Испытательная лаборатория информационных систем. Виды услуг
Аккредитованная испытательная лаборатория информационных