[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2005 ml@sikurezza.org Soggetto: Re: [ml] (senza oggetto) Mittente: Paolo Ottolino Data: Fri, 29 Jul 2005 10:54:36 +0200 (CEST)
> ho sentito parlare delle EAL, dovrebbero rimpiazzare le TSEC e le ITSEC, > qualcuno di voi le conosce? Gli EAL sta per Evaluation Assurance Level e misurano la "sicurezza" dei prodotti secondo Common Criteria, divenuto ISO 15408, (cfr. http://www.commoncriteriaportal.org/), standard successivo a TCSEC (Orange Book), sviluppato negli USA, orientato agli ambienti militari, il primo che fa menzione di concetti quali il Mandatory Access Control, Trusted Computing Base, e ITSEC, sviluppato in Europa, con l'intento di fornire una metodologia anche per gli ambienti civili Gli EAL del CC sono 7, da EAL1 a EAL7 (cfr. http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=1&displayPage=13) e sono confrontabili con gli analoghi livelli di TCSEC (denominati D, C1, C2, B1, B2, B3, A) e ITSEC (in cui i livelli sono duplici per Functionality F1-F10 e Assurance E0-E6) (cfr. http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=1&displayPage=12) > Ci sono gia dei riscontri per queste EAL nelle normative di sicurezza / > security guidelines / etc etc ? Assolutamente si'... In Italia, qualora si lavori in ambito militare, e' necessario che i prodotti utilizzati abbiano un determinato livello, in dipendenza dalla criticita' del sistema (calcolata mediante Analisi del Rischio basata su PCM-ANS/TI002, che di solito da' sempre un livello ITSEC E2...:-)) Ovviamente se si lavora in un Multilevel System, occorre che il sistema implementi il MAC, attraverso label, etc Lo standard che deve essere usato dai Centri di Valutazione (CeVa) e' stato per molto tempo il solo ITSEC, benche' ora sia possibile (Decreto del Presidente del Consiglio dei Ministri, 11/4/2002) usare anche il CC, anzi credo che l'intento della Autorita' Nazionale della SIcurezza sia di "migrare" su CC, utilizzando a regime sempre questa metodologia di valutazione. Ovviamente, anche qualora non si lavori per ambienti militari, utilizzare un prodotto con piu' elevato EAL, significa avere garanzia di migliore sicurezza (e.g. assenza di Covert Channel, migliore implementazione del Trusted Computing Base, etc) Per una lista dei prodotti commerciali valutati (fino al livello EAL4): http://niap.nist.gov/cc-scheme/vpl/vpl_type.html saluti -- Paolo Ottolino CCSE OPST CISSP-ISSAP ---------------------------------------------- Senior Security Consultant paolo.ottolino@xxxxxxxxx http://www.8linux.org
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005