home *** CD-ROM | disk | FTP | other *** search
/ Peanuts NeXT Software Archives / Peanuts-1.iso / CDROM / FAQs / Security / evaluations < prev    next >
Encoding:
Internet Message Format  |  1996-10-17  |  61.0 KB
  1. Path: informatik.tu-muenchen.de!lrz-muenchen.de!uni-erlangen.de!cs.tu-berlin.de!newscaster-1.mcast.net!news.mathworks.com!bloom-beacon.mit.edu!senator-bedfellow.mit.edu!faqserv
  2. From: Trusted Product Evaluation Program <TPEP@dockmaster.ncsc.mil>
  3. Newsgroups: comp.security.misc,comp.security.unix,comp.answers,news.answers
  4. Subject: Computer Security Evaluation FAQ, Version 2.1
  5. Supersedes: <computer-security/evaluations_842859583@rtfm.mit.edu>
  6. Followup-To: poster
  7. Date: 16 Oct 1996 16:38:11 GMT
  8. Organization: Trusted Product Evaluation Program
  9. Lines: 1148
  10. Approved: news-answers-request@MIT.EDU
  11. Expires: 29 Nov 1996 16:25:18 GMT
  12. Message-ID: <computer-security/evaluations_845483118@rtfm.mit.edu>
  13. Reply-To: TPEP@dockmaster.ncsc.mil
  14. NNTP-Posting-Host: bloom-picayune.mit.edu
  15. X-Last-Updated: 1996/08/13
  16. Originator: faqserv@bloom-picayune.MIT.EDU
  17. Xref: informatik.tu-muenchen.de comp.security.misc:34243 comp.security.unix:33232 comp.answers:21736 news.answers:84323
  18.  
  19. Posting-Frequency: monthly
  20. Archive-name: computer-security/evaluations
  21.  
  22. The Computer Security Evaluation Frequently Answered Questions (V2.1)
  23.  
  24. This FAQ is designed to answer common questions about the evaluation of
  25. trusted products.  It is being posted to comp.security.misc
  26. comp.security.unix, comp.answers and news.answers.  We have attempted to be as
  27. clear, precise, accurate, and correct as possible.  Some answers are
  28. undoubtedly closer to this ideal than others.  Comments on the FAQ may be sent
  29. to TPEP@dockmaster.ncsc.mil.  The current official version of this FAQ may be
  30. found at <http://www.radium.ncsc.mil/tpep/process/faq.html>.
  31.  
  32. ----------
  33.  
  34. Subject: Contents
  35.  
  36. Section I: The Trusted Product Evaluation Program (TPEP)
  37.   1. What is the National Computer Security Center (NCSC)?
  38.   2. What is TPEP?
  39.   3. How is TPEP related to the National Security Agency (NSA)?
  40.   4. How is TPEP related to the National Institute of Standards
  41.      and Technology (NIST)?
  42.   5. How do I contact the TPEP?
  43.   6. What is the TTAP?
  44.   7. What is Dockmaster?
  45.   8. Why doesn't TPEP have a WWW server on Dockmaster?
  46. Section II: Criteria
  47.   1. What is the criteria used for evaluation?
  48.   2. What is the TCSEC?
  49.   3. What is the Orange Book?
  50.   4. What are interpretations?
  51.   5. What is the Interpreted TCSEC (ITCSEC)?
  52.   6. What is the ITSEC (as opposed to the ITCSEC)?
  53.   7. What is the CTCPEC?
  54.   8. What is the Common Criteria?
  55.   9. What is the TNI?
  56.  10. What is the TDI?
  57.  11. What is the Rainbow Series?
  58.  12. What are Process Action Team (PAT) Guidance Working Group (PGWG)
  59.      documents?
  60.  13. Is there a criteria for commercial (as opposed to military) systems?
  61.  14. What is the Federal Criteria?
  62.  15. What are the CMWREQs and the CMWEC?
  63. Section III: Criteria Concepts
  64.   1. What are security features?
  65.   2. What is assurance?
  66.   3. What is a division?
  67.   4. What is a class?
  68.   5. What is a network component?
  69.   6. What is a Network Security Architecture Design (NSAD) document?
  70.   7. How do I interpret a rating?
  71.   8. The TCSEC is 10 years old, doesn't that mean it's outdated?
  72.   9. How do the TCSEC and its interpretations apply to routers and
  73.      firewalls?
  74.  10. Does a trusted system require custom hardware?
  75.  11. What are the requirements for a D/C1/C2/B1/B2/B3/A1 system?
  76. Section IV: Evaluations
  77.   1. How do I get my product evaluated?
  78.   2. What is the evaluation process?
  79.   3. How long does an evaluation take?
  80.   4. How much does an evaluation cost?
  81.   5. How do I find out about the evaluation process?
  82.   6. Who actually performs the evaluations?
  83.   7. What information is released about an evaluated product?
  84.   8. What is RAMP?
  85. Section V: Evaluated Products
  86.   1. Should I buy an evaluated product?
  87.   2. Does NSA buy/use evaluated products?
  88.   3. How do I know if a product is evaluated?
  89.   4. What does it mean for a product to be "in evaluation"?
  90.   5. What does it mean for a product to be "compliant" with the TCSEC?
  91.   6. What and where is the Evaluated Products List (EPL)?
  92.   7. How do I get a copy of an evaluation report?
  93.   8. Is an evaluated product "hacker proof?"
  94.   9. What is the rating of DOS?
  95.  10. What is the rating of UNIX?
  96.  11. What should I do if evaluated Product X appears to fail a requirement?
  97.  12. Why should I buy a B2/B3/A1 product over a C2/B1 product?
  98.  13. Is there an approved program to declassify my hard drive?
  99.  
  100. ----------
  101.  
  102. Subject: Section I: The Trusted Product Evaluation Program (TPEP)
  103.  
  104.   1. What is the National Computer Security Center (NCSC)?
  105.  
  106.           The Department of Defense Computer Security Center was
  107.           established in 1981 to encourage the widespread availability of
  108.           trusted computer systems for use by facilities processing
  109.           classified or other sensitive information.  In August 1985 the
  110.           name of the organization was changed to the National Computer
  111.           Security Center (NCSC).  The NCSC may be reached at:
  112.  
  113.               National Computer Security Center
  114.               9800 SAVAGE ROAD
  115.               FT MEADE MD 20755-6000
  116.  
  117.           or by phone at (410) 859-4376.
  118.  
  119.   2. What is TPEP?
  120.  
  121.           The Trusted Product Evaluation Program (TPEP) is the program by
  122.           which the NCSC evaluates computer systems against security
  123.           criteria.  The Trusted Product Evaluation Program (TPEP) is
  124.           operated by an organization separate from the National Computer
  125.           Security Center (NCSC).  The TPEP performs computer security
  126.           evaluations for, and on behalf of, the NCSC.
  127.  
  128.   3. How is TPEP related to the National Security Agency (NSA)?
  129.  
  130.           Both the Trusted Product Evaluation Program (TPEP) and the
  131.           National Computer Security Center (NCSC) are organizational
  132.           units within the National Security Agency (NSA).  The TPEP and
  133.           NCSC are two of a number of organizational units within the NSA
  134.           responsible for the information system security mission with
  135.           respect to classified and sensitive data (see
  136.           <http://www.nsa.gov:8080/>).
  137.  
