گواهینامه امنیتی EAL چیست؟
اگر شما هم با انواع کیف پول سخت افزاری آشنایی دارید، به احتمال زیاد با واژه گواهینامه امنیتی EAL برخورد خواهید کرد. همانطور که میدانید کیف پولهای لجر و ترزور دارای گواهینامه +EAL 5 و کیف پول کول ولت پرو دارای درجه EAL 6 است. EAL یک گواهینامه امنیتی بوده که دارای مجموعهای از تستهای مختلف برای تشخیص میزان امنیت دستگاههای الکترونیکی در سطوح مختلف است. در هر سطح از این ارزیابی، بخشهای مختلفی از دستگاه مثل ساختار، عملکرد، طراحی هدفمند و غیره آزمایش میشوند.
جزئیات آزمونهای این گواهینامه یک بحث فنی و نسبتا پیچیده است که سعی میکنیم ذز این مطلب از علی سیتی آنها را به سادهترین شکل ممکن برای شما توضیح دهیم. با ما همراه باشید تا با گواهینامه امنیت EAL و سطوح مختلف آن بیشتر آشنا شوید.اصطلاح سطح EAL به سطحی از اطمینان (Evaluation Assurance Level) در یک سرویس امنیتی اشاره دارد. سطوح EAL معیارهای مشترک (ISO 15408) الزامات دقیقی را برای ممیزی امنیت فناوری اطلاعات توصیف می کند.
سطوح گواهینامه EAL چیست؟
هفت سطح مختلف برای گواهی امنیت EAL وجود دارد که مخفف عبارت Evaluation Assurance Level است. همانطور که گفته شد، سطح EAL Secure Elements مورد استفاده ما 5+ است. در این چارچوب، مدل تهدید، دسترسی از راه دور و فیزیکی را برای مهاجم در نظر میگیرد. در طول فرآیند ارزیابی EAL، چندین عنصر در نظر گرفته می شود مانند:
– چرخه زندگی / زنجیره تامین
– رویه توسعه
– اسناد و مدارک
– تست عملکردی
– تست نفوذ
رسیدن به سطح امنیت EAL +5 داشتن بالاترین سطح امنیت در برابر تست های نفوذ را تضمین می کند. فراتر رفتن از EAL 5 دیگر تضمین بالاتری در برابر حملات ارائه نمی دهد. انواع مختلفی از گواهینامه ها وجود دارد. EAL یک گواهینامه بین المللی شناخته شده و مشهور است، اما گواهینامه های ملی و حتی محلی دیگری نیز ممکن است وجود داشته باشد.
EAL1: تست از نظر عملکردی
گواهی امنیت سطح یک، EAL1 مربوط به اطمینان به عملکرد صحیح دستگاه است و در مقابل تهدیدات امنیتی جدی در نظر گرفته نمیشود. در حقیقت مراقبت لازم در رابطه با حفاظت از اطلاعات شخصی یا اطلاعات مشابه مورد نیاز است. EAL1 یک ارزیابی از TOE (هدف ارزیابی) که در دسترس مشتری قرار گرفته است، از جمله آزمایش مستقل در برابر یک مشخصات، و بررسی اسناد راهنمایی ارائه شده، ارائه میکند. در نظر گرفته شده است که ارزیابی EAL1 می تواند بدون کمک توسعه دهنده TOE و با حداقل هزینه با موفقیت انجام شود. ارزیابی در این سطح باید شواهدی را ارائه دهد که نشان میدهد TOE به شیوهای منطبق با مستندات آن عمل میکند و محافظت مفیدی را در برابر تهدیدات شناسایی شده ارائه میکند.
EAL2: تست از نظر ساختاری
سطح EAL2 به همکاری توسعهدهنده از نظر تحویل اطلاعات، طراحی و ساختار نیاز دارد. به این ترتیب نباید نیاز به افزایش قابل توجه سرمایه گذاری هزینه یا زمان داشته باشد. بنابراین EAL2 در شرایطی که توسعهدهندگان یا کاربران به سطح پایین تا متوسط امنیت مستقل نیاز دارند، در صورت عدم دسترسی آماده به سابقه توسعه کامل، قابل اجرا است. چنین وضعیتی ممکن است هنگام ایمن سازی سیستم های قدیمی ایجاد شود.
