개요
CASA 보증 등급은 애플리케이션이 CASA 요구사항을 준수한다는 보증 수준을 기준으로 애플리케이션의 보안을 분류하는 방법입니다. 보증 등급이 높을수록 애플리케이션에서 필요한 CASA 제어를 구현했다는 확신이 높아집니다.
모든 등급의 모든 요구사항이 충족되어야 합니다. 등급 간의 유일한 차이점은 적용되는 평가 방법입니다. CASA 보증 등급은 애플리케이션의 보안을 객관적으로 평가하는 방법을 제공합니다. 보증 등급이 높을수록 애플리케이션에서 CASA 컨트롤을 구현했다는 신뢰도가 높습니다.
계층
| 등급 | 이름 | 예상 실습 시간 | 설명 |
|
3
|
실습 테스트됨 - 실습 확인됨 | 60 | 이 평가 과정에서 승인된 실습은 모든 CASA 요구사항을 테스트하고 검증합니다. 애플리케이션, 애플리케이션 배포 인프라, 모든 사용자 데이터 스토리지 위치를 테스트하여 모든 CASA 요구사항 (해당하는 경우)을 준수하는지 확인하는 종합 평가입니다. |
|
2
|
실습 테스트됨 - 실습 확인됨 | 4 | 등급 2에는 개발자가 승인된 실습 중 하나에 연락하여 등급 2 평가를 완료할 수 있도록 허용하는 실습 테스트 및 검증된 보증 수준이 있습니다. 아래의 평가 절차를 참고하세요. |
| 개발자 테스트 - 실습 확인됨 | 1 | 이 평가 중에 애플리케이션 개발자는 CASA 권장 스캔 도구를 사용하여 애플리케이션을 스캔하고 ADA에 검사 결과를 제공하여 검증합니다. | |
|
1
|
개발자 테스트 - 개발자 인증 | 0 | 자체 평가 등급은 검증되지 않았으므로 보증 수준이 아닙니다. 이 등급은 개발자가 CASA 평가를 위한 애플리케이션 준비 상태를 파악할 수 있도록 하는 데 사용됩니다. |
보증
| 등급 | 애플리케이션 | 배포 인프라 | 데이터 스토리지 | 검증 |
| Tier 2 (개발자 테스트 - 실습 인증) | 개발자 테스트 | 개발자 증명 | 개발자 증명 | 인증된 실습 |
| Tier 2 (실습 테스트 - 실습 확인됨) | 공인 실습 테스트됨 | 개발자 증명 | 개발자 증명 | 인증된 실습 |
| Tier 3 (실습 테스트 - 실습 확인됨) | 공인 실습 테스트됨 | 공인 실습 테스트됨 | 공인 실습 테스트됨 | 인증된 실습 |
등급 계산
애플리케이션 개발자가 아닌 프레임워크 사용자 (Google..등)가 등급을 계산하고 결정합니다. CASA에서는 애플리케이션에 필요한 보증 등급을 계산하기 위해 다음 매개변수를 권장합니다.
-
애플리케이션이 액세스하는 데이터의 민감도입니다. 각 데이터 유형에는 등급 계산에 영향을 주는 위험 가중치가 부여될 수 있습니다.
-
액세스한 데이터 유형별로 사용자 수입니다.
-
회사 위험 허용 범위입니다.
-
외부 및 내부 위험 지표
재검증 요구사항
모든 신청서는 매년 재검증되어야 합니다. 애플리케이션 등급은 상위 등급으로 증가할 수 있습니다.