  138.   4. How is TPEP related to the National Institute of Standards
  139.      and Technology (NIST)?
  140.  
  141.           In Public Law 100-235 congress directed the National Security
  142.           Agency (NSA), of which the Trusted Product Evaluation Program
  143.           (TPEP) is a part, to lead the efforts of the United States
  144.           Government in information systems security for classified
  145.           information.  The National Institute of Standards and Technology
  146.           (NIST) as part of the Department of Commerce is directed to
  147.           lead the efforts for sensitive but unclassified information
  148.           with technical support from the NSA.  The NSA and NIST have
  149.           established a Memorandum of Understanding detailing the
  150.           responsibilities of each organization with respect to the other
  151.           in this area.  While NSA and NIST each have individual efforts,
  152.           the agencies attempt to develop methods and standards that are
  153.           compatible.  (see <http://csrc.ncsl.nist.gov/>)
  154.           
  155.   5. How do I contact the TPEP?
  156.  
  157.           The Trusted Product Evaluation Program can be reached by mail at
  158.  
  159.              V24, TRUSTED PRODUCT EVALUATION PROGRAM
  160.              NATIONAL SECURITY AGENCY
  161.              9800 SAVAGE ROAD STE 6753
  162.              FT MEAD MD 20755-6753
  163.           
  164.           or by phone at (410) 859-4458.
  165.           
  166.   6. What is the TTAP?
  167.  
  168.           The Trust Technology Assessment Program (TTAP) is a joint
  169.           National Security Agency (NSA) and National Institute of
  170.           Standards and Technology (NIST) effort to commercialize the
  171.           evaluation of commercial-off-the-shelf (COTS) products at the
  172.           lower levels of trust.  Under the auspice of the National
  173.           Voluntary Laboratory Accreditation Program (NVLAP), TTAP will
  174.           establish, accredit and oversee commercial evaluation
  175.           laboratories focusing initially on products with features and
  176.           assurances characterized by the Trusted Computer System
  177.           Evaluation Criteria (TCSEC) B1 and lower levels of trust
  178.           (see Section II, Question 2 and Section III, Question 4).
  179.           Vendors desiring a level of trust evaluation will contract with
  180.           an accredited laboratory and pay a fee for their product's
  181.           evaluation. (see <http://csrc.ncsl.nist.gov/ttap/>)
  182.  
  183.           TTAP approval and oversight mechanisms will assure continued
  184.           quality and fairness.  Using the NVLAP model of standardized
  185.           testing and analysis procedures, TTAP will strive to achieve
  186.           mutual recognition of evaluations with other nations.  The
  187.           European Community evaluations are performed under the purview
  188.           of national test standardization bodies associated with NVLAP.
  189.  
  190.           The TTAP is being established with a planned transition from
  191.           TCSEC based evaluations to Common Criteria based evaluations
  192.           (see Section II, Question 8).  The implementation of the Common
  193.           Criteria will occur upon acceptance of the Common Criteria and
  194.           the Common Evaluation Methodology, which is in the process of
  195.           being developed.
  196.  
  197.   7. What is Dockmaster?
  198.  
  199.           Dockmaster, or more precisely dockmaster.ncsc.mil, is an
  200.           unclassified computer system used by the Trusted Product
  201.           Evaluation Program (TPEP) to exchange information between
  202.           product evaluators, vendors, and others within the computer
  203.           system security community.  Dockmaster is based on the
  204.           B2-evaluated Honeywell MULTICS product.  This is a very old
  205.           platform, and efforts are underway to replace Dockmaster with a
  206.           more current product.  In addition to use by the TPEP and the
  207.           NCSC, dockmaster provides service to the information security
  208.           community through electronic mail, bulletin boards, and forums
  209.           for the exchange of ideas.  Online access to the INFOSEC Product
  210.           and Services Catalogue is available.  Information is provided
  211.           about training courses and scheduled INFOSEC conferences.
  212.  
  213.           To register for an account, write to:
  214.  
  215.               Attn: Dockmaster Accounts Administrator
  216.               National Computer Security Center
  217.               9800 SAVAGE ROAD
  218.               FT MEADE MD 20755-6000
  219.  
  220.   8. Why doesn't TPEP have a WWW server on Dockmaster?
  221.  
  222.           Many desirable network access features are not available in the
  223.           MULTICS operating system used by Dockmaster.  As the system is
  224.           upgraded, it is anticipated that it will support some of these
  225.           features.  The TPEP WWW server is available at
  226.           <http://www.radium.ncsc.mil/tpep/>.
  227.           
  228. ----------
  229.  
  230. Subject: Section II: Criteria
  231.  
  232.   1. What is the criteria used for evaluation?
  233.  
  234.           The criteria currently used by the Trusted Product Evaluation
  235.           Program (TPEP) to grade the security offered by a product is
  236.           the Trusted Computer System Evaluation Criteria (TCSEC), dated
  237.           1985 (see Section II, Question 2)
  238.  
  239.   2. What is the TCSEC?
  240.  
  241.           The Trusted Computer System Evaluation Criteria (TCSEC) is a
  242.           collection of criteria used to grade or rate the security
  243.           offered by a computer system product.  The TCSEC is sometimes
  244.           referred to as "the Orange Book" because of its orange cover.
  245.           The current version is dated 1985 (DOD 5200.28-STD, Library No.
  246.           S225,711)  The TCSEC, its interpretations and guidelines all
  247.           have different color covers, and are sometimes known as the
  248.           "Rainbow Series" (see Section II, Question 11.) It is available at
  249.           <http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html>
  250.  
  251.   3. What is the Orange Book?
  252.  
  253.           See Section II, Question 2.
  254.  
  255.   4. What are interpretations?
  256.  
  257.           It is often the case that there are several ways to read a
  258.           given statement in the Trusted Computer System Evaluation
  259.           Criteria (TCSEC).  Interpretations are official statements
  260.           articulating which of a number of possible ways to read the
  261.           requirement are the acceptable ways for purposes of evaluation
  262.           by the TPEP.  Interpretations are developed by an group of
  263.           highly experienced product evaluators.  These interpretations
  264.           in proposed form are available for comment by all users of
  265.           Dockmaster (see Section 1, Question 6) including vendors with
  266.           products in evaluation.  After considering the comments and
  267.           revising the interpretation as appropriate (sometime through
  268.           several rounds of comments and revision) the interpretation is
  269.           accepted by the TPEP and officially announced.
  270.  
  271.   5. What is the Interpreted TCSEC (ITCSEC)?
  272.  
  273.           The Interpreted Trusted Computer System Evaluation Criteria
  274.           (ITCSEC) is a version of the TCSEC maintained by the Trusted
  275.           Product Evaluation Program (TPEP) that annotates the TCSEC
  276.           requirements with all current interpretations.  It is available
  277.           in postscript from
  278.           <http://www.radium.ncsc.mil/tpep/library/tpep/ITCSEC.ps>.
  279.  
  280.   6. What is the ITSEC (as opposed to the ITCSEC)?
  281.  
  282.           The Information Technology Security Evaluation Criteria (ITSEC)
  283.           is a European-developed criteria filling a role roughly
  284.           equivalent to the TCSEC.  While the ITSEC and TCSEC have many
  285.           similar requirements, there are some important distinctions.