EAL3: تست عملکرد
امتیاز گواهینامه امنیتی EAL3 به توسعهدهنده ای داده میشود تا حداکثر اطمینان را از مهندسی امنیت مثبت در مرحله طراحی، بدون تغییر اساسی در شیوههای توسعه صحیح موجود، کسب کند. EAL3 در شرایطی قابل اجرا است که توسعه دهندگان یا کاربران به سطح متوسطی از امنیت تضمین شده مستقل نیاز دارند و نیاز به بررسی کامل TOE و توسعه آن بدون مهندسی مجدد اساسی دارند.
EAL4: تست طراحی، آزمایش و بررسی شده
EAL4 به توسعهدهنده این امکان را میدهد تا حداکثر اطمینان را از مهندسی امنیت مثبت بر اساس شیوههای توسعه تجاری خوب کسب کند که اگرچه دقیق هستند، اما به دانش، مهارتها و سایر منابع تخصصی قابل توجهی نیاز ندارند. EAL4 بالاترین سطحی است که در آن به احتمال زیاد از نظر اقتصادی امکان بازسازی در خط تولید وجود دارد. بنابراین گواهی امنیت EAL4 در شرایطی قابل اجرا است که توسعه دهندگان یا کاربران به سطح متوسط تا بالایی از امنیت تضمین شده مستقل در TOEهای معمولی کالا نیاز دارند و آماده هستند تا هزینه های مهندسی ویژه امنیتی بیشتری را متحمل شوند.
EAL5: تست طراحی و آزمایش نیمه رسمی
گواهینامه امنیتی EAL5 به توسعهدهنده اجازه میدهد تا حداکثر اطمینان را از مهندسی امنیت بر اساس شیوههای توسعه تجاری دقیق که با استفاده متوسط از تکنیکهای تخصصی مهندسی امنیت پشتیبانی میشود، کسب کند. چنین TOE احتمالاً با هدف دستیابی به تضمین EAL5 طراحی و توسعه خواهد یافت. این احتمال وجود دارد که هزینه های اضافی مربوط به الزامات EAL5، نسبت به توسعه دقیق بدون استفاده از تکنیک های تخصصی، زیاد نباشد. بنابراین EAL5 در شرایطی که توسعهدهندگان یا کاربران به سطح بالایی از امنیت تضمین شده مستقل در یک توسعه برنامهریزیشده نیاز دارند و نیاز به یک رویکرد توسعه دقیق بدون متحمل شدن هزینههای غیرمنطقی قابل انتساب به تکنیکهای تخصصی مهندسی امنیت دارند، قابل اجرا است.
دستگاههای کارت هوشمند متعددی در EAL5 ارزیابی شدهاند، همانطور که دستگاههای ایمن چند سطحی مانند Tenix Interactive Link نیز ارزیابی شدهاند. XTS-400 (STOP 6) یک سیستم عامل همه منظوره است که در EAL5 تقویت شده ارزیابی شده است.
EAL6: تست طراحی و آزمایش تایید شده نیمه رسمی
گواهی امنیت EAL6 به توسعه دهندگان این امکان را میدهد که از کاربرد تکنیک های مهندسی امنیتی در محیط توسعه دقیق اطمینان بالایی کسب کنند تا یک TOE برتر برای محافظت از دارایی های با ارزش بالا در برابر خطرات قابل توجه تولید کنند. بنابراین گواهی امنیتی EAL6 برای توسعه TOEهای امنیتی برای کاربرد در موقعیتهای با خطر بالا که ارزش داراییهای محافظت شده هزینههای اضافی را توجیه میکند، قابل استفاده است.
INTEGRITY-178B RTOS شرکت Green Hills Software دارای گواهینامه EAL6 augmented شده است.
EAL7: طراحی رسمی تایید شده و تست شده
و اما گواهینامه امنیتی EAL7 برای توسعه TOE های امنیتی برای کاربرد در موقعیت های بسیار پرخطر و یا جایی که ارزش بالای داراییها هزینههای بالاتر را توجیه میکند، قابل استفاده است.
