Обзор
Уровни гарантии CASA — это способ классификации безопасности приложения на основе уровня гарантии того, что приложение соответствует требованиям CASA. Чем выше уровень гарантии, тем выше уверенность в том, что приложение реализовало требуемые элементы управления CASA.
Все требования должны быть выполнены для каждого уровня, единственная разница между каждым уровнем заключается в применяемом методе оценки. Уровни гарантии CASA предоставляют способ объективной оценки безопасности приложения. Чем выше уровень гарантии, тем выше уверенность в том, что приложение реализовало элементы управления CASA.
Уровни
| Уровень | Имя | Расчетное время работы лаборатории | Описание |
3 | Протестировано в лаборатории - проверено в лаборатории | 60 | Во время этой оценки уполномоченная лаборатория проверит и подтвердит все требования CASA. Это комплексная оценка, которая проверяет приложение, инфраструктуру развертывания приложения и любое место хранения пользовательских данных на соответствие всем требованиям CASA (если применимо). |
2 | Протестировано в лаборатории - проверено в лаборатории | 4 | Уровень 2 имеет лабораторно протестированный и подтвержденный уровень гарантии, на котором разработчики могут связаться с одной из авторизованных лабораторий для прохождения оценки уровня 2. См. процесс оценки ниже. |
| Протестировано разработчиком — проверено лабораторией | 1 | Во время этой оценки разработчик приложения сканирует свое приложение, используя инструменты сканирования, рекомендованные CASA, и предоставляет результат сканирования в ADA для проверки. | |
1 | Протестировано разработчиком — проверено разработчиком | 0 | Уровень самооценки не является уровнем гарантии, поскольку он не проверяется. Этот уровень используется, чтобы позволить разработчику понять готовность своего приложения к оценке CASA. |
гарантия
| Уровень | Приложение | Инфраструктура развертывания | Хранилище данных | Проверка |
| Уровень 2 (протестировано разработчиком — проверено в лаборатории) | Протестировано разработчиком | Аттестация разработчиков | Аттестация разработчиков | Проверено авторизованной лабораторией |
| Уровень 2 (протестировано в лаборатории — проверено в лаборатории) | Проверено в авторизованной лаборатории | Аттестация разработчиков | Аттестация разработчиков | Проверено авторизованной лабораторией |
| Уровень 3 (протестировано в лаборатории — проверено в лаборатории) | Проверено в авторизованной лаборатории | Проверено в авторизованной лаборатории | Проверено в авторизованной лаборатории | Проверено авторизованной лабораторией |
Расчет уровней
Пользователи фреймворка (Google и т. д.), а не разработчик приложения, рассчитывают и определяют уровни. CASA рекомендует следующие параметры для расчета требуемого приложения уровня гарантии:
Конфиденциальность данных, к которым обращается приложение. Каждому типу данных может быть присвоен весовой коэффициент риска, чтобы повлиять на расчет уровня.
Количество пользователей для каждого типа данных, к которым осуществляется доступ.
Уровень толерантности к риску компании.
Внешние и внутренние индикаторы риска.
Требования к повторной проверке
Все приложения должны проходить повторную проверку каждый год. Уровень приложения может повышаться до более высокого уровня.