  286.           The ITSEC places increased emphasis on integrity and
  287.           availability, and attempts to provide a uniform approach to the
  288.           evaluation of both products and systems.  The ITSEC also
  289.           introduces a distinction between doing the right job
  290.           (effectiveness) and doing the job right (correctness).  In so
  291.           doing, the ITSEC allows less restricted collections of
  292.           requirements for a system at the expense of more complex and
  293.           less comparable ratings and the need for effectiveness analysis
  294.           of the features claimed for the evaluation.  The question of
  295.           whether the ITSEC or TCSEC is the better approach is the
  296.           subject of sometimes intense debate.  The ITSEC is available in
  297.           postscript at
  298.           <http://www.radium.ncsc.mil/tpep/library/non-US/ITSEC-1.2.html>.
  299.  
  300.           On 21 August 1995, The National Institute of Standards and
  301.           Technology (NIST) released a draft National Computer Systems
  302.           Laboratoty (NCSL) Bulletin.  This draft bulletin adresses the
  303.           relationship of low assurance products evaluated under the
  304.           TCSEC, ITSEC, and CTCPEC.  In the case of the ITSEC, it is
  305.           recommended that if an appropriate C2 rated product is not
  306.           available, that ITSEC rated FC2/E2 products be used.
  307.  
  308.   7. What is the CTCPEC?
  309.  
  310.           The Canadian Trusted Computer Product Evaluation Criteria is
  311.           the Canadian equivalent of the TCSEC.  It is somewhat more
  312.           flexible than the TCSEC (along the lines of the ITSEC) while
  313.           maintaining fairly close compatibility with individual TCSEC
  314.           requirements.  The CTCPEC is available at
  315.           <http://www.cse.dnd.ca/Services/Criteria/English/Criteria.html>.
  316.  
  317.           On 21 August 1995, The National Institute of Standards and
  318.           Technology (NIST) released a draft National Computer Systems
  319.           Laboratoty (NCSL) Bulletin.  This draft bulletin adresses the
  320.           relationship of low assurance products evaluated under the
  321.           TCSEC, ITSEC, and CTCPEC.  In the case of the CTCPEC, it is
  322.           recommended that if an appropriate C2 rated product is not
  323.           available, that CTCPEC products rated with a C2 functionality
  324.           profile and T1 assurance be used.
  325.  
  326.   8. What is the Common Criteria?
  327.  
  328.           The Common Criteria (CC) occasionally (and somewhat
  329.           incorrectly) referred to as the Harmonized Criteria, is a
  330.           multinational effort to write a successor to the TCSEC and
  331.           ITSEC that combines the best aspects of both.  An initial
  332.           version (V 1.0) was released in January of 1996.  The CC has
  333.           a structure closer to the ITSEC than the TCSEC and includes
  334.           the concept of a "profile" to collect requirements into easily
  335.           specified and compared sets.  The TPEP is actively working to
  336.           develop profiles and an evaluation process for the CC.  We
  337.           anticipate beginning several trial CC evaluations late in
  338.           calendar year 1996. It is available in postscript from
  339.           <http://www.radium.ncsc.mil/tpep/library/ccitse/>
  340.  
  341.   9. What is the TNI?
  342.  
  343.           The Trusted Network Interpretation (TNI) of the TCSEC, also
  344.           referred to as "The Red Book," is a restating of the
  345.           requirements of the TCSEC in a network context.  Evaluations of
  346.           the type of systems (sometimes called distributed or
  347.           homogeneous) described by Part I are often evaluated directly
  348.           against the TCSEC without reference to the TNI.  TNI component
  349.           evaluations are evaluations performed against Appendix A of the
  350.           TNI.  (see Section III, Question 5)  It is available in at
  351.           <http://www.radium.ncsc.mil/tpep/library/rainbow/NCSC-TG-005.html>.
  352.  
  353.   10. What is the TDI?
  354.  
  355.           The Trusted Database Interpretation (TDI) of the TCSEC is
  356.           similar to the Trusted Network Interpretation (TNI) in that it
  357.           decomposes a system into independently evaluatable components.
  358.           It differs from the TNI in that the paradigm for this
  359.           decomposition is the evaluation of an application (e.g.,
  360.           database) running on an already evaluated system.  The Trusted
  361.           Product Evaluation Program (TPEP) has to date only evaluated
  362.           databases using this interpretation.  In principle arbitrary
  363.           trusted applications could be evaluated.  It is available at
  364.           <http://www.radium.ncsc.mil/tpep/library/rainbow/NCSC-TG-021.html>.
  365.  
  366.  11. What is the Rainbow Series?
  367.  
  368.           The "Rainbow Series" is the name given to the collection of
  369.           interpretation documents (e.g., TNI and TDI) and guidance
  370.           documents (e.g., Guide to understanding MAC, Password
  371.           Guidelines) published by the National Computer Security Center
  372.           (NCSC).  Each document has a different color cover, thus the
  373.           name "Rainbow Series."  The guidelines of the rainbow series,
  374.           are designed to expand on, and clarify, the requirements in the
  375.           Trusted Computer System Evaluation Criteria (TCSEC).  They are,
  376.           however, only guidance.  The words of the requirements and
  377.           interpretations are used as the metric for evaluation, not the
  378.           guidelines.  A single copy of every rainbow series
  379.           document is available without charge to U.S. addresses
  380.           by writing to:
  381.  
  382.               INFOSEC AWARENESS, ATTN: Y13/IAOC
  383.               DEPARTMENT OF DEFENSE
  384.               9800 SAVAGE ROAD
  385.               FT MEADE MD 20755-6000
  386.  
  387.           or by calling (410) 766-8729.  Additional copies may be
  388.           obtained from the Government Printing Office.  The Trusted
  389.           Computer System Evaluation Criteria (TCSEC) and most of the
  390.           other rainbow series documents are available at
  391.           <http://www.radium.ncsc.mil/tpep/library/rainbow/>.
  392.  
  393.  12. What are Process Action Team (PAT) Guidance Working Group (PGWG)
  394.      documents?
  395.  
  396.           The PGWG (often pronounced pig-wig) documents are also known
  397.           as the Form and Content documents.  These documents are
  398.           published directly by the Trusted Product Evaluation Program
  399.           (TPEP) and are designed to provide guidance to vendors
  400.           submitting products for evaluation.  This guidance is not
  401.           security or requirements guidance in the Rainbow Series style.
  402.           Rather, these documents provide rules used by the TPEP in
  403.           accepting products into evaluation to ensure that the
  404.           information provided to the evaluation team is in a state that
  405.           is most conducive to a expeditious and trouble-free
  406.           evaluation.  The document discussing design documentation is
  407.           available in postscript at
  408.           <http://www.radium.ncsc.mil/tpep/library/process_documents/PATdesign.ps>.
  409.           The document discussing test documentation is available in
  410.           postscript from
  411.           <http://www.radium.ncsc.mil/tpep/library/process_documents/PATtest.ps>.
  412.  
  413.  13. Is there a criteria for commercial (as opposed to military) systems?
  414.  
