|
|
L'EAL5 (vedi tabella 4.5) fornisce sicurezza tramite l'analisi delle funzioni di sicurezza, usando una documentazione d'uso funzionale completa, specifica per l'interfaccia, il progetto ad alto e a basso livello del TOE e a tutta l'implementazione, al fine di comprendere il comportamento di sicurezza. La sicurezza è inoltre raggiunta tramite un modello formale di politica di sicurezza per il TOE, una presentazione semiformale delle specifiche funzionali, ad un alto livello di progetto e una dimostrazione semiformale delle corrispondenze tra essi. É necessario anche un progetto di un TOE modulare.
L'analisi è supportata da un test indipendente delle funzioni di sicurezza del TOE; dai risultati dei test basati sulle specifiche funzionali eseguiti dallo sviluppatore e sul progetto ad alto e a basso livello; dalla conferma selettiva, eseguita in modo indipendente, dei risultati dei test dello sviluppatore; dalla robustezza delle funzioni di analisi; dai risultati delle ricerche per le vulnerabilià più note effettuate dallo sviluppatore e da un'analisi indipendente delle vulnerabilità che dimostri la resistenza alle penetrazione degli attaccanti usando un moderato potenziale di attacco. L'analisi include inoltre la convalida delle analisi dello sviluppatore dei canali nascosti
L'EAL5 inoltre fornisce sicurezza tramite l'uso di controlli sull'ambiente di sviluppo, un'esauriente gestione della configurazione del TOE, includendo l'automazione e i risultati delle procedure di messa in sicurezza.
Questo livello rappresenta un notevole incremento nella sicurezza rispetto all'EAL4 richiedendo una descrizione semi formale del progetto, l'intera implementazione, una più strutturata (e quindi analizzabile) architettura, l'analisi dei canali nascosti e più severi meccanismi e/o procedure che confermino che il TOE non è stato compromesso durante lo sviluppo o la consegna. (messa in produzione)
| Assurance Class | Assurance components |
|---|---|
| 340mmConfiguration management | ACM_AUT.1 Partial CM automation |
| ACM_CAP.4 Generation support and acceptance | |
| procedure | |
| ACM_SCP.3 Development tools CM coverage | |
| 240mmDelivery and operation | ADO_DEL.2 Detections of modification |
| ADO_IGS.1 Installation, generation and start-up procedures | |
| 740mmDevelopment | ADV_FSP.3 Semiformal functional specification |
| ADV_HLD.3 Semiformal high-level design | |
| ADV_IMP.2 Implementation of the TSF | |
| ADV_INT.1 Modularity | |
| ADV_LLD.1 Descriptive low-level design | |
| ADV_RCR.2 Semiformal correspondence demonstration | |
| ADV_SPM.3 Formal TOE security policy model | |
| 240mmGuidance documents | AGD_ADM.1 Administrator guidance |
| AGD_USR.1 User guidance | |
| 340mmLife cycle support | ALC_DVS.1 Identification of security measures |
| ALC_LCD.2 Standardised life-cycle model | |
| ALC_TAT.2 Compliance with implementation standards | |
| 440mmTests | ATE_COV.2 Analysis of coverage |
| ATE_DPT.2 Testing: low-level design | |
| ATE_FUN.1 Functional testing | |
| ATE_IND.2 Indipendent testing - sample | |
| 540mmVulnerability assessment | AVA_CCA.1 Covert channel analysis |
| AVA_MSU.2 Validation of analysis | |
| AVA_SOF.1 Strenght of TOE security evaluation | |
| AVA_VLA.3 Moderatly resistant |