Übersicht
CASA-Sicherheitsstufen dienen dazu, die Sicherheit einer Anwendung anhand des Maßes an Sicherheit zu klassifizieren, dass die Anwendung den CASA-Anforderungen entspricht. Je höher die Sicherheitsstufe, desto höher die Wahrscheinlichkeit, dass die erforderlichen CASA-Kontrollen in der Anwendung implementiert wurden.
Alle Anforderungen müssen für jede Stufe erfüllt sein. Der einzige Unterschied zwischen den einzelnen Stufen ist die anwendbare Bewertungsmethode. CASA-Sicherheitsstufen bieten eine Möglichkeit, die Sicherheit einer Anwendung objektiv zu bewerten. Je höher die Sicherheitsstufe, desto höher die Wahrscheinlichkeit, dass die CASA-Kontrollen in der Anwendung implementiert wurden.
Ebenen
| Stufe | Name | Geschätzte Lab-Stunden | Beschreibung |
|
3
|
Im Labor getestet – Im Labor geprüft | 60 | Bei dieser Prüfung testet und validiert das autorisierte Labor alle CASA-Anforderungen. Dies ist eine umfassende Bewertung, bei der die Anwendung, die Infrastruktur für die Bereitstellung der Anwendung und alle Speicherorte für Nutzerdaten auf die Einhaltung aller CASA-Anforderungen (sofern zutreffend) geprüft werden. |
|
2
|
Im Labor getestet – Im Labor geprüft | 4 | Tier 2 hat ein im Labor getestetes und validiertes Sicherheitsniveau. Entwickler können sich dafür entscheiden, eines der autorisierten Labore zu kontaktieren, um eine Tier 2-Bewertung durchführen zu lassen. Weitere Informationen finden Sie unten im Abschnitt „Bewertungsprozess“. |
| Vom Entwickler getestet – im Labor verifiziert | 1 | Bei dieser Bewertung scannt der Anwendungsentwickler seine Anwendung mit den von CASA empfohlenen Scanning-Tools und stellt der ADA das Scanergebnis zur Validierung zur Verfügung. | |
|
1
|
Vom Entwickler getestet – Vom Entwickler bestätigt | 0 | Die Selbsteinstufung ist kein Assurance-Level, da sie nicht validiert wird. Mit dieser Stufe kann der Entwickler die Bereitschaft seiner Anwendung für die CASA-Prüfung ermitteln. |
Sicherheit
| Stufe | Anwendung | Bereitstellungsinfrastruktur | Datenspeicherung | Validierung |
| Tier 2 (vom Entwickler getestet – im Labor bestätigt) | Vom Entwickler getestet | Entwicklerbestätigung | Entwicklerbestätigung | Von autorisiertem Labor bestätigt |
| Tier 2 (im Labor getestet – im Labor verifiziert) | Von autorisiertem Labor getestet | Entwicklerbestätigung | Entwicklerbestätigung | Von autorisiertem Labor bestätigt |
| Tier 3 (im Labor getestet – im Labor verifiziert) | Von autorisiertem Labor getestet | Von autorisiertem Labor getestet | Von autorisiertem Labor getestet | Von autorisiertem Labor bestätigt |
Berechnung der Ebenen
Die Stufen werden von den Framework-Nutzern (Google usw.) und nicht vom Anwendungsentwickler berechnet und festgelegt. CASA empfiehlt die folgenden Parameter, um das erforderliche Sicherheitsniveau für die Anwendung zu berechnen:
-
Die Vertraulichkeit der Daten, auf die die Anwendung zugreift. Jedem Datentyp kann ein Risikogewicht zugewiesen werden, das sich auf die Berechnung der Stufe auswirkt.
-
Die Anzahl der Nutzer pro Art der abgerufenen Daten.
-
Die Risikotoleranz des Unternehmens.
-
Externe und interne Risikoindikatoren.
Anforderungen an die Neuüberprüfung
Alle Anträge müssen jedes Jahr neu validiert werden. Die Anwendungsebene kann auf eine höhere Ebene angehoben werden.