  415.           The Trusted Product Evaluation Program (TPEP) is prohibited by
  416.           the Computer Security Act of 1987 from attempting to directly
  417.           address the needs of commercial systems.  The TPEP does not
  418.           subscribe, however, to the often loudly espoused belief that
  419.           the requirements of military systems are entirely divorced from
  420.           the requirements of commercial systems.  It seems reasonable to
  421.           believe that commercial computer system users require many of
  422.           the same basic features of military systems: identification and
  423.           authentication of the users requesting information or service
  424.           from the system; ability to audit the actions of users; and
  425.           control of access to information, both at the discretion of the
  426.           information owner and by corporate policy.  Because the TCSEC
  427.           couched its requirements in terms of DoD classifications, many
  428.           people have not thought about applying them to similar needs
  429.           for mandatory controls on protected information pertaining to
  430.           product development, marketing, and personnel decisions.  It is
  431.           one of the aims of the Common Criteria to provide criteria that
  432.           use more general terminology.
  433.  
  434.  14. What is the Federal Criteria?
  435.  
  436.           The Federal Criteria was an attempt to develop a criteria to
  437.           replace the Trusted Computer System Evaluation Criteria
  438.           (TCSEC).  A draft version was released for public comment in
  439.           December 1992.  However, this effort was supplanted by the
  440.           Common Criteria effort (see Section II, Question 8), and the
  441.           Federal Criteria never moved beyond the draft stage (although
  442.           many of its ideas are retained in the Common Criteria).  There
  443.           is no FINAL Federal Criteria; the draft should not be treated
  444.           as a final criteria document.  The draft of the Federal
  445.           Criteria is available at <http://hightop.nrl.navy.mil/rainbow.html>.
  446.  
  447.  15. What are the CMWREQs and the CMWEC?
  448.  
  449.           The criteria used by the Defense Intelligence Agency (DIA) to
  450.           rate a product as a Compartmented Mode Workstation (CMW) is the
  451.           Compartmented Mode Workstation Evaluation Criteria (CMWEC),
  452.           which superseded the CMW Requirements (CMWREQs) in 1991. This
  453.           criteria defines a minimum level of assurance equivalent to the
  454.           B1 level of the TCSEC (see Section III, Questions 2-4).  It
  455.           also defines a minimum set of functionality and usability
  456.           features outside the scope of the TCSEC (e.g. a graphical user
  457.           interface via a window system is required along with the
  458.           capability to cut and paste between windows).  Neither set of
  459.           requirements are currently used by the Trusted Product Evaluation
  460.           Program (TPEP) although products that are designed to have these
  461.           features may be evaluated as B1 or higher products.
  462.  
  463.  
  464. ----------
  465.  
  466. Subject: Section III: Criteria Concepts
  467.  
  468.   1. What are security features?
  469.  
  470.           A security feature is a specific implementable function in a
  471.           system which supports some part of the system's security
  472.           policy.  Examples of security features would be access control,
  473.           trusted path, and audit.  The Trusted Computer System
  474.           Evaluation Criteria (TCSEC) (see Section II, Question 1)
  475.           ratings are not designed to express the rating of individual
  476.           features, as are some other criteria.  Rather, each class
  477.           specifies a set of security features that a system must
  478.           implement in order to be rated at that class.  However, many
  479.           evaluations are given "extra credit" in the evaluation results
  480.           for successful implementations of features that are required
  481.           only in a higher overall rating in the criteria.
  482.  
  483.   2. What is assurance?
  484.  
  485.           In the context of the Trusted Computer System Evaluation
  486.           Criteria (TCSEC), assurance coincides with correctness
  487.           assurance.  It is a measure of confidence that the security
  488.           features and architecture of a computer system accurately
  489.           mediate and enforce the system security policy.  The TCSEC's
  490.           assurance-related requirements constrain development methods
  491.           (e.g., configuration management) and software engineering
  492.           practices (e.g., modular code).  Higher evaluation classes
  493.           contain more assurance-promoting requirements and give more
  494.           confidence in correctness.
  495.  
  496.   3. What is a division?
  497.  
  498.           A division is a set of classes (see Question 5) from the
  499.           Trusted Computer System Evaluation Criteria (TCSEC) (see
  500.           Section II, Question 1).  There are 4 divisions A, B, C, and D
  501.           in decreasing order of assurance and features.  Thus, a system
  502.           evaluated at a class in division B has more security features
  503.           and/or a higher confidence that the features work as intended
  504.           than a system evaluated at a class in division C.  Although the
  505.           Computer Security Subsystem Interpretation (CSSI) of the TCSEC
  506.           specifies criteria for various D ratings, these are not
  507.           reflected in the TCSEC itself, which has no requirements for D
  508.           division systems.  An unrated system is, by default, division
  509.           D.
  510.  
  511.   4. What is a class?
  512.  
  513.           A class is the specific collection of requirements in the
  514.           Trusted Computer System Evaluation Criteria (TCSEC) to which an
  515.           evaluated system conforms.  There are seven classes in the
  516.           TCSEC A1, B3, B2, B1, C2, C1, and D, in decreasing order of
  517.           features and assurances.  Thus, a system evaluated at class B3
  518.           has more security features and/or greater confidence that the
  519.           security features work as intended than a system evaluated at
  520.           class B1.  The requirements for a higher class are always a
  521.           superset of the lower class.  Thus a B2 system meets every C2
  522.           functional requirement and has a higher level of assurance.
  523.           
  524.   5. What is a network component?
  525.  
  526.           A "network component" is the target of evaluation for a Trusted
  527.           Network Interpretation (TNI) evaluation (see Section II,
  528.           Question 9) done against appendix A of the TNI.  These
  529.           "network component" evaluations allocate basic requirements
  530.           (Mandatory Access Control (MAC); Discretionary Access Control
  531.           (DAC); Audit; and Identification and Authentication) to
  532.           components of a "network system".  Each component may be
  533.           evaluated in isolation.  The TPEP does evaluate degenerate TNI
  534.           components that independently meet all basic requirements (but
  535.           nevertheless have an interface to other, perhaps identical
  536.           components), but has not evaluated any degenerate TNI component
  537.           that met none of the basic requirements (relying totally on
  538.           other components for the security features).  The TPEP is
  539.           currently developing a more integrated approach to the evaluation
  540.           of TNI components.  The preliminary report of the changes
  541.           envisioned are available in postscript at
  542.           <http://www.radium.ncsc.mil/tpep/library/process_documents/cwg-draft.ps>.
  543.  
  544.   6. What is a Network Security Architecture Design (NSAD) document?
  545.  
  546.           The documentation for a network component (see Section III,
  547.           Question 5) must include a Network Security Architecture Design
  548.           (NSAD) document which describes the security expectations by this
  549.           component about other components.  Each component evaluation
  550.           proceeds under the assumption that the expectations of the NSAD
  551.           are met by the other components.  A collection of components
  552.           designed around the same architecture should interoperate
  553.           securely.
  554.   
  555.   7. How do I interpret a rating?
  556.  
  557.           A product evaluated by the Trusted Product Evaluation Program
  558.           (TPEP) will have one of several styles of ratings.  A product
  559.           evaluated against the Trusted Computer System Evaluation
  560.           Criteria (TCSEC) will have one of the seven class ratings: A1,
  561.           B3, B2, B1, C2, C1, or D (see Section III, Question 4.)  In
  562.           addition a TCSEC evaluated product may be evaluated to have met
  563.           requirements above it's class.  These would be specified
  564.           additionally such as "meets the B1 requirements and the B2
  565.           Trusted Path requirement."  It is very important to note that,
  566.           for example, a B1 evaluated system with B2 trusted path,
  567.           provides significantly less confidence that trusted path is
  568.           implemented correctly than a B2 evaluated system.  That is to
  569.           say that the assurance is always that of the system's rated
  570.           class.