کاربرد عملی EAL7 در حال حاضر محدود به TOEهایی با عملکرد امنیتی متمرکز است که قابل تجزیه و تحلیل رسمی گسترده است. سیستم عامل ProvenCore که توسط ProvenRun توسعه یافته است، در سال 2019 توسط ANSSI گواهینامه EAL7 را دریافت کرده است. دستگاه دیود داده پیوند تعاملی Tenix و دیود داده فاکس-IT فاکس (دستگاه ارتباطات داده یک طرفه) ادعا کردند که در EAL7 تقویت شده (EAL7+) ارزیابی شدهاند.
چرا گواهینامه EAL مهم است؟
هر کسی می تواند ادعا کند که یک دستگاه امن دارد، اما اعتماد به این ادعا دشوار است. از طریق گواهی ها، یک شخص ثالث مستقل تا حدودی میتواند آن را ارزیابی کند. در کیف پول های لجر ما معتقدیم که امنیت در درجه اول اهمیت قرار دارد، و در حالی که هر کسی میتواند ادعا کند که یک محصول امن دارد، این به معنای بسیار بیشتر از طرف یک شخص ثالث قابل اعتماد است. این یک نقطه عطف مهم برای لجر در تلاش ما برای تأیید همه محصولات B2C و B2B است.
امروزه، هر دو کیف پول لجر ایکس و همینطور کیف پول لجر نانو اس پلاس تنها کیف پولهای سختافزاری هستند که طبق الزامات امنیتی مشخصشده در طرح گواهینامه امنیتی CSPN (گواهینامه امنیت سطح اول) به طور مستقل تأیید شدهاند.
گواهینامه CSPN چیست؟
این گواهینامه امنیت به عنوان یک تأییدیه خارجی و شخص ثالثی است که در صنعت امنیت لجر پیشرو است. این ارزیابی خارجی و مستقل تعهد شرکت به امنیت پیشرو در صنعت را هر چه بیشتر تایید می کند. لجر دائماً به دنبال افزایش امنیت محصولات خود است و از محققان امنیتی خارجی در برنامه Bounty خود و همچنین آزمایشگاه داخلی Attack Lab پیشرو در صنعت خود به نام Ledger Donjon استفاده می کند. لجر یک سیستم عامل سفارشی قوی، یعنی BOLOS و برنامههای دارایی رمزنگاریشده را که روی این سختافزار امن اجرا میشوند، توسعه داده است. این ترکیب نرم افزار و سخت افزار است که بالاترین سطح امنیت را برای هر یک از محصولات شرکت به ارمغان می آورد.
در EAL، تلاش برای ارائه خدمات عالی و پشتیبانی به ارائه دهندگان آموزش، کارفرمایان و مهندسان با قرار دادن آنها در قلب هر کاری است. به همین دلیل راه اندازی پلتفرم Certify به مراکز، فراگیران و کارفرمایان اجازه میدهد در هر زمان و در هر دستگاهی به راحتی و ایمن به گواهی های دیجیتال دسترسی داشته باشند.
Certify برای سادهسازی فرآیند صدور گواهینامه و رسیدگی به چالشهای رایج صنعت، مانند امنیت دیجیتال، برآورده کردن الزامات نظارتی و فعالیتهای احتمالی تقلبی طراحی شده است. این بر اساس نقاط قوت فرآیند صدور گواهینامه دیجیتال فعلی است، که مشتریان ما به دلیل اثربخشی در نظرسنجی اخیر رضایت مشتری، آن را 9/10 رتبهبندی کردند.
- اسناد چاپی
راه اندازی Certify در زمان حیاتی برای بخش مهارت های مهندسی، تولید و خدمات ساختمانی انجام می شود. صنایع در حال تجربه پیشرفتهای سریع تکنولوژیکی، تغییرات نظارتی و افزایش تقاضا برای متخصصان ماهر هستند. این پویایی ها نیاز مبرمی به فرآیندهای صدور گواهینامه کارآمد و قابل اعتماد برای اطمینان از شایستگی و انطباق نیروی کار ایجاد می کند.
