El nivel de garantía de evaluación ( EAL1 a EAL7 ) de un producto o sistema de TI es una calificación numérica asignada tras la finalización de una evaluación de seguridad de Common Criteria , una norma internacional vigente desde 1999. Los niveles de garantía crecientes reflejan requisitos de garantía adicionales que se deben cumplir para lograr la certificación de Common Criteria. La intención de los niveles más altos es brindar una mayor confianza en que las principales características de seguridad del sistema se implementan de manera confiable. El nivel EAL no mide la seguridad del sistema en sí, simplemente indica en qué nivel se probó el sistema.
Para lograr un EAL en particular, el sistema informático debe cumplir con requisitos de garantía específicos . La mayoría de estos requisitos implican documentación de diseño, análisis de diseño, pruebas funcionales o pruebas de penetración. Los EAL más altos implican documentación, análisis y pruebas más detallados que los más bajos. Obtener una certificación EAL más alta generalmente cuesta más dinero y lleva más tiempo que obtener una más baja. El número EAL asignado a un sistema certificado indica que el sistema completó todos los requisitos para ese nivel.
Aunque todos los productos y sistemas deben cumplir los mismos requisitos de seguridad para alcanzar un nivel determinado, no tienen por qué cumplir los mismos requisitos funcionales . Las características funcionales de cada producto certificado se establecen en el documento de objetivos de seguridad diseñado para la evaluación de ese producto. Por lo tanto, un producto con un EAL más alto no es necesariamente "más seguro" en una aplicación particular que uno con un EAL más bajo, ya que pueden tener listas muy diferentes de características funcionales en sus objetivos de seguridad. La idoneidad de un producto para una aplicación de seguridad particular depende de lo bien que las características enumeradas en el objetivo de seguridad del producto cumplan con los requisitos de seguridad de la aplicación. Si los objetivos de seguridad de dos productos contienen las características de seguridad necesarias, entonces el EAL más alto debería indicar el producto más confiable para esa aplicación.
La evaluación EAL1 es aplicable cuando se requiere cierta confianza en el funcionamiento correcto, pero las amenazas a la seguridad no se consideran graves. Será de utilidad cuando se requiera una garantía independiente para respaldar la afirmación de que se ha tenido el debido cuidado con respecto a la protección de información personal o similar. La evaluación EAL1 proporciona una evaluación del TOE (Objetivo de la evaluación) tal como se pone a disposición del cliente, que incluye pruebas independientes en relación con una especificación y un examen de la documentación de orientación proporcionada. Se pretende que una evaluación EAL1 pueda llevarse a cabo con éxito sin la asistencia del desarrollador del TOE y por un costo mínimo. Una evaluación a este nivel debe proporcionar evidencia de que el TOE funciona de manera coherente con su documentación y que proporciona una protección útil contra las amenazas identificadas.
La EAL2 requiere la cooperación del desarrollador en términos de entrega de información de diseño y resultados de pruebas, pero no debería exigir más esfuerzo por parte del desarrollador que el que es consistente con las buenas prácticas comerciales. Como tal, no debería requerir una inversión sustancialmente mayor de costos o tiempo. Por lo tanto, la EAL2 es aplicable en aquellas circunstancias en las que los desarrolladores o usuarios requieren un nivel bajo a moderado de seguridad garantizada de forma independiente en ausencia de una disponibilidad inmediata del registro de desarrollo completo. Tal situación puede surgir al proteger sistemas heredados.
EAL3 permite a un desarrollador concienzudo obtener la máxima garantía de una ingeniería de seguridad positiva en la etapa de diseño sin alterar sustancialmente las prácticas de desarrollo existentes. EAL3 es aplicable en aquellas circunstancias en las que los desarrolladores o usuarios requieren un nivel moderado de seguridad garantizada de forma independiente y requieren una investigación exhaustiva del TOE y su desarrollo sin una reingeniería sustancial.
EAL4 permite a un desarrollador obtener la máxima garantía de una ingeniería de seguridad positiva basada en buenas prácticas de desarrollo comercial que, aunque rigurosas, no requieren conocimientos, habilidades y otros recursos especializados sustanciales. EAL4 es el nivel más alto en el que es probable que sea económicamente factible realizar una modernización de una línea de productos existente. Por lo tanto, EAL4 es aplicable en aquellas circunstancias en las que los desarrolladores o usuarios requieren un nivel moderado a alto de seguridad garantizada de forma independiente en TOE de productos básicos convencionales y están preparados para incurrir en costos adicionales de ingeniería específicos de seguridad.