  571.  
  572.           Some systems have been evaluated against the Compartmented Mode
  573.           Workstation (CMW) criteria.  The CMW criteria levies minimum
  574.           features and assurances from the TCSEC as well as additional
  575.           usability criteria (e.g., specifying that the window system must
  576.           manipulate windows at multiple levels in certain ways.)  The
  577.           TPEP has treated these systems as standard TCSEC evaluations
  578.           with additional requirements.  From a security perspective the
  579.           CMW requirements do not preclude a B2 or higher CMW, however,
  580.           to this point all CMW evaluated systems are B1 evaluated with
  581.           additional TCSEC features above the evaluated class.
  582.  
  583.           Another form of rating is a Trusted Network Interpretation
  584.           (TNI) component (see Section III, Question 5) rating.  TNI
  585.           component ratings specify the evaluated class as well as which
  586.           of the four basic security services the evaluated component
  587.           provides.  Thus, a B2-MD component is one that provides both
  588.           Mandatory Access Control (MAC) and Discretionary Access Control
  589.           (DAC).  A B1-MDIA component is one that provides MAC, DAC,
  590.           Identification and Authentication, and Audit.  Since a B1-MDIA
  591.           component meets all the Trusted Computer System Evaluation
  592.           Criteria (TCSEC) requirements for B1, it is likely that this
  593.           component is also evaluated as a B1 system if it can be used in
  594.           a non-network configuration.
  595.  
  596.           A third form of rating is a Trusted Database Interpretation
  597.           (TDI) rating.  This rating is the same as a TCSEC rating except
  598.           that the rating applies to the composite of the evaluated
  599.           application and each of the listed underlying systems.
  600.  
  601.           Finally, products evaluated against the Computer Security
  602.           Subsystem Interpretation (CSSI) of the TCSEC have been given
  603.           variations of D division (see Question 4) ratings.  These
  604.           appear for example as I&A/D2, Audit/D1, DAC/D3, and OR/D.
  605.           These products all have very low assurance regardless of the
  606.           features.
  607.  
  608.   8. The TCSEC is 10 years old, doesn't that mean it's outdated?
  609.  
  610.           The Trusted Computer System Evaluation Criteria (TCSEC) was
  611.           published in 1985.  While some of the details need
  612.           interpretation for current systems, in general the requirements
  613.           of the TCSEC are at a level of abstraction that has not
  614.           experienced great change.  For the areas where it is becoming
  615.           difficult to use the TCSEC, the Common Criteria (see Section
  616.           II, Question 8) should provide more relevant criteria.
  617.  
  618.   9. How do the TCSEC and its interpretations apply to routers and
  619.      firewalls?
  620.  
  621.           The Trusted Network Interpretation (TNI) of the TCSEC has been
  622.           used to evaluate these types of products.  While there is some
  623.           value to those evaluations it is true that many of the specific
  624.           mechanisms of these products on which one might wish to have an
  625.           evaluator comment are not recognized by the TNI.  It is hoped
  626.           that the Common Criteria (see Section II, Question 8) will be
  627.           able to address these products more directly with, for example,
  628.           an appropriate profile.
  629.  
  630.  10. Does a trusted system require custom hardware?
  631.  
  632.           A system does not require custom hardware to be successfully
  633.           evaluated against the Trusted Computer System Evaluation
  634.           Criteria (TCSEC).  However, an evaluation does consider the
  635.           security of the system hardware as well as software.  For every
  636.           evaluated product, there is an evaluated configuration.  The
  637.           evaluated configuration lists the specific hardware and
  638.           software evaluated.  A given evaluation may require hardware
  639.           with certain security features used by the software, and the
  640.           software may require certain optional features be enabled or
  641.           disabled.  The Final Evaluation Report (FER) (see Section V,
  642.           Question 7) lists the evaluated hardware and software.  The
  643.           Trusted Facility Manual (TFM) for the product will give
  644.           detailed guidance on configuring the hardware and software
  645.           securely.
  646.  
  647.  11. What are the requirements for a D/C1/C2/B1/B2/B3/A1 system?
  648.  
  649.           The Interpreted Trusted Computer System Evaluation Criteria
  650.           (ITCSEC) available in postscript at
  651.           <http://www.radium.ncsc.mil/tpep/library/tcsec/ITCSEC.ps>
  652.           contains the definitive set of requirements for each TCSEC
  653.           class.  In Summary:
  654.  
  655.             Class D: Minimal Protection
  656.  
  657.           Class D is reserved for those systems that have been evaluated
  658.           but that fail to meet the requirements for a higher evaluation
  659.           class.
  660.  
  661.             Class C1: Discretionary Security Protection
  662.  
  663.           The Trusted Computing Base (TCB) of a class C1 system
  664.           nominally satisfies the discretionary security requirements by
  665.           providing separation of users and data.  It incorporates some
  666.           form of credible controls capable of enforcing access
  667.           limitations on an individual basis, i.e., ostensibly suitable
  668.           for allowing users to be able to protect project or private
  669.           information and to keep other users from accidentally reading
  670.           or destroying their data.  The class C1 environment is
  671.           expected to be one of cooperating users processing data at the
  672.           same level of sensitivity.
  673.  
  674.             Class C2: Controlled Access Protection
  675.  
  676.           Systems in this class enforce a more finely grained
  677.           discretionary access control than C1 systems, making users
  678.           individually accountable for their actions through login
  679.           procedures, auditing of security-relevant events, and resource
  680.           isolation.
  681.  
  682.             Class B1: Labeled Security Protection
  683.  
  684.           Class B1 systems require all the features required for class
  685.           C2.  In addition, an informal statement of the security policy
  686.           model, data labeling (e.g., secret or proprietary), and
  687.           mandatory access control over named subjects and objects must
  688.           be present.  The capability must exist for accurately labeling
  689.           exported information.
  690.  
  691.             Class B2: Structured Protection
  692.  
  693.           In class B2 systems, the TCB is based on a clearly defined and
  694.           documented formal security policy model that requires the
  695.           discretionary and mandatory access control enforcement found
  696.           in class B1 systems be extended to all subjects and objects in
  697.           the automated data processing system.  In addition, covert
  698.           channels are addressed.  The TCB must be carefully structured
  699.           into protection-critical and non- protection-critical
  700.           elements.  The TCB interface is well-defined and the TCB
  701.           design and implementation enable it to be subjected to more
  702.           thorough testing and more complete review.  Authentication
  703.           mechanisms are strengthened, trusted facility management is
  704.           provided in the form of support for system administrator and
  705.           operator functions, and stringent configuration management
  706.           controls are imposed.  The system is relatively resistant to
  707.           penetration.
  708.  
  709.             Class B3: Security Domains
  710.  
  711.           The class B3 TCB must satisfy the reference monitor
  712.           requirements that it mediate all accesses of subjects to
  713.           objects, be tamperproof, and be small enough to be subjected
  714.           to analysis and tests.  To this end, the TCB is structured to
  715.           exclude code not essential to security policy enforcement,
  716.           with significant system engineering during TCB design and
  717.           implementation directed toward minimizing its complexity.  A
  718.           security administrator is supported, audit mechanisms are
  719.           expanded to signal security-relevant events, and system
  720.           recovery procedures are required.  The system is highly
  721.           resistant to penetration.
