Уровень гарантии оценки ( EAL1 – EAL7 ) ИТ-продукта или системы — это числовая оценка, присваиваемая после завершения оценки безопасности Common Criteria , международного стандарта , действующего с 1999 года. Повышение уровня гарантии отражает дополнительные требования к гарантии, которые необходимо выполнить для получения сертификации Common Criteria. Целью более высоких уровней является обеспечение большей уверенности в том, что основные функции безопасности системы надежно реализованы. Уровень EAL не измеряет безопасность самой системы, он просто указывает, на каком уровне система была протестирована.
Для достижения определенного уровня EAL компьютерная система должна соответствовать определенным требованиям к обеспечению безопасности . Большинство этих требований включают проектную документацию, анализ проекта, функциональное тестирование или тестирование на проникновение. Более высокие уровни EAL включают более подробную документацию, анализ и тестирование, чем более низкие. Получение более высокого уровня сертификации EAL обычно стоит больше денег и занимает больше времени, чем получение более низкого уровня. Номер EAL, присвоенный сертифицированной системе, указывает на то, что система выполнила все требования для этого уровня.
Хотя каждый продукт и система должны соответствовать тем же требованиям к обеспечению безопасности для достижения определенного уровня, они не обязаны соответствовать тем же функциональным требованиям. Функциональные характеристики каждого сертифицированного продукта устанавливаются в документе Security Target , разработанном для оценки этого продукта. Таким образом, продукт с более высоким EAL не обязательно «более безопасен» в определенном приложении, чем продукт с более низким EAL, поскольку у них могут быть совершенно разные списки функциональных характеристик в их Security Target. Пригодность продукта для конкретного приложения безопасности зависит от того, насколько хорошо характеристики, перечисленные в Security Target продукта, соответствуют требованиям безопасности приложения. Если Security Targets для двух продуктов содержат необходимые характеристики безопасности, то более высокий EAL должен указывать на более надежный продукт для этого приложения.
EAL1 применяется там, где требуется некоторая уверенность в правильной работе, но угрозы безопасности не рассматриваются как серьезные. Он будет иметь ценность там, где требуется независимая гарантия, подтверждающая утверждение о том, что была проявлена должная осторожность в отношении защиты личной или аналогичной информации. EAL1 предоставляет оценку TOE (Цель оценки), предоставленную заказчику, включая независимое тестирование по спецификации и проверку предоставленной руководящей документации. Предполагается, что оценка EAL1 может быть успешно проведена без помощи разработчика TOE и за минимальные затраты. Оценка на этом уровне должна предоставить доказательства того, что TOE функционирует в соответствии с его документацией и что он обеспечивает полезную защиту от выявленных угроз.
EAL2 требует сотрудничества разработчика в плане предоставления информации о проекте и результатов испытаний, но не должен требовать от разработчика больших усилий, чем это соответствует надлежащей коммерческой практике. Как таковой, он не должен требовать существенного увеличения затрат или времени. Поэтому EAL2 применим в тех обстоятельствах, когда разработчикам или пользователям требуется низкий или средний уровень независимо гарантированной безопасности при отсутствии готовой к использованию полной записи разработки. Такая ситуация может возникнуть при обеспечении безопасности устаревших систем.
EAL3 позволяет добросовестному разработчику получить максимальную уверенность от позитивной инженерии безопасности на этапе проектирования без существенного изменения существующих надежных методов разработки. EAL3 применим в тех обстоятельствах, когда разработчикам или пользователям требуется умеренный уровень независимо гарантированной безопасности и требуется тщательное исследование TOE и его разработки без существенной реинжиниринга.
EAL4 позволяет разработчику получить максимальную уверенность от позитивной инженерии безопасности, основанной на надлежащих коммерческих практиках разработки, которые, хотя и являются строгими, не требуют существенных специальных знаний, навыков и других ресурсов. EAL4 — это наивысший уровень, на котором, вероятно, будет экономически целесообразно модернизировать существующую линейку продуктов. Поэтому EAL4 применим в тех обстоятельствах, когда разработчикам или пользователям требуется умеренный или высокий уровень независимо гарантированной безопасности в обычных товарных TOE и они готовы понести дополнительные расходы на инженерию безопасности.
