Was ist Evaluation Assurance Level (EAL)?
Evaluation Assurance Level (EAL) ist eine Graduierungsskala, die verwendet wird, um das Ausmaß der Vertrauenswürdigkeit von IT-Produkten insbesondere Software und IT-Systemen im Kontext der IT-Sicherheit zu bewerten.
Diese EAL-Skala ist Teil der Common Criteria (CC), eines internationalen Standards (ISO/IEC 15408) für die Bewertung der Sicherheit und Vertrauenswürdigkeit von Informationstechnologie. Die EAL-Stufen reichen von EAL1 bis EAL7.
Wozu gibt es die EAL-Klassifikation?
Diese EAL-Klassifikationen stellen eine differenzierte und strukturierte Methode dar, um das Maß an Vertrauen zu bestimmen, das in die Sicherheitsfunktionen eines IT-Produkts oder -Systems gesetzt werden kann. Sie dienen als Maßstab für die Tiefe und Qualität der Bewertung, wobei jeder Level eine bestimmte Anforderung an die Sicherheitsüberprüfung und -validierung stellt.
Die EALs reichen von EAL1, dem niedrigsten Niveau, das eine grundlegende Überprüfung der Sicherheitsfunktionen bietet, bis hin zu EAL7, dem höchsten Niveau, das eine umfassende Überprüfung und formale Verifikation der Sicherheitsarchitektur eines Produkts umfasst. Die Auswahl des richtigen EAL hängt von den spezifischen Sicherheitsanforderungen, dem vorgesehenen Einsatz und den Risikobewertungen ab, die mit dem Produkt oder System verbunden sind.
Jede EAL-Stufe umfasst spezifische Kriterien und Überprüfungsstandards, die von unabhängigen Prüfstellen angewendet werden, um die Konformität des Produkts oder Systems mit den festgelegten Sicherheitsanforderungen zu gewährleisten. Dabei wird nicht nur die Funktionalität, sondern auch die Effektivität und Robustheit der Sicherheitsmaßnahmen bewertet. Die EALs spielen eine entscheidende Rolle bei der Förderung des Vertrauens in IT-Produkte und Systeme, insbesondere in Umgebungen, in denen Sicherheit von größter Bedeutung ist.
Welche EAL-Stufen gibt es?
EAL1 – Funktionell getestet
Diese Stufe bietet eine grundlegende Form der Sicherheitsüberprüfung. Sie wird in der Regel für geringe Sicherheitsrisiken verwendet und erfordert keine spezifischen Entwurfsdokumente.
EAL2 – Strukturell getestet
Hier wird etwas mehr Sicherheit geboten. Der Hersteller muss spezifische Entwurfsanforderungen erfüllen und das Produkt wird unabhängig getestet.
EAL3 – Methodisch getestet und ueberprueft
Diese Stufe erfordert eine systematische Sicherheitsüberprüfung. Es wird eine moderate Sicherheit geboten und ein unabhängiges Sicherheitstestteam überprüft das Produkt.
EAL4 – Methodisch entworfen, getestet und ueberprueft
EAL4 ist die höchste Stufe, die normalerweise für kommerziell verfügbare Produkte erreicht wird. Sie bietet eine gründliche Sicherheitsbewertung und eine hohe Unabhängigkeit der Überprüfung.
EAL5 – Semiformell entworfen und getestet
Diese Stufe wird für Produkte verwendet, die ein höheres Maß an Sicherheit erfordern. Sie erfordert spezielle Sicherheitsmaßnahmen im Entwurfsprozess und eine detaillierte Überprüfung.
EAL6 – Semiformell verifiziertes Design und getestet
EAL6 ist für Produkte vorgesehen, die ein hohes Maß an Schutz gegen gezielte Angriffe benötigen. Der Entwurfsprozess unterliegt strengen Überprüfungen und Analysen.
EAL7 – Formell verifiziertes Design und getestet
Diese Stufe bietet die höchstmögliche Sicherheit. Sie wird für extrem hohe Risiken verwendet und erfordert eine formale Verifikation der Sicherheitsaspekte des Produkts.