  722.  
  723.             Class A1: Verified Design
  724.  
  725.           Systems in class A1 are functionally equivalent to those in
  726.           class B3 in that no additional architectural features or
  727.           policy requirements are added.  The distinguishing feature of
  728.           systems in this class is the analysis derived from formal
  729.           design specification and verification techniques and the
  730.           resulting high degree of assurance that the TCB is correctly
  731.           implemented.  This assurance is developmental in nature,
  732.           starting with a formal model of the security policy and a
  733.           formal top-level specification (FTLS) of the design.  An FTLS
  734.           is a top level specification of the system written in a
  735.           formal mathematical language to allow theorems (showing the
  736.           coorespondence of the system specification to its formal
  737.           requirements) to be hypothesized and formally proven.  In
  738.           keeping with the extensive design and development analysis of
  739.           the TCB required of systems in class A1, more stringent
  740.           configuration management is required and procedures are
  741.           established for securely distributing the system to sites.  A
  742.           system security administrator is supported.
  743.  
  744. ----------
  745.  
  746. Subject: Section IV: Evaluations
  747.  
  748.   1. How do I get my product evaluated?
  749.  
  750.           Product developers who have a product that they wish to have
  751.           evaluated need to request a proposal package from:
  752.  
  753.               V24, TRUSTED PRODUCT EVALUATION PROGRAM
  754.               NATIONAL SECURITY AGENCY
  755.               9800 SAVAGE ROAD STE 6740
  756.               FT MEADE MD 20755-6740
  757.  
  758.           The ultimate proposal for product evaluation will include
  759.           technical and marketing details for the product.  Because the
  760.           Trusted Product Evaluation Program (TPEP) is legislatively
  761.           prohibited from directly evaluating products that are not
  762.           intended to protect classified information, the proposal
  763.           marketing information should include details about the market
  764.           potential within the United States Department of Defense and
  765.           intelligence communities.  Additionally, the TPEP in general
  766.           does not accept products targeting the C1 and below evaluation
  767.           classes, as these are usually inappropriate for processing any
  768.           classified information.  TPEP currently accepts for evaluation
  769.           at the C2 and higher levels, networked systems which meet the
  770.           market and technical criteria.  The product technical details
  771.           will include descriptions of the product's documentation and how
  772.           that documentation's structure compares to that required by the
  773.           PGWG documents (see Section II, Question 11).  Finally, the
  774.           proposed configuration of the product should be a configuration
  775.           likely to be used by the described potential market.
  776.  
  777.   2. What is the evaluation process?
  778.  
  779.           The evaluation process is described in detail at
  780.           <http://www.radium.ncsc.mil/tpep/process/procedures.html> In
  781.           general terms, a successful evaluation proceeds through the
  782.           following stages:
  783.  
  784.             Proposal Review
  785.  
  786.           A product proposal, submitted by a vendor for consideration of
  787.           evaluation by TPEP is reviewed for two purposes.  The first is
  788.           to determine the potential market benefits of accepting the
  789.           product for evaluation (i.e., the DoD customer base).  The
  790.           market analysis is performed based upon both the vendor's proposal
  791.           and upon TPEP customer input, which is actively solicited on a
  792.           regular basis.  The second part of the proposal review is to
  793.           determine, at a very preliminary level, if the product appears
  794.           to provide feasible security mechanisms such that the requirements
  795.           of the TCSEC can be satisfied.  Once the review of the product
  796.           proposal is completed, the vendor is notified in writing of the
  797.           acceptance or rejection of the product for evaluation.
  798.  
  799.             Technical Assessment
  800.  
  801.           Products whose proposals were recommended as "accept" are
  802.           considered candidates for evaluation and proceed to the next
  803.           step in pre-evaluation, the Technical Assessment (TA), where
  804.           a vendor must demonstrate that the product design and the
  805.           associated evaluation evidence are complete.  A TA is often
  806.           the first examination of the product and the evidence by a
  807.           technical evaluation team.  Vendors may have excellent and
  808.           complete documentation, indicating a readiness to undergo an
  809.           Intensive Preliminary Technical Review (IPTR) which is the
  810.           gateway to evaluation when successfully completed.  Advice may
  811.           be recommended based on readiness.
  812.  
  813.             Advice
  814.  
  815.           The purpose of advice is to aid the vendor in producing a product
  816.           and supporting documentation that is capable of being evaluated
  817.           against the TCSEC and its interpretations.  Advice can be provided
  818.           by contractors outside of TPEP or TPEP evaluators may be assigned
  819.           to advise the vendor.  TPEP-provided advice begins after a vendor
  820.           has submitted a proposal and a technical assessment has been
  821.           performed that deemed the product suitable for evaluation, but
  822.           not yet ready for an IPTR.
  823.  
  824.             Intensive Preliminary Technical Review (IPTR)
  825.  
  826.           The IPTR is an independent assessment by the TPEP evaluators to
  827.           determine a product's readiness for evaluation.  An IPTR lasts
  828.           for approximately 7-10 days and is performed by a team of
  829.           approximately 5 TPEP evaluators.  During the IPTR, which is
  830.           usually held at the vendor's site, the team becomes familiar with
  831.           the product (through vendor presentations); reviews documentation,
  832.           test plans, and procedures; and documents its findings in a report.
  833.           The IPTR report is provided to the vendor and TPEP management and
  834.           documents the team's assessment of the product's readiness for
  835.           evaluation.  Completion of a successful IPTR results in the
  836.           product moving into evaluation (pending availability of TPEP
  837.           evaluation resources).
  838.  
  839.             Evaluation
  840.  
  841.           Evaluation is the comprehensive technical analysis of a product's
  842.           security functionality.  At the beginning of evaluation, the
  843.           vendor provides the evaluation team with system level, developer-
  844.           oriented training for the product.  Training is followed by
  845.           analysis of the product design, focusing specifically on security
  846.           features.  This analysis includes both hardware and software
  847.           components of the product and associated documentation.  Testing
  848.           of the product involves running the vendor's test suite, as well
  849.           as tests formulated by the evaluation team.  Upon successful
  850.           completion of testing and rigorous technical reviews by senior
  851.           members of the evaluation community, the product is awarded an
  852.           Evaluated Products List (EPL) entry.
  853.  
  854.             Rating Maintenance Phase (RAMP)
  855.  
  856.           RAMP provides a mechanism for a vendor to maintain the TCSEC
  857.           rating of a product throughout its life cycle.  During RAMP,
  858.           the vendor works with the TPEP assigned Technical Point of
  859.           Contact (TPOC) to analyze the security impact of proposed changes
  860.           to the evaluated product.  The Vendor Security Analyst (VSA)
  861.           actually performs the security analysis of the product changes
  862.           as they occur.  The changes and associated analysis results are
  863.           presented to a TPEP Technical Review Board (TRB) which recommends
  864.           approval (or disapproval) of the rating for the "new" product.
  865.  
  866.   3. How long does an evaluation take?
  867.  
