Обзор
Уровни безопасности CASA — это способ классификации безопасности приложения на основе уровня гарантии его соответствия требованиям CASA. Чем выше уровень гарантии, тем выше уверенность в том, что приложение реализует требуемые меры безопасности CASA.
Все требования должны быть выполнены для каждого уровня. Единственное различие между уровнями заключается в применяемом методе оценки. Уровни гарантии CASA позволяют объективно оценить безопасность приложения. Чем выше уровень гарантии, тем выше уверенность в том, что приложение использует средства контроля CASA.
Ярусы
| Уровень | Имя | Расчетное количество часов работы лаборатории | Описание |
3 | Протестировано в лаборатории — проверено в лаборатории | 60 | В ходе этой оценки авторизованная лаборатория проверит и подтвердит все требования CASA. Это комплексная оценка, в ходе которой приложение, инфраструктура его развертывания и любое место хранения пользовательских данных будут проверены на соответствие всем требованиям CASA (при необходимости). |
2 | Протестировано в лаборатории — проверено в лаборатории | 4 | Уровень 2 включает в себя проверенный и подтверждённый лабораторными испытаниями уровень гарантии, при котором разработчики могут обратиться в одну из авторизованных лабораторий для прохождения оценки уровня 2. Процесс оценки см. ниже. |
| Протестировано разработчиком — проверено в лаборатории | 1 | В ходе этой оценки разработчик приложения сканирует свое приложение, используя рекомендуемые CASA инструменты сканирования, и предоставляет результаты сканирования в ADA для проверки. | |
1 | Протестировано разработчиком — проверено разработчиком | 0 | Уровень самооценки не является уровнем гарантии, поскольку не подлежит валидации. Этот уровень позволяет разработчику оценить готовность своего приложения к оценке CASA. |
Гарантия
| Уровень | Приложение | Инфраструктура развертывания | Хранение данных | Проверка |
| Уровень 2 (протестировано разработчиком — проверено в лаборатории) | Протестировано разработчиком | Аттестация разработчика | Аттестация разработчика | Проверено авторизованной лабораторией |
| Уровень 2 (лабораторно протестировано — лабораторно проверено) | Протестировано в авторизованной лаборатории | Аттестация разработчика | Аттестация разработчика | Проверено авторизованной лабораторией |
| Уровень 3 (лабораторно протестировано — лабораторно проверено) | Протестировано в авторизованной лаборатории | Протестировано в авторизованной лаборатории | Протестировано в авторизованной лаборатории | Проверено авторизованной лабораторией |
Расчет уровней
Уровни рассчитываются и определяются пользователями фреймворка (Google и т.д.), а не разработчиками приложений. CASA рекомендует использовать следующие параметры для расчета требуемого уровня гарантии приложения:
Конфиденциальность данных, к которым обращается приложение. Каждому типу данных может быть присвоен весовой коэффициент риска, влияющий на расчёт уровня.
Количество пользователей по типу полученных данных.
Уровень толерантности компании к риску.
Внешние и внутренние индикаторы риска.
Требования к повторной валидации
Все заявки должны проходить повторную проверку каждый год. Уровень заявки может быть повышен до более высокого.
