개요
CASA 보증 등급은 애플리케이션이 CASA 요구사항을 준수한다는 보증 수준을 기반으로 애플리케이션의 보안을 분류하는 방법입니다. 보증 등급이 높을수록 애플리케이션이 필수 CASA 컨트롤을 구현했다는 신뢰도가 높아집니다.
모든 등급에서 모든 요구사항을 충족해야 하며, 등급 간의 유일한 차이점은 적용되는 평가 방법입니다. CASA 보증 등급은 애플리케이션의 보안을 객관적으로 평가하는 방법을 제공합니다. 보증 등급이 높을수록 애플리케이션이 CASA 제어를 구현했다는 신뢰도가 높아집니다.
등급
| 등급 | 이름 | 예상 실습 시간 | 설명 |
|
3
|
실험실 테스트 - 실험실 검증 | 60 | 평가가 진행되는 동안 공인 실험 기관에서 모든 CASA 요구사항을 테스트하고 검증합니다. 이는 애플리케이션, 애플리케이션 배포 인프라, 모든 사용자 데이터 저장 위치가 모든 CASA 요구사항을 준수하는지 테스트하는 포괄적인 평가입니다 (해당하는 경우). |
|
2
|
실험실 테스트 - 실험실 검증 | 4 | Tier 2에는 개발자가 공인 연구 기관 중 한 곳에 연락하여 Tier 2 평가를 완료할 수 있는 실험실 테스트 및 검증된 보증 수준이 있습니다. 아래의 평가 절차를 참고하세요. |
| 개발자 테스트 - 실험실 확인 | 1 | 이 평가 중에 애플리케이션 개발자는 CASA 권장 검사 도구를 사용하여 애플리케이션을 검사하고 검사 결과를 ADA에 제공하여 검증을 받습니다. | |
|
1
|
개발자 테스트 - 개발자 확인 | 0 | 자가 평가 등급은 검증되지 않으므로 보증 수준이 아닙니다. 이 등급은 개발자가 CASA 평가를 위한 애플리케이션 준비 상태를 이해할 수 있도록 하는 데 사용됩니다. |
보증
| 등급 | 애플리케이션 | 배포 인프라 | 데이터 스토리지 | 유효성 검사 |
| Tier 2 (개발자 테스트 - 실험실 확인) | 개발자 테스트 완료 | 개발자 증명 | 개발자 증명 | 공인 연구 기관 확인됨 |
| Tier 2 (실험실 테스트 - 실험실 검증) | 공인 연구 기관 테스트 | 개발자 증명 | 개발자 증명 | 공인 연구 기관 확인됨 |
| 3등급 (실험실 테스트 - 실험실 검증) | 공인 연구 기관 테스트 | 공인 연구 기관 테스트 | 공인 연구 기관 테스트 | 공인 연구 기관 확인됨 |
등급 계산
프레임워크 사용자 (Google 등)가 애플리케이션 개발자가 아닌 등급을 계산하고 결정합니다. CASA에서는 애플리케이션에 필요한 보증 등급을 계산하기 위해 다음 매개변수를 권장합니다.
-
애플리케이션이 액세스하는 데이터의 민감도 각 데이터 유형에는 등급 계산에 영향을 미치는 위험 가중치가 부여될 수 있습니다.
-
액세스한 데이터 유형별 사용자 수
-
회사 위험 허용 범위 수준입니다.
-
외부 및 내부 위험 지표
재인증 요구사항
모든 애플리케이션은 매년 재검증해야 합니다. 애플리케이션 등급이 더 높은 등급으로 올라갈 수 있습니다.