  868.           The length of time a developer needs to prepare for an
  869.           Intensive Preliminary Technical Review (IPTR) varies
  870.           considerably.  The IPTR is a short (one to two week) assessment
  871.           of the state of the product documentation and testing.  A
  872.           successfull IPTR ensures that the materials needed for
  873.           evaluation are complete and usable.  Currently, we expect
  874.           successful evaluations at the C2/B1 class to take approximately
  875.           one year to complete from successful IPTR to final technical
  876.           review.  IPTRs should ideally take place approximately eight
  877.           months before product release for a typical C2/B1 product, and
  878.           even earlier in the product cycle for products targeted at B2,
  879.           B3 or A1.  We continue to explore ways to reduce the time
  880.           required.  Higher class evaluations take longer, although this
  881.           is somewhat mitigated by the fact that the TPEP is usually
  882.           involved earlier in the design process for systems at
  883.           relatively higher classes.  Problems during evaluation, changes
  884.           in the configuration the vendor is planning to market, and
  885.           system complexity can all add to the length of evaluation.
  886.           Vendors participating in the RAMP (Rating Maintenance) process
  887.           can perform analysis of changes to an already evaluated system
  888.           to maintain the evaluated rating on subsequent versions and
  889.           configurations.  The length of time to obtain a RAMP rating is
  890.           largely dependent on the vendor and on the nature and
  891.           complexity of the change.  However, it is reasonable to expect
  892.           this RAMP to take far less time than an evaluation.
  893.  
  894.   4. How much does an evaluation cost?
  895.  
  896.           The Trusted Product Evaluation Program (TPEP) does not charge
  897.           for evaluations.  It may be a significant expense for a product
  898.           developer to prepare for and support evaluation.  There are
  899.           often travel expenses for staff, training costs for the
  900.           evaluation team, and the cost of having development personnel
  901.           take time to respond to the evaluation team's questions.  In
  902.           addition, if the product did not previously meet the
  903.           requirements for a given class, the cost of improving the
  904.           product (i.e., doing the testing, analysis and documentation)
  905.           can be high.  Ultimately, this should result in an improved
  906.           product that will be recognized as superior to competitors.
  907.  
  908.   5. How do I find out about the evaluation process?
  909.  
  910.           For an abstract view of the evaluation process you can read
  911.           this list of Frequently Answered Questions (FAQ)!  For a more
  912.           detailed view appropriate to those who wish to participate in
  913.           the process, the process is described in some detail at
  914.           <http://www.radium.ncsc.mil/tpep/process/procedures.html>.
  915.  
  916.   6. Who actually performs the evaluations?
  917.  
  918.           Trusted product evaluators come from the Trusted Product
  919.           Evaluation Program (TPEP) organization within the National
  920.           Security Agency (NSA) as well as from a small group of federal
  921.           contract research organizations.  Some evaluations have also
  922.           benefitted from the participation of evaluators from the
  923.           security evaluation organizations of other cooperating
  924.           governments.  In cooperation with the National Institute of
  925.           Standards and Technology (NIST), a program is being developed to
  926.           evaluate products in the lower Trusted Computer System
  927.           Evaluation Criteria (TCSEC) classes (i.e., C2/B1) using
  928.           approved commercial evaluation facilities.  However, many
  929.           details remain to be finalized for that program.
  930.  
  931.   7. What information is released about an evaluated product?
  932.  
  933.           As we begin working with a product, the vendor and target
  934.           rating are made available.  When that product is accepted into
  935.           evaluation, information such as the vendor, target rating, and
  936.           target completion date are announced in a product announcement
  937.           on the Evaluated Products List (EPL) (see Section V, Question
  938.           6).  When the evaluation is completed the general evaluated
  939.           product configuration, general product information, and rating
  940.           are announced in an entry on the EPL.  In addition at the
  941.           completion of evaluation a report is published (see Section V,
  942.           Question 7).  This report contains the analysis of the
  943.           evaluation team, a complete description of the evaluated
  944.           product, and often comments about the usability of the product
  945.           in its evaluated configuration by the evaluation team.  Recent
  946.           EPL entries and a few Final Evaluation Reports are available at
  947.           <http://www.radium.ncsc.mil/tpep/epl/>.
  948.  
  949.  
  950.   8. What is RAMP?
  951.  
  952.           The Rating Maintenance Phase (RAMP) Program was established to
  953.           provide a mechanism to extend the previous rating to a new
  954.           version of a previously evaluated computer system product.
  955.           RAMP seeks to reduce evaluation time and effort required to
  956.           maintain a rating by using the personnel involved in the
  957.           maintenance of the product to manage the change process and
  958.           perform Security Analysis.  Thus, the burden of proof for RAMP
  959.           efforts lies with those responsible for system maintenance
  960.           (i.e., the vendor) instead of with an evaluation team.
  961.  
  962. ----------
  963.  
  964. Subject: Section V: Evaluated Products
  965.  
  966.   1. Should I buy an evaluated product?
  967.  
  968.           An evaluated product has the benefit of providing an
  969.           independent assessment that the product meets the criteria for
  970.           the rating it achieved.  When considering a specific
  971.           installation the value of the data and the threat to that data
  972.           both need to be considered.  These are often related, in that
  973.           more valuable data has a higher threat.  If some of the threats
  974.           to the data can be countered by the features or assurance of a
  975.           trusted product, then it is certainly worthwhile to consider
  976.           that in your purchase decision.  All other things being equal
  977.           (which is rarely the case) the independent assessment of an
  978.           evaluated product adds value.
  979.  
  980.   2. Does NSA buy/use evaluated products?
  981.  
  982.           NSA endevours to be an exemplary customer of the products it
  983.           recommends for use by its customers and expects NSA-evaluated
  984.           products to comprise the foundation of its own secure information
  985.           systems architecture and is developing policy towards that end.
  986.  
  987.   3. How do I know if a product is evaluated?
  988.  
  989.           The simplest way to find out if a product is not evaluated is
  990.           to ask the product vendor.  If the vendor has an evaluated
  991.           product, it is a pretty good bet that the company marketing
  992.           people are aware of it.  Many products that have NOT been
  993.           evaluated have names containing a rating or have declared
  994.           themselves as "designed to meet" a specific rating.  These products
  995.           have not withstood the same scrutiny as products listed on the EPL.
  996.  
  997.           If a vendor claims to have an evaluated product, you should
  998.           independently verify the details of the evaluation (e.g.,
  999.           product version, configuration, rating.) All evaluated products
  1000.           are placed on the Evaluated Products List (EPL) (see Section V,
  1001.           Question 6).  That is the first place to look.  The EPL entries
  1002.           that have been awarded within the last three years are available
  1003.           at <http://www.radium.ncsc.mil/tpep/epl/>.  To verify a specific
  1004.           detail (e.g., the rating) of an evaluation, you may call the Trusted
  1005.           Product Evaluation Program (TPEP) directly at (410) 859-4458 This
  1006.           will often result in less complete information since generally we
  1007.           don't read entire EPL entries over the phone.
  1008.  
  1009.           For the most complete information about a specific evaluated
  1010.           product, you should request a copy of the evaluation report.
  1011.           (see Section V, Question 7)  Unfortunately, the publication of
  1012.           the report sometimes postdates the evaluation significantly.
  1013.           An increasing number of final evaluation reports are available
  1014.           via links from the product's electronic EPL entry or from
  1015.           <http://www.radium.ncsc.mil/tpep/library/fers/> by report number.
  1016.  
  1017.   4. What does it mean for a product to be "in evaluation"?
  1018.  
