Suchen

Evaluation Assurance Level | EAL | EAL4 | EAL4+ | EAL5 | EAL5+ | EAL6 | EAL6+

| Redakteur: Peter Schmitz

Der Evaluation Assurance Level eines IT-Produkts oder Systems ist eine Bewertung nach Abschluss der „Common Criteria“ Sicherheitsprüfung. Der Standard ist als ISO/IEC 15408 verfügbar

Firma zum Thema

Der Evaluation Assurance Level eines IT-Produkts oder Systems ist eine Bewertung nach Abschluss der „Common Criteria“ Sicherheitsprüfung. Der Standard ist als ISO/IEC 15408 verfügbar und definiert sieben Stufen der Vertrauenswürdigkeit eines IT-Systems.

Die ansteigenden EAL-Werte spiegeln dabei die steigenden Anforderungen wieder, die ein Produkt erfüllen muss um die Common Criteria Zertifizierung zu erfüllen, von EAL1 (niedrige Sicherheit) bis EAL7 (höchste Sicherheitsstufe). Je höher dieser Wert ist, desto sicherer kann man sein, dass die grundlegenden Sicherheitsfunktionen eines Produkts fehlerfrei implementiert sind.

Um einen bestimmten EAL-Wert zu erreichen muss das IT-System bestimmte Erfordernisse nach Common riteria erfüllen. Diese Erfordernisse beinhalten die Dokumentation udn Analyse des Systemdesigns, sowie Funktionstests und Penetrationstest. Je höher die EAL-Werte weren, desto detaillierter muss die Dokumentation und Analyse der Geräte sein.

Die Zertifizierung von Sicherheits-Systemen nach dem Common Criteria (CC) EAL4-Standard gehört zu den anspruchsvollsten und teuersten Zertifizierungstests denen sich ein Hersteller unterziehen kann. Eine EAL4-Zertifizierung erweist sich trotzdem oftmals als lohnenswert, setzen viele Behörden und Regierungs-Organisationen, speziell in den USA diese doch als Hürde für um überhaupt in den Behördennetzwerken eingesetzt zu werden.

Zwischen den unterschiedlichen EAL-Einstufungen können ab einem bestimmten Level Welten liegen. Während beispielsweise der Quellcode bei einer EAL4 Zertifizierung noch nicht einmal geprüft wird, fordert eine EAL6 Zertifizierung formale Tests und zum Beispiel einen mathematischen Nachweis, dass Sichterheits-Policies erfüllt werden.

EAL-Stufen und ihre Anforderungen

EAL1: System wurde funktionell getestet

EAL2: System wurde strukturell getestet

EAL3: System wurde methodisch getestet und überprüft

EAL4: System wurde methodisch entwickelt, getestet und geprüft

EAL5: System wurde semiformal entworfen und getestet

EAL6: System wurde mit einem semiformal geprüften Entwurf entwickelt und getestet

EAL7: System wurde mit einem formal geprüften Entwurf entwickelt und getestet

Übertreffen der EAL-Anforderungen

Manche Systeme erweitern die minimalen Anforderungen die nach der EAL-Zertifizierung an die Sicherheit eines IT-Systems gestellt werden um zusätzliche Aspekte. Offiziell wird dies durch die EAL-Nummer, gefolgt vom Wort „erweitert“ angezeigt, dem meist eine Liste der zusätzlichen Erfordernisse folgt, die das Produkt erfüllt. Hersteller kürzen dies meist einfach durch den EAL-Wert gefolgt von einem Plus (+) ab, also beispielsweise EAL4+.

(ID:2021792)