Los sistemas operativos comerciales que proporcionan funciones de seguridad convencionales basadas en el usuario se evalúan normalmente en EAL4. Algunos ejemplos con certificado vencido son AIX , [1] HP-UX , [1] Oracle Linux , NetWare , Solaris , [1] SUSE Linux Enterprise Server 9 , [1] [2] SUSE Linux Enterprise Server 10 , [3] Red Hat Enterprise Linux 5 , [4] [5] Windows 2000 Service Pack 3, Windows 2003 , [1] [6] Windows XP , [1] [6] Windows Vista , [7] [8] Windows 7 , [1] [9] Windows Server 2008 R2 , [1] [9] z/OS versión 2.1 y z/VM versión 6.3. [1]
Los sistemas operativos que proporcionan seguridad multinivel se evalúan con un mínimo de EAL4. Entre los ejemplos con certificado activo se incluyen SUSE Linux Enterprise Server 15 (EAL 4+). [10] Entre los ejemplos con certificado vencido se incluyen Trusted Solaris , Solaris 10 Release 11/06 Trusted Extensions , [11] una versión anterior de XTS-400 , VMware ESXi versión 4.1, [12] 3.5, 4.0, AIX 4.3, AIX 5L, AIX 6, AIX7, Red Hat 6.2 y SUSE Linux Enterprise Server 11 (EAL 4+). vSphere 5.5 Update 2 no alcanzó el nivel EAL4+, era un EAL2+ y se certificó el 30 de junio de 2015.
EAL5 permite a un desarrollador obtener la máxima garantía de ingeniería de seguridad basada en prácticas de desarrollo comercial rigurosas respaldadas por una aplicación moderada de técnicas de ingeniería de seguridad especializadas. Es probable que un TOE de este tipo se diseñe y desarrolle con la intención de lograr la garantía EAL5. Es probable que los costos adicionales atribuibles a los requisitos EAL5, en relación con el desarrollo riguroso sin la aplicación de técnicas especializadas, no sean grandes. Por lo tanto, EAL5 es aplicable en aquellas circunstancias en las que los desarrolladores o usuarios requieren un alto nivel de seguridad garantizada de forma independiente en un desarrollo planificado y requieren un enfoque de desarrollo riguroso sin incurrir en costos irrazonables atribuibles a técnicas de ingeniería de seguridad especializadas.
Se han evaluado numerosos dispositivos de tarjetas inteligentes en EAL5, así como dispositivos seguros de múltiples niveles como Tenix Interactive Link. XTS-400 (STOP 6) es un sistema operativo de propósito general que se ha evaluado en EAL5 ampliado.
LPAR en IBM System z tiene certificación EAL5. [13]
EAL6 permite a los desarrolladores obtener una alta seguridad a partir de la aplicación de técnicas de ingeniería de seguridad en un entorno de desarrollo riguroso con el fin de producir un TOE de primera calidad para proteger activos de alto valor contra riesgos significativos. Por lo tanto, EAL6 es aplicable al desarrollo de TOE de seguridad para su aplicación en situaciones de alto riesgo donde el valor de los activos protegidos justifica los costos adicionales.
El RTOS INTEGRITY-178B de Green Hills Software ha sido certificado según EAL6 aumentado. [1]
EAL7 es aplicable al desarrollo de TOE de seguridad para su aplicación en situaciones de riesgo extremadamente alto y/o donde el alto valor de los activos justifica los mayores costos.
La aplicación práctica de EAL7 se limita actualmente a los TOE con una funcionalidad de seguridad muy específica que se pueda analizar formalmente en profundidad. El sistema operativo ProvenCore, desarrollado por ProvenRun, ha sido certificado según EAL7 en 2019 por la ANSSI . [14] El dispositivo de diodo de datos de enlace interactivo Tenix y el diodo de datos Fox-IT (dispositivo de comunicación de datos unidireccional) afirman haber sido evaluados según EAL7 aumentado (EAL7+). [15]
En términos técnicos, un EAL más alto no significa nada más ni menos que la evaluación cumplió con un conjunto más estricto de requisitos de control de calidad. A menudo se supone que un sistema que logra un EAL más alto proporcionará sus características de seguridad de manera más confiable (y el análisis y las pruebas de terceros requeridos realizados por expertos en seguridad son evidencia razonable en este sentido), pero hay poca o ninguna evidencia publicada que respalde esa suposición.
En 2006, la Oficina de Responsabilidad del Gobierno de los Estados Unidos publicó un informe sobre las evaluaciones de Criterios Comunes que resumía una variedad de costos y cronogramas informados para las evaluaciones realizadas en los niveles EAL2 a EAL4.
A mediados y finales de los años 90, los proveedores informaron haber gastado entre un millón de dólares y hasta dos millones y medio de dólares en evaluaciones comparables a EAL4. No se han publicado informes sobre el coste de las distintas evaluaciones de seguridad de Microsoft Windows .
En algunos casos, la evaluación puede ampliarse para incluir requisitos de garantía más allá del mínimo requerido para un EAL en particular. Oficialmente, esto se indica al seguir el número de EAL con la palabra " aumentado " y, por lo general, con una lista de códigos para indicar los requisitos adicionales. Como abreviatura, los proveedores a menudo simplemente agregarán un signo "más" (como en EAL4+ ) para indicar los requisitos ampliados.
Los estándares Common Criteria denotan los EAL como se muestra en este artículo: el prefijo "EAL" concatenado con un dígito del 1 al 7 (ejemplos: EAL1, EAL3, EAL5). En la práctica, algunos países colocan un espacio entre el prefijo y el dígito (EAL 1, EAL 3, EAL 5). El uso de un signo más para indicar un aumento es una abreviatura informal utilizada por los proveedores de productos (EAL4+ o EAL 4+).