An approach to determine the Evaluation Assurance Level to the system based on the results of risk analysis

This paper presents an approach to determine the Evaluation Assurance Level (EAL) for IT systems based on risk analysis results with the use of common methods, such as CRAMM, OCTAVE or MEHARI. The main goal of the work was the analysis of mutual influence of strength of function and vulnerability taking into account the classification of common vulnerabilities. The attack potential factors were also determined as elements broadening the knowledge bases included in Mehari method. The correctness of discussed method has been verified on the example of CA computer network.

W artykule przedstawiano sposób wyznaczania poziomu uzasadnionego zaufania do systemu (EAL) w oparciu o wyniki analizy ryzyka z wykorzystaniem dostępnych na rynku metod analizy ryzyka, jak CRAMM, OCTAVE czy MEHARI. Głównym celem pracy była analiza wzajemnego wpływu siły funkcji zabezpieczeń, potencjał ataku, oraz komponenty procesu analizy podatności z uwzględnieniem klasyfikacji powszechnie występujących słabości systemów informatycznych. Określono również czynniki potencjału ataku jako elementy rozszerzające bazę wiedzy zawartą w metodzie Mehari. Prawidłowość omawianego sposobu zweryfikowano na podstawie przykładowego sieciowego urzędu certyfikującego (dwusegmentowa sieć CA). Otrzymane wyniki wykazały, że przy minimalnych zmianach w bazie wiedzy Mehari możliwe jest wykonanie szczegółowej oceny badanej przykładowej infrastruktury klucza publicznego oraz w przybliżeniu można wyznaczyć jej poziom uzasadnionego zaufania zgodnie z wymaganiami wspólnych kryteriów (Common Criteria ISO/IEC 15408).