Die Auswahl des geeigneten EAL hängt von den spezifischen Sicherheitsanforderungen und dem Risikokontext ab, in dem das IT-Produkt oder -System verwendet wird. Es ist wichtig zu beachten, dass ein höherer EAL nicht unbedingt bedeutet, dass ein Produkt “sicherer” ist; es bedeutet vielmehr, dass das Produkt gründlicher und mit strengeren Methoden bewertet wurde.
Die Grundlage der IT-Sicherheitsbewertung: EALs verstehen
Die Evaluation Assurance Levels (EAL) bilden das Rückgrat des Common Criteria-Standards (ISO/IEC 15408) und dienen als entscheidender Maßstab zur Bewertung der Sicherheitsfunktionen von IT-Produkten und -Systemen. Jeder Level reflektiert eine spezifische Anforderung an die Qualität und Tiefe der Sicherheitsüberprüfung.
Von Grundlegend bis Fortgeschritten: Die EAL-Skala
Die EAL-Skala beginnt bei EAL1, dem niedrigsten Niveau, das grundlegende Sicherheitsüberprüfungen bietet, und erstreckt sich bis zu EAL7, dem höchsten Niveau, das eine umfassende und formale Überprüfung der Sicherheitsarchitektur beinhaltet. Diese Skalierung ermöglicht eine differenzierte Bewertung abhängig von den spezifischen Sicherheitsanforderungen und Risikoeinschätzungen.
Unabhaengige Ueberpruefung fuer Vertrauenswuerdigkeit
Ein zentraler Aspekt der EALs ist die Rolle unabhängiger Prüfstellen, die die Einhaltung der festgelegten Sicherheitsstandards sicherstellen. Diese Überprüfungen bewerten nicht nur die Funktionalität, sondern auch die Effektivität und Robustheit der implementierten Sicherheitsmaßnahmen.
EALs im Kontext der Risikobewertung
Die Wahl des geeigneten EALs wird stark von der vorgesehenen Verwendung des IT-Produkts oder -Systems und der damit verbundenen Risikobewertung beeinflusst. Hierbei spielen die EALs eine entscheidende Rolle, um das Vertrauen in die Sicherheit, insbesondere in hochsensiblen Bereichen, zu stärken.
Praxisnahe Tipps & Empfehlungen zur Digitalen Transformation
- Sie wollen wissen, wie Sie die IT Sicherheit in Ihrer Organisation effektiv verbessern?
- Sie wünschen sich Unterstützung um alle Stakeholder effektiv einzubinden?
- Wie können Sie agile Methodik effektiv in ihre bestehende Festpreisprojekte integrieren, ohne die Budgetkontrolle zu verlieren?
- Welche Strategien sind wirksam, um mit dem inhärenten Risiko von Anforderungsänderungen in agilen Festpreisprojekten umzugehen?
- Wie lässt sich eine agile Unternehmenskultur etablieren, die sowohl die Agilität als auch die Vorhersehbarkeit von Festpreisvereinbarungen unterstützt?
Bei diesen Fragen und vielen weiteren relevanten Themen bringt Sie dieses Buch zum Ziel: Digitale Transformation mit Large-Scale Agile Frameworks, das sind praxisnahe Vorgehensmodelle und direkt nutzbare Empfehlungen basierend auf realer Projekterfahrungen unzähliger IT-Projekte.
- Sie erfahren, wie Sie klar definierte Ziele zur digitaler Transformation Ihrer Organisation definieren und damit aktiv den Wechsel in agile Arbeitsweisen gestalten.
- Relevante Rollen, Funktionen und Prozesse für Ihre Organisation werden anschaulich erläutert.
- Agile Vorgehensmodelle, Konzepte und grundlegende Begriffe
- Software Releases und effektives Release Management
- Die Bedeutung agiler Prozesse und der Large-Scale Agile Frameworks wird Schritt für Schritt detailliert dargestellt.
- Wie Sie ein Large-Scale Agile Framework anpassen und in ihrer Organisation einführen
- Einflussfaktoren des Cloud-Trends und der Virtualisierung
- Softwarearchitektur und IT-Security als integraler Bestandteil agiler Praxis
- Design Thinking & Prototyping effektiv nutzen!
- Agile Infrastruktur und agile Tools
- pragmatische Software Architektur Dokumentation
- DevOps Methoden und DevOps Tools
- ISO / IEC 25010 – Kriterien zur Qualität von Software
- Datenqualität – Lebenselixier der Digitalisierung