Những mức đảm bảo đánh giá (EALs)

Một phần của tài liệu Nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin (Trang 49)

IV. Phương pháp nghiên cứu

2.1.4.Những mức đảm bảo đánh giá (EALs)

Khi một SPATCNTT đã được đánh giá "qua", nó được xếp mức đảm bảo an toàn. CC phân ra 7 mức đảm bảo an toàn từ EAL1 -> EAL7. Mức đánh giá càng cao thể hiện sản phẩm an toàn càng cao. Mức an toàn cao hơn được xây dựng trên cơ sở mức an toàn thấp hơn kế cận nhưng yêu cầu cao hơn về phạm vi, chiều sâu và độ nghiêm ngặt.

Hình 2. 31: Những mức đánh giá

Cơ sở cho việc chọn mức an toàn

o Mức độ mạo hiểm của tài sản bắt đầu được can thiệp.

o Trạng thái hiện hành của sản phẩm trong định nghĩa cấu trúc TOE. o An toàn cho môi trường của SPATCNTT.

o Môi trường của những đối tác.

o Những yêu cầu chức năng phụ thuộc của SPATCNTT.

Những yêu cầu của các mức đảm bảo đánh giá EALs

EAL1: Phương pháp kiểm định về mặt chức năng:

- Yêu cầu thao tác hiện hành được tin cậy. - Không có sự giúp đỡ từ nhà phát triển TOE.

- Kiểm tra một cách độc lập nhưng không đầy đủ về các đe dọa. - Những đe dọa thích hợp chưa được xem xét một cách nghiêm túc.

EAL2: Phương pháp kiểm định về cấu trúc:

- Yêu cầu hỗ trợ từ nhà phát triển.

- Giảm mức thấp nhất những đe dọa về an toàn.

- Thêm vào đó là những yêu cầu cho việc liệt kê cấu hình, sự phân phát, thiết kế tài liệu an toàn ở mức cao, kiểm thử chức năng an toàn, phân tích sự tổn thương, kiểm tra độc lập lớn hơn tuy vẫn chưa đủ.

EAL3: Phương pháp kiểm định và kiểm tra:

- Yêu cầu kỹ nghệ an toàn được tính từ những khâu thiết kế và không có sự thay đổi trong thực thi hiện hành.

- Làm dịu an toàn thông qua sự khảo sát sản phẩm, sự kiểm soát môi trường phát triển và thiết kế tài liệu phát triển ở mức cao.

- Những yêu cầu bổ sung trên sự kiểm định chưa được hoàn thành, kiểm soát môi trường phát triển và quản lý môi trường TOE.

EAL4: Phương pháp thiết kế, kiểm định và xem xét lại:

- Yêu cầu kỹ nghệ an toàn dựa vào sự phát triển thực thi tốt. - Đấy là mức cao có thể chỉnh lý được sản phẩm hiện hữu.

- Thêm những yêu cầu thiết kế, thi hành, phân tích tổn thương, mức thấp cho thiết kế tài liệu phát triển, quản lý cấu hình hệ thống một cách tự động và mô hình chính sách an toàn thông tin.

EAL5: Thiết kế và kiểm tra bán hình thức:

- An toàn mức cao, những trạng thái mạo hiểm cao.

- Yêu cầu thao tác phát triển phải được chú trọng một cách đặc biệt và làm dịu đe dọa xuống bằng kỹ nghệ kỹ thuật.

- Những yêu cầu thuyết minh nửa hình thức chức năng, thiết kế ở mức cao, kiểm tra sự tổn thương, sự thi hành đầy đủ, và sự phân tích kênh chuyển đổi.

EAL6: Xác minh thiết kế và kiểm tra bán hình thức:

- Thích hợp với môi trường phát triển một cách nghiêm khắc. - Đánh giá mạo hiểm tài sản được đảm bảo ở mức cao.

- Những yêu cầu bổ sung trên sự phân tích, lớp thiết kế TOE, tài liệu thiết kế mức thấp nửa hình thức, hoàn thành tự động hóa hệ thống vòng đời và môi trường phát triển có cấu trúc, sự kiểm thử tính dễ tổn thương, sự phân tích kênh.

EAL7: Xác minh thiết kế và kiểm tra hình thức:

- Đảm bảo mạo hiểm ở mức tối đa.

- Nói chung dùng cho ứng dụng thí nghiệm.

- Sự đảm bảo an toàn được thực hiện thông qua những ứng dụng, những phương pháp hình thức trong tài liệu thuyết minh chức năng và thiết kế mức cao.

- Những yêu cầu bổ sung cho việc kiểm tra, phân tích sự phát triển đầy đủ, kiểm tra sự độc lập của các kết quả đầy đủ và tài liệu đầy đủ cấu trúc TSF.

Một phần của tài liệu Nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin (Trang 49)

(134 trang)