در زمانی که بازار کار بریتانیا نقشهای بیشتری نسبت به کارگران ماهر دارد، اطمینان از «تعامل عمیقتر بین دولت، کارفرمایان و سیستم آموزشی برای تولید خط لوله استعدادهایی که میتواند اقتصاد پر رونق بریتانیا را حفظ کند، مهمتر از همیشه است. تأیید صحت گواهینامه های کاغذی میتواند مشکل ساز باشد. کارفرمایان ممکن است برای تأیید سریع و کارآمد مشروعیت صلاحیتها تلاش کنند، که میتواند فرآیند استخدام را به تاخیر بیندازد، بر استقرار کارگران ماهر تأثیر بگذارد، و استانداردهای بالایی از مهارت ها و ایمنی را حفظ کند.
تفاوت های جغرافیایی نیز در عوارض صدور گواهینامه کاغذی نقش دارد. تمرکز مکانیکی و الکتریکی در جنوب و سرزمین های میانی وجود دارد. اسکاتلند دارای درجه بسیار بالایی از تخصص در زمینه محیط زیست، انرژی و مشاغل زمین است، در حالی که مشاغل ماهر، نقش های عملیاتی صنعتی و عمومی بیشتر در انگلستان شمالی، ولز و ایرلند شمالی تخصص دارند. این تنوع به مدیریت و تأیید گواهینامه ها در سراسر مختلف پیچیدگی می بخشد. مناطق داشتن یک سیستم متمرکز دیجیتال به کاهش بسیاری از این پیچیدگی ها کمک می کند.
Certify برای رسیدگی به این چالشها طراحی شده است، و یک پلتفرم ساده و کاربرپسند ارائه میکند که مدیریت گواهینامه را برای فراگیران، مراکز آموزشی و کارفرمایان ساده میکند، خط لوله استعدادها را بهینه میکند و تضمین میکند که کارگران ماهر به پتانسیل کامل خود و سریعتر دست پیدا کنند.
- فرآیند صدور گواهینامه ساده شده
Certify از کل چرخه عمر گواهینامه پشتیبانی میکند. این امر سفر آسان تری را برای زبان آموزان برای درخواست، دریافت و تمدید گواهینامه های خود تضمین میکند. این پلتفرم همچنین تجربه کاربری روانتر و کارآمدتری را ارائه میکند و با سادهسازی دسترسی به دادهها برای همه کاربران، بار کاری اداری را کاهش میدهد. دسترسی ساده به اطلاعات به کاربران اجازه می دهد تا به طور مستقل داده های مورد نیاز خود را بدون تأخیر یا عوارض غیرضروری بازیابی کنند و در نتیجه بهره وری کلی را افزایش دهند.
Certify چیزی بیش از یک ابزار مدیریت گواهی است. این راه حلی است که برای حمایت از شایستگی و توسعه نیروی کار طراحی شده است و هدف آن از بین بردن شکاف مهارتی است. Certify با ارائه یک فرآیند صدور گواهینامه کارآمد کمک میکند تا اطمینان حاصل شود که فراگیران مهارت ها و دانش لازم را برای برتری در نقش های خود دارند. این به نوبه خود از اهداف سازمانی حمایت می کند و پیشرفت صنعت را پیش می برد.
- افزایش انطباق و کیفیت
در صنایعی که انطباق و کیفیت بسیار مهم است، Certify راه حل قابل اعتمادی برای حفظ استانداردهای بالا ارائه می دهد. امنیت دیجیتال قوی و قابلیتهای ردیابی بلادرنگ این پلتفرم تضمین میکند که گواهینامهها معتبر، بهروز و منعکسکننده نیازهای صنعت فعلی هستند. این امر به سازمانها کمک میکند تا از مسائل مربوط به انطباق اجتناب کنند و اطمینان حاصل شود که نیروی کار آنها برای مطابقت با استانداردهای نظارتی مجهز است.
Certify تاکید زیادی بر امنیت داده ها دارد. با استفاده از فناوری بلاک چین، اطمینان حاصل میکنیم که اطلاعات حساس در طول صدور گواهینامه محافظت میشوند. این امر خطر فعالیت های تقلبی را کاهش می دهد و آرامش خاطر را برای همه کاربران فراهم می کند و از یکپارچگی فرآیند صدور گواهینامه محافظت می کند.
