EAL, viết tắt từ Evaluation Assurance Level (Cấp bảo đảm đánh giá) là một chứng chỉ dùng để đánh giá cấp độ bảo mật (Có các cấp từ EAL1 – EAL7) của sản phẩm công nghệ thông tin hoặc hệ thống theo tiêu chuẩn chung về bảo mật. Đây là một tiêu chuẩn có hiệu lực từ năm 1999. Chỉ số bảo mật (EALx) phản ánh những yêu cầu cần đạt chứng nhận của sản phẩm. Cấp độ càng cao thì mức độ an toàn, tin cậy của hệ thống càng được đảm bảo thực thi. Cấp độ EAL không tự đo sự bảo mật của hệ thống, nó chỉ đơn giản là chứng nhận trạng thái, mức độ nào mà hệ thống đã được kiểm tra.
Để đạt được một EAL đơn cử, mạng lưới hệ thống máy tính phải được kiểm trùng với những nhu yếu bảo vệ riêng. Hầu hết những nhu yếu này gồm có trong tài liệu phong cách thiết kế, tài liệu phong cách thiết kế nghiên cứu và phân tích, kiểm thử tính năng hay kiểm tra xâm nhập. Cấp độ EAL cao hơn nhu yếu tài liệu cụ thể hơn, nghiên cứu và phân tích sâu hơn và kiểm thử nhiều hơn Lever thấp. Số x trong EALx được gán để ghi nhận mạng lưới hệ thống đã trọn vẹn cung ứng tổng thể những nhu yếu ở cấp ( x ) đó .Mặc dù mọi loại sản phẩm, mạng lưới hệ thống bắt buộc phải rất đầy đủ toàn bộ những nhu yếu giống nhau ( tài liệu nghiên cứu và phân tích, tài liệu phong cách thiết kế, độ sâu, độ chi tiết cụ thể của tài liệu ) về tính bảo vệ để đạt được cùng một Lever, chúng không cần phải giống nhau về nhu yếu tính năng. Đặc điểm công dụng của mỗi loại sản phẩm được chứng nhật sẽ được thiết lập trong tài liệu Security Target ( tiềm năng bảo mật thông tin ), một loại tài liệu được phong cách thiết kế cho việc nhìn nhận loại sản phẩm. Vì vậy, một mẫu sản phẩm đạt EAL cao hơn không nhất thiết là sẽ ” bảo mật thông tin hơn ” một ứng dụng với cấp EAL thấp hơn, vì chúng hoàn toàn có thể có list đặc thù công dụng rất khác nhau trong Security Target. Sự tương thích của loại sản phẩm so với ứng dụng bảo mật thông tin riêng không liên quan gì đến nhau phụ thuộc vào vào phương pháp / mức độ mà những đặc thù được liệt kê trong tài liệu Security Target thỏa mãn nhu cầu nhu yếu bảo mật thông tin của ứng dụng. Nếu Security Taget cho hai loại sản phẩm đều chứa những đặc thù bảo mật thông tin thiết yếu, cấp EAL cao hơn chứng tỏ mức độ tin cậy cao hơn cho ứng dụng đó .
Cấp độ bảo mật thông tin[sửa|sửa mã nguồn]
EAL1 : Kiểm tra tính năng[sửa|sửa mã nguồn]
EAL2 : Kiểm tra cấu trúc[sửa|sửa mã nguồn]
EAL3 : Kiểm tra phương pháp và lựa chọn[sửa|sửa mã nguồn]
[1]EAL4 : Thiết kế phương pháp, kiểm thử và duyệt lại[sửa|sửa mã nguồn]
EAL5 : Thiết kế chính thức và kiểm thử[sửa|sửa mã nguồn]
EAL5 cho phép nhà phát triển đạt được mức độ đảm bảo tối đa từ công nghệ bảo mật dựa trên thực tiễn được hỗ trợ bởi ứng dụng chuyên về kỹ thuật an ninh. Nhiều khả năng là các chi phí bổ sung do yêu cầu đạt EAL5, liên quan đến phát triển mà không áp dụng các kỹ thuật chuyên ngành sẽ không lớn. Do đó EAL5 được áp dụng trong những trường hợp mà các nhà phát triển hoặc người sử dụng đòi hỏi một mức độ bảo mật cao mà không phát sinh chi phí bất hợp lý do các chuyên gia kỹ thuật kỹ thuật an ninh.
Rất nhiều thiết bị thẻ mưu trí đã được nhìn nhận đạt mức EAL5. Ví dụ thiết bị đa bảo đảm an toàn như Tenix tương tác link. XTS – 400 là một mạng lưới hệ thống điều hành quản lý đa năng đã được mức EAL5 nâng cao .
LPAR trên hệ thống IBM cũng đạt EAL5
EAL6 : Thiết kế việc kiểm tra chính thức và kiểm thử[sửa|sửa mã nguồn]
EAL6 cho phép lập trình viên đạt đuọc mức độ bảo hiểm cao từ các kỹ thuật bảo mật trong môi trường phát triển nghiêm ngặt nhằm đạt được mục tiêu bảo mật cao trong việc bảo vệ trước các rủi ro lớn. EAL6 vì vậy được áp dụng cho các ứng dụng trong mồi trường có nguy cơ cao nơi mà giá trị của việc bảo mật cao hơn là các chi phí phát sinh.
Phần mềm Greeen Hill Intergrity – 178B RTOS đã đạt được chứng từ loại này .
EAL7 : Chính thức kiểm tra phong cách thiết kế và kiểm thử[sửa|sửa mã nguồn]
Fox-IT claim to have certified their one-way data communications device known as the ” Fox Data Diode ” at EAL7 +. [ 14 ] EAL7 được vận dụng cho việc tăng trưởng bảo mật thông tin cho những ứng dụng mà đương đầu với nguy cơ cực kỳ cao và / hoặc gia tài, giá trị rất cao. Ứng dụng thực tiễn của EAL7 hiện số lượng giới hạn tiềm năng nhìn nhận ( TOE – Target of evaluate ) với việc đặt trọng tâm vào bảo mật thông tin tính năng được nghiên cứu và phân tích trên diện rộng. Liên kết tài liệu trên những thiết bị Diode Tenix và tài liệu Fox Diode đạt được EAL7 tăng cường
Thực thi Lever bảo mật thông tin[sửa|sửa mã nguồn]
Ảnh hưởng tới giá và thời hạn[sửa|sửa mã nguồn]
Yêu cầu lan rộng ra / tăng cáp EAL[sửa|sửa mã nguồn]
Giải thích EAL[sửa|sửa mã nguồn]
Liên kết ngoài[sửa|sửa mã nguồn]
Bản mẫu : Sơ khai chứng từ công nghệ thông tin