Коммерческие операционные системы , которые предоставляют обычные пользовательские функции безопасности, обычно оцениваются на уровне EAL4. Примерами с просроченным сертификатом являются AIX , [1] HP-UX , [1] Oracle Linux , NetWare , Solaris , [1] SUSE Linux Enterprise Server 9 , [1] [2] SUSE Linux Enterprise Server 10 , [3] Red Hat Enterprise Linux 5 , [4] [5] Windows 2000 Service Pack 3, Windows 2003 , [1] [6] Windows XP , [1] [6] Windows Vista , [7] [8] Windows 7 , [1] [9] Windows Server 2008 R2 , [1] [9] z/OS версии 2.1 и z/VM версии 6.3. [1]
Операционные системы, обеспечивающие многоуровневую безопасность , оцениваются как минимум на уровне EAL4. Примеры с активным сертификатом включают SUSE Linux Enterprise Server 15 (EAL 4+). [10] Примеры с просроченным сертификатом: Trusted Solaris , Solaris 10 Release 11/06 Trusted Extensions , [11] ранняя версия XTS-400 , VMware ESXi версии 4.1, [12] 3.5, 4.0, AIX 4.3, AIX 5L, AIX 6, AIX7, Red Hat 6.2 и SUSE Linux Enterprise Server 11 (EAL 4+). vSphere 5.5 Update 2 не достиг уровня EAL4+, он был EAL2+ и сертифицирован 30 июня 2015 года.
EAL5 позволяет разработчику получить максимальную гарантию от инженерии безопасности на основе строгих коммерческих практик разработки, поддерживаемых умеренным применением специальных методов инженерии безопасности. Такой TOE, вероятно, будет спроектирован и разработан с целью достижения гарантии EAL5. Вероятно, что дополнительные затраты, связанные с требованиями EAL5, по сравнению со строгой разработкой без применения специализированных методов, не будут большими. Поэтому EAL5 применим в тех обстоятельствах, когда разработчикам или пользователям требуется высокий уровень независимо гарантированной безопасности в запланированной разработке и требуется строгий подход к разработке без необоснованных затрат, связанных со специальными методами инженерии безопасности.
Многочисленные устройства смарт-карт были оценены на уровне EAL5, как и многоуровневые защищенные устройства, такие как Tenix Interactive Link. XTS-400 (STOP 6) — это операционная система общего назначения, которая была оценена на уровне EAL5 augmented.
LPAR на IBM System z имеет сертификат EAL5. [13]
EAL6 позволяет разработчикам получить высокую гарантию от применения методов проектирования безопасности в строгой среде разработки с целью создания первоклассного TOE для защиты ценных активов от существенных рисков. Таким образом, EAL6 применим к разработке TOE безопасности для применения в ситуациях высокого риска, когда ценность защищенных активов оправдывает дополнительные затраты.
ОСРВ INTEGRITY-178B компании Green Hills Software сертифицирована на расширенный уровень EAL6. [1]
EAL7 применим к разработке объектов безопасности для применения в ситуациях с чрезвычайно высоким риском и/или там, где высокая стоимость активов оправдывает более высокие затраты.
Практическое применение EAL7 в настоящее время ограничено TOE с узкоспециализированной функциональностью безопасности, которая поддается обширному формальному анализу. ProvenCore OS, разработанная ProvenRun, была сертифицирована по EAL7 в 2019 году ANSSI . [ 14] Tenix Interactive Link Data Diode Device и Fox-IT Fox Data Diode (устройство односторонней передачи данных) были заявлены как оцененные на EAL7 augmented (EAL7+). [15]
Технически говоря, более высокий EAL означает не больше и не меньше, чем то, что оценка выполнила более строгий набор требований по обеспечению качества. Часто предполагается, что система, которая достигает более высокого EAL, будет предоставлять свои функции безопасности более надежно (и требуемый сторонний анализ и тестирование, выполненные экспертами по безопасности, являются разумным доказательством в этом направлении), но опубликованных доказательств в поддержку этого предположения мало или нет.
В 2006 году Счетная палата США опубликовала отчет об оценках по общим критериям, в котором обобщены данные о расходах и графиках, предоставленных для оценок, проводимых на уровнях EAL2–EAL4.
В середине-конце 1990-х годов поставщики сообщали о расходах в размере 1 млн. долл. США и даже 2,5 млн. долл. США на оценки, сопоставимые с EAL4. Не было опубликовано никаких отчетов о стоимости различных оценок безопасности Microsoft Windows .
В некоторых случаях оценка может быть дополнена требованиями к обеспечению, выходящими за рамки минимально необходимого для конкретного EAL. Официально это обозначается словом augmented после номера EAL и обычно списком кодов для указания дополнительных требований. В качестве сокращения поставщики часто просто добавляют знак «плюс» (например, EAL4+ ), чтобы указать на расширенные требования.
Стандарты Common Criteria обозначают EAL, как показано в этой статье: префикс «EAL» сцеплен с цифрой от 1 до 7 (примеры: EAL1, EAL3, EAL5). На практике некоторые страны ставят пробел между префиксом и цифрой (EAL 1, EAL 3, EAL 5). Использование знака «плюс» для указания на расширение является неформальным сокращением, используемым поставщиками продуктов (EAL4+ или EAL 4+).