  1019.           In the past it has been the case that Trusted Product
  1020.           Evaluation Program (TPEP) evaluations where conducted over
  1021.           longer periods of time and included time for a developer to
  1022.           work out problems with their documentation and testing that a
  1023.           current Intensive Preliminary Architecture Review (IPTR) is
  1024.           designed to limit.  Currently a product is not announced to be
  1025.           in evaluation until it has successfully passed an IPTR.  Even
  1026.           so, a product may go through several releases, incorporate
  1027.           fixes during the course of evaluation, or even potentially drop
  1028.           out of evaluation or fail evaluation.  Because of this a
  1029.           product in evaluation is not equivalent to an evaluated
  1030.           product.  While it does show some intent to have an evaluated
  1031.           product, and a consideration of security criteria in the
  1032.           product development, it does not necessarily imply any security
  1033.           features or assurances.  Buyers of products in evaluation
  1034.           should consider what options will be available to them should
  1035.           the evaluated configuration differ significantly from the
  1036.           purchased configuration, or if the product does not ultimately
  1037.           complete evaluation.
  1038.           
  1039.   5. What does it mean for a product to be "compliant" with the TCSEC?
  1040.  
  1041.           If a product has been evaluated by the Trusted Product
  1042.           Evaluation Program (TPEP) to comply with the requirements of a
  1043.           rated class, then it means that an independent assessment
  1044.           showed the product to have the features and assurances of that
  1045.           class.  It does not mean that the product is impenetrable.  It
  1046.           is even possible that the independent assessment overlooked
  1047.           some failure to meet the criteria, although we expend a lot of
  1048.           energy attempting to prevent that.  A vendor claim to be
  1049.           "compliant" without an evaluation often doesn't mean very much
  1050.           since the vendor's interpretation of the requirement may not be
  1051.           the same as an independent assessor's would be.
  1052.  
  1053.   6. What and where is the Evaluated Products List (EPL)?
  1054.  
  1055.           The Evaluated Products List (EPL) officially is published
  1056.           quarterly in the INFOSEC Products and Services Catalog (as a
  1057.           chapter).  The INFOSEC Products and Services Catalog is
  1058.           available from the Government Printing Office.  The EPL is also
  1059.           maintained electronically on Dockmaster and updated as new
  1060.           products are announced. (see Section I, Question 7) There is no
  1061.           anonymous access to Dockmaster so this is available only to
  1062.           Dockmaster users.  EPL entries issued within the last three years
  1063.           are available at <http://www.radium.ncsc.mil/tpep/epl/>.
  1064.  
  1065.   7. How do I get a copy of an evaluation report?
  1066.  
  1067.           Single copies of evaluation reports are available without charge
  1068.           by writing:
  1069.           
  1070.               INFOSEC AWARENESS, ATTN: Y13/IAOC
  1071.               DEPARTMENT OF DEFENSE
  1072.               9800 SAVAGE ROAD
  1073.               FT MEADE MD 20755-6000
  1074.           
  1075.           Multiple copies are available from the Government Printing
  1076.           Office.  In either case you will need the report number
  1077.           (CSC-EPL-xx/xxx or CSC-FER-xx/xxx) which is given in the
  1078.           Evaluated Products List (EPL) entry for the product. (see
  1079.           Section V, Question 6)
  1080.           
  1081.   8. Is an evaluated product "hacker proof?"
  1082.   
  1083.           No product can be guaranteed to be "hacker proof" or
  1084.           "impenetrable."  An evaluated product has demonstrated certain
  1085.           features and assurances, as specified by the rating criteria.
  1086.           Those features and assurances counter certain threats.  Thus an
  1087.           evaluated product is usually vulnerable to fewer threats than
  1088.           an unevaluated product.  Products with higher ratings are
  1089.           vulnerable to fewer threats than products with low ratings.
  1090.           Vulnerabilities to threats that remain in products can often be
  1091.           addressed through other means.  No rating class used by the
  1092.           Trusted Product Evaluation Program (TPEP), for example,
  1093.           counters the threat of directly tampering with the hardware.
  1094.           That threat would need to be addressed physically or
  1095.           procedurally if it was realistic for the particular system
  1096.           environment.
  1097.  
  1098.           Finally, it seems many "hackers" today prefer to use "social
  1099.           engineering" to accomplish their goals.  As with other
  1100.           insider-related threats, education is necessary in preventing
  1101.           naive users from disclosing sensitive information.  However,
  1102.           technical measures can also help.  They can enforce the the
  1103.           principle of least privilege, check the reasonableness of
  1104.           administrative inputs, and provide timely on-line cautions.
  1105.  
  1106.   9. What is the rating of DOS?
  1107.  
  1108.           MS-DOS, PC-DOS, and DR-DOS have not been evaluated.  Without
  1109.           modification, it is apparent from the most cursory examination
  1110.           that they do not implement many of the features required by the
  1111.           C1 class of the Trusted Computer System Evaluation Criteria
  1112.           (TCSEC).  Several vendors support a DOS application interface
  1113.           in products designed to achieve higher class ratings.
  1114.  
  1115.  10. What is the rating of UNIX?
  1116.  
  1117.           There are a number of evaluated products conforming to one or
  1118.           another of the UNIX interface standards (see Section V,
  1119.           Question 3).  These products range from class C2 to class B3.
  1120.           In general, unevaluated UNIX products lack several features,
  1121.           including sufficient auditing, to achieve anything other than a
  1122.           D class rating without some modification.
  1123.  
  1124.  11. What should I do if evaluated Product X appears to fail a requirement?
  1125.  
  1126.           If an evaluated product does not seem to meet the requirements,
  1127.           the first thing to do is carefully look at the Final Evaluation
  1128.           Report (FER) and the product's Trusted Facility Manual (TFM).
  1129.           The product was evaluated with specific configuration options and
  1130.           on specific hardware.  These should be stated in the TFM and FER
  1131.           respectively.  If the evaluated configuration still seems to not
  1132.           meet some requirement for its rated class, then it is possible that
  1133.           there was an oversight during the evaluation.  You can send that
  1134.           information to tpep@dockmaster.ncsc.mil and we may investigate the
  1135.           issue.
  1136.  
  1137.  12. Why should I buy a B2/B3/A1 product over a C2/B1 product?
  1138.  
  1139.           While the features and assurances of each class increase, the
  1140.           increase is not linear.  B1 and below rated products provide a
  1141.           basic set of security features and an independent assesment that
  1142.           those features are implemented correctly.  At B2 and above there
  1143.           is significantly more effort and analysis both in development and
  1144.           in evaluation that the features are correctly implemented.  The
  1145.           additional development effort often translates into increased cost
  1146.           for the product.  For applications involving sensitive data, the
  1147.           added cost may be well worth the added protection.  
  1148.  
  1149.  13. Is there an approved program to declassify my hard drive?
  1150.  
  1151.           In summary, no; in general, overwriting may be sufficient to have
  1152.           media released for other use, but it must retain its original
  1153.           classification.
  1154.  
  1155.           You should contact your security officer or contracts manager for
  1156.           official guidance.  Often, your contract will determine how to
  1157.           declassify disks.  This is usually indirect, by referencing a
  1158.           DOD-STD or other document.  Be prepared to submit the disk drive
  1159.           (or at least the little metal thingy with the iron oxide) for total
  1160.           destruction.
  1161.  
  1162.           If you need to retrieve unclassified data that reside on a
  1163.           classified disk, there are often detailed procedures to accomplish
  1164.           this.
  1165.  
  1166.  
  1167.