- تعهد به پایداری
در راستای تلاشهای بلندپروازانه پایداری بریتانیا، Certify از مراکزی در کاهش ردپای کربن پشتیبانی میکند. با اتخاذ یک رویکرد دیجیتال اول برای صدور گواهینامه، ما به طور قابل توجهی مصرف کاغذ را کاهش می دهیم و به حفظ محیط زیست کمک می کنیم. این نه تنها نشان دهنده تعهد ما به مسئولیت زیست محیطی است، بلکه به مراکز کمک می کند تا با اهداف پایداری خود هماهنگ شوند.
- گواهینامه اثبات آینده
با ادامه تکامل بخش های مهندسی و تولید، نیاز به راه حل های تطبیقی و آینده نگر اهمیت فزاینده ای پیدا می کند. Certify با در نظر گرفتن آینده طراحی شده است و یک پلت فرم مقیاس پذیر ارائه میدهد که میتواند رشد کند و با نیازهای در حال تغییر صنعت سازگار شود. با سرمایه گذاری در Certify، مراکز آموزشی و کارفرمایان می توانند فرآیندهای صدور گواهینامه خود را در آینده اثبات کنند و در عین حال استانداردهای بالایی که از آنها خواسته می شود را حفظ کنند.
راه اندازی Certify یک نقطه عطف مهم برای EAL است. این راه حل نوآورانه صدور گواهینامه به چالش های کلیدی صنعت می پردازد، از شایستگی نیروی کار پشتیبانی می کند و انطباق و کیفیت را افزایش می دهد. Certify با ارائه یک پلتفرم ساده، در دسترس و جامع تضمین می کند که یادگیرندگان و سازمان ها به خوبی مجهز هستند تا نیازهای صدور گواهینامه فعلی و آینده را برآورده کنند.
تمامی مراکز به صورت خودکار دارای یک حساب کاربری خواهند بود و فراگیران با دریافت نامه پوششی همراه با گواهینامه خود فرصت ثبت نام خواهند داشت. کاربران می توانند در مرکز، زبان آموز یا پورتال شخص ثالث وارد شوند.
سوالات متداول
گواهی EAL چیست؟
سطح اطمینان ارزیابی (EAL) یک سیستم رتبه بندی عددی است که برای توصیف دامنه و شدت ارزیابی محصول استفاده می شود.
EAL در امنیت سایبری چیست؟
سطح تضمین ارزیابی (EAL) یک رتبه بندی دسته بندی است که پس از ارزیابی امنیتی معیارهای مشترک به یک محصول یا سیستم فناوری اطلاعات اختصاص می یابد. این سطح نشان میدهد که محصول یا سیستم تا چه حد آزمایش شده است. یک محصول یا سیستم باید الزامات تضمین خاصی را برای دستیابی به یک EAL خاص برآورده کند.
گواهینامه امنیتی EAL سطح 1 چیست؟
گواهی امنیت سطح یک، EAL1 مربوط به اطمینان به عملکرد صحیح دستگاه است و در مقابل تهدیدات امنیتی جدی در نظر گرفته نمیشود.
سطح EAL2 چیست؟
سطح EAL2 به همکاری توسعهدهنده از نظر تحویل اطلاعات، طراحی و ساختار نیاز دارد.
سطح EAL3 چیست؟
این صلاحیت و مدرک برای ارائه دانش و درک پیشرفته از شیوه ها و فرآیندهای مهندسی و فناوری ایجاد شده است.
گواهینامه EAL4 چیست؟
گواهی امنیت EAL4 برای محصول طراحی، آزمایش و بررسی شده است.
گواهی امنیت EAL5 چیست؟
گواهی امنیت EAL5 به این معنی است که یک یا چند افزوده به رتبه بندی پایه EAL انجام شده است. برای رسیدن به EAL5، محصولات و سیستمها باید دارای بالاترین سطح امنیت ممکن در برابر نفوذ و حملات باشند.
گواهینامه EAL6 چیست؟
امنیت EAL6 نشان دهنده تضمین امنیتی بالاتری نسبت به EAL5 است که شامل تجزیه و تحلیل و آزمایش دقیق تر است.
گواهینامه امنیت EAL7 چیست؟
EAL7 برای توسعه TOE های امنیتی برای کاربرد در موقعیت های بسیار پرخطر ویا جایی که ارزش بالای دارایی هزینههای بالاتر را توجیه می کند، قابل استفاده است.