Red Hat Enterprise Linux 4 byl vyhodnocen podle CC na EAL 4+ (profil CAPP)

23. 2. 2006

Red Hat Enterprise Linux 4 prošel hodnocením podle bezpečnostního standardu Common Criteria. Byl hodnocen proti profilu CAPP (Controlled Access Protection Profile Compliance). Dosažena byla úroveň EAL 4+ a to na 6 platformách: IBM xSeries, eServer BladeCenter, zSeries, iSeries, pSeries a Opteron based systems.

Domnívám se, že na základě připojení České republiky k dohodě CCRA (uznávání certifikátů udělených podle CC) již nic nebrání tomu, aby bylo možné tento produkt používat v informačních systémech podléhajících certifikaci v souladu se zákonem č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti.

Samozřejmě musí být při jeho použití dodržena bezpečnostní konfigurace z hodnotitelské zprávy a musí být splněny závazné požadavky stanovené zákonem o ochraně utajovaných informací a o bezpečnostní způsobilosti a jeho prováděcími předpisy.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

23. 2. 2006 14:21

Fletcher (neregistrovaný)

Zdravim,
co přesně znamená ono "+" v hodnocení ? Přijde mi to jako takový typicky marketingový trik. CC pokud vím, definují sedm úrovní (EAL1 až EAL7), ale nikde se nepíše nic o jakýchsi mezistupních. Znamená tedy "+", že kromě splnění všech požadavků kladených na EAL4 jsou splněny i některé z EAL5 ? Pokud ano, je někde definováno, co to "+" přesně obsahuje ?.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
23. 2. 2006 14:59

bez přezdívky

Každý ochranný profil (Protection Profile) je konkretizací dokumentu Common Criteria pro nějaký typ bezpečnostních podmínek na nějaké objekty (např. SW, HW pro el.podpis). Ochranný profil se opírá tedy o CC, ale navíc je dále rozpracovává ve vztahu ke konkretní bezpečnostní problematice. Znaménko + je často využíváno a značí určité zpřísnění dané úrovně (pro daný cíl je EAL 4 málo, EAL5 zase moc). Pro konkrétní význam znaménka + je třeba se podívat na jeho význam do příslušného ochranného profilu - zde CAPP (Controlled Access Protection Profile Compliance).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
23. 2. 2006 17:01

Fletcher (neregistrovaný)

Děkuji za vysvětlení,
měl bych ještě jeden dotaz. Na http://www.commoncriteriaportal.org/public/consumer/index.php?menu=5 je v seznamu PP uveden CCAP ve verzi 1.d z roku 1999 s úrovní zabezpečení EAL3. Jak tedy může být nějaký produkt certifikovaný na EAL4+, když úroveň zabezpečení daného PP je pouze EAL3 ?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
23. 2. 2006 17:02

Fletcher (neregistrovaný)

ten profil má být samozřejmě CAPP.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
23. 2. 2006 19:10

bez přezdívky

Je jediné vysvětlení, existuje novější verze tohoto profilu, která umožňuje hodnocení na EAL 4+.
Ale nepomohu vám s jejím vyhledáním, navíc nemusí být ani veřejná. Chtělo by se to podívat na příslušný certifikační report, zase ovšem jestli je nebo bude k dispozici.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
23. 2. 2006 21:10

bez přezdívky

Podívejte se také na diskusi na Schneierově blogu:
http://www.schneier.com/blog/archives/2005/12/microsoft_windo.html
k obdobné certifikaci Windows, myslím, že tu najdete řadu zajímavých postřehů.
Jinak operační systémy nejsou zrovna moje parketa a jejich hodnocení asi přeci jen je trochu i šamanství a víra (známá teze - každý i jednoduchý program má v sobě nějakou chybu a operační systém je program trošku komplikovanější...). Na druhou stranu - proces hodnocení má v sobě obsaženu potenciál řadu věci upravit tak, aby definované požadavky byly naplněny a potom zhodnotit výsledek. Tj. produkt, který prošel procesem hodnocení by měl být na tom lépe než produkt nehodnocený a to i přesto, že hodnocení nemůže být stoprocentní.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
24. 2. 2006 12:32

Fletcher (neregistrovaný)

Díky, kouknu.
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Sdílet

Autor zprávičky

anonymní

Nálepky:

Red Hat Enterprise Linux 4 byl vyhodnocen podle CC na EAL 4+ (profil CAPP)

Sdílet

Autor zprávičky

anonymní

Nálepky:

Dále u nás najdete

Melta změnila recepturu i barvu a je jednodušší na přípravu

Jak se vypořádat s koncem rodných čísel v občankách?

Na starém penzijku jste za 10 let prodělali 20 %

Sedimentace červených krvinek ukazuje zánět. Čím se liší od CRP?

Změny DPH jsou bizár, Stanjura chce asi překonat Babišovo pivo

ABBYY FineReader rozdává licence zdarma!

Zájem byl o sex i léčbu posedlosti. Rady lékaře Sušruty dnes pobaví

Vzpomínáte na Blackberry? Je tu počítač Beepberry!

Stát přispívá 50 000 korun na IT kurz

Škoda 706 RO: stroj pro pamětníky

Novinky z Windows, které by vás neměly minout: Zálohování

Na dohody o provedení práce se chystá bič. Brigádníci se prodraží

Sedimentace červených krvinek ukazuje zánět. Čím se liší od CRP?

Kotvičník zemní zlepšuje potenci, posiluje srdce a pomáhá hubnutí

Lidl prodlužuje otevírací dobu. Někde až do 23 hodin

Dlouhodobé potíže po covidu? Úlevu může přinést homeopatie

Pět nastavení Windows 11, která stojí za to hned změnit

Věřitelé zkrachovalého e-shopu Mamut.cz chtěli najmout detektivy

Transakce s kryptoměnami se budou hlásit daňovým úřadům

Globus otevřel 16. prodejnu, má vlastní pekárnu i řeznictví