrovně
EAL1: Funkcionálně testováno
EAL1 je vhodná pro aplikace, kde je vyžadována jistá (nikoli však vysoká) míra spolehlivosti funkcionality, ale případné bezpečnostní hrozby nejsou pokládány za vážný problém. EAL1 poskytuje ohodnocení produktu, tak jak byl dodán uživateli, včetně nezávislého testování ze strany uživatele navzdory specifikaci, a prozkoušení dokumentace systému. Záměrem EAL1 je možnost dosažení této úrovně pouze na straně uživatele, tedy bez další interakce s vývojáři a za minimální náklady. Dosažení této úrovně by mělo být důkazem, že systém funguje tak, jak je uvedeno v dokumentaci, a poskytuje dostačující ochranu proti známým hrozbám.
EAL2: Strukturálně testováno
EAL2 vyžaduje ze strany vývojářů dodání informací ohledně řešení systému a výsledků testů, nikoli ale žádné další úkony, které by byly nad rámec běžného vývoje v praxi. Nemělo by tedy dojít k výraznému navýšení časových a finančních nároků. EAL2 je tedy využitelná v případě, kdy uživatel vyžaduje nízkou až střední úroveň nezávislého zajištění bezpečnosti bez potřeby poskytnutí, kdy není k dispozici kompletní dokumentace o vývoji systému. Například při zabezpečování funkčnosti zastaralých, ale stále dostačujících systémů (tzv. Legacy system).
EAL3: Metodicky testováno a kontrolováno
EAL3 umožňuje vývojáři jistotu solidního vývoje zabezpečení v průběhu vývoje systému bez nutnosti většího zásahu do aktuálního postupu vývoje. EAL3 lze využít v případě, kdy vývojář nebo uživatel vyžadují střední úroveň nezávislého zajištění zabezpečení a požadují kontrolu nad průběhem vývoje bez nutnosti přepracování systému nebo jeho částí.
EAL4: Metodicky navrženo, testováno, a revidováno
EAL4 umožňuje vývojáři jistotu solidního vývoje zabezpečení vycházející z ověřených komerčních postupů vývoje, které jsou přísné, ale nevyžadují speciální znalosti a dovednosti, nebo zdroje. EAL4 je nejvyšší úrovní jejíž implementace na existující produkt by mohla být ekonomicky proveditelná. EAL4 tedy lze využít, pokud vývojář nebo uživatel vyžadují střední až vysokou úroveň nezávislého zajištění zabezpečení běžně využívaného systému a je připraven na vyšší výdaje v zájmu zabezpečení.
Komerční operační systémy poskytující běžné, uživatelské zabezpečení jsou obyčejně hodnoceny na úrovni EAL4. Jsou to například: AIX,[1] HP-UX,[1] FreeBSD, Oracle Linux, Novell NetWare, Solaris,[1] SUSE Linux Enterprise Server 9,[1][2] SUSE Linux Enterprise Server 10,[3] Red Hat Enterprise Linux 5,[4][5] Windows 2000 Service Pack 3, Windows 2003,[1][6] Windows XP,[1][6] Windows Vista[7] [8] , Windows 7,[1][9] Windows Server 2008 R2,[1][9] a z/VM version 5.3.[1]
Operační systémy poskytující Víceúrovňové zabezpečení jsou hodnoceny minimálně na úrovni EAL4. Jsou to například: Trusted Solaris, Solaris 10 Release 11/06 Trusted Extensions,[10] počáteční verze XTS-400, a VMware ESXi verze 3.0.2,[11] 3.5, 4.0 a 5.0 (EAL 4+).
EAL5: Semi-formálně navrženo a testováno
EAL5 poskytuje vývojáři maximální jistotu nad vývojem zabezpečení na základě solidních komerčních postupů vývoje s částečným využitím speciálních technik vývoje zabezpečení. Návrh a vývoj takového systému bude od počátku směřován k dosažení EAL5. Je pravděpodobné, že náklady spojené s tímto vývojem nebudou signifikantně vyšší, než u vývoje bez využití specializovaných postupů. EAL5 tedy lze využít v případě že vývojář nebo uživatel požadují vysokou úroveň nezávislého zajištění zabezpečení při plánovaném vývoji a pečlivý dohled nad jeho průběhem bez zbytečně vysokých nákladů za specializované zabezpečení.
Mnohé smart card systémy jsou hodnoceny na úrovní EAL5, stejně tak jako některé systémy s víceúrovňovým zabezpečením jako například The Tenix Interactive Link. Dále například LPAR na IBM System z nebo XTS-400 (STOP 6) – univerzální operační systém, který byl ohodnocen EAL5 augmented.
EAL6: Semi-formálně ověřený návrh a testováno
EAL6 umožňuje vývojáři vytvořit vysoce zajištěný systém za použití specializovaných technik vývoje zabezpečení a docílit tak kvalitního a důvěryhodného systému schopného ochránit citlivá data proti reálným bezpečnostním hrozbám. EAL6 je tedy využitelná v případě vývoje bezpečnostního systému pro rizikové aplikace, kde hodnota zabezpečovaných dat vyvažuje zvýšené náklady.
INTEGRITY-178B RTOS firmy Green Hills Software je hodnocen na úrovni EAL6 augmented.[1]
EAL7: Formálně ověřený návrh a testováno
EAL7 je úroveň vhodná pro systémy s extrémním zaměřením na zabezpečení, kde je ochrana dat naprostou prioritou i za cenu vysokých nákladů. Praktické využití je aktuálně omezeno na systémy úzce zaměřené na bezpečnostní funkce, které jsou podrobovány detailní analýze. Úrovní EAL7 jsou ohodnoceny například jednosměrné komunikační zařízení The Tenix Interactive Link Data Diode Device a Fox Data Diode[12] dokonce na EAL7 augmented.
EAL značení
Common Criteria standard označuje úrovně EAL jak je výše uvedeno: zkratka "EAL" následovaná číslicí 1 až 7. V praxi se mohou objevit i případy s mezerou mezi zkratkou a číslem. Ve zvláštních případech, kdy byla základní sada požadavků jistoty rozšířena oproti definovanému minimu se za název úrovně přidává slovo augmented nebo znaménko +.
Reference
V tomto článku byl použit překlad textu z článku Evaluation Assurance Level na anglické Wikipedii.
- Common Criteria certified product list. www.commoncriteriaportal.org [online]. [cit. 2014-01-03]. Dostupné v archivu pořízeném dne 2013-12-31.
- Certification Report for SUSE Linux Enterprise Server 9. www.commoncriteriaportal.org [online]. [cit. 2014-01-03]. Dostupné v archivu pořízeném dne 2015-09-23.
- SUSE Linux Enterprise Server 10 EAL4 Certificate. www.niap-ccevs.org [online]. [cit. 03-01-2014]. Dostupné v archivu pořízeném dne 22-05-2008.
- Red Hat Enterprise Linux Version 5 EAL4 Certificate. www.niap-ccevs.org [online]. [cit. 03-01-2014]. Dostupné v archivu pořízeném dne 19-06-2007.
- https://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/6.2_Release_Notes/security.html
- Windows Platform Products Awarded Common Criteria EAL 4 Certification
- MYERS, Tim. Windows Vista and Windows Server 2008 are Common Criteria Certified at EAL4+ [online]. Microsoft [cit. 2013-05-15]. Dostupné online. (anglicky)
- National Information Assurance Partnership Common Criteria Evaluation and Validation Scheme [online]. [cit. 2013-05-15]. Dostupné v archivu pořízeném dne 27-03-2014. (anglicky)
- Microsoft Windows 7, Windows Server 2008 R2 and SQL Server 2008 SP2 Now Certified as Common Criteria Validated Products
- Solaris 10 Release 11/06 Trusted Extensions EAL 4+ Certification Report
- VMware Infrastructure Earns Security Certification for Stringent Government Standards. www.vmware.com [online]. [cit. 03-01-2014]. Dostupné v archivu pořízeném dne 03-12-2008.
- Archivovaná kopie. www.fox-it.com [online]. [cit. 2014-01-03]. Dostupné v archivu pořízeném dne 2014-01-03.
Externí odkazy
- GAO. INFORMATION ASSURANCE: National Partnership Offers Benefits, but Faces Considerable Challenges. www.gao.gov. United States Government Accountability Office, March 2006. Dostupné online [cit. 2006-07-10]. (anglicky)
- Smith, Richard (October 2000). "Trends in Government Endorsed Security Product Evaluations" (PDF). Proc. 20th National Information Systems Security Conference. Retrieved on 2006-07-10.
- CCEVS Validated Products List
- Common Criteria Assurance Level information from IACS
- Cisco Common Criteria Certifications
- IBM AIX operating system certifications
- Microsoft Windows and the Common Criteria Certification
- SUSE Linux awarded government security cert
- XTS-400 information
- Understanding the Windows EAL4 Evaluation
- Charu Chaubal. Security Design of the VMware Infrastructure 3 Architecture. www.vmware.com. VMware, Inc., February 2007. Dostupné online [cit. 2008-11-19]. (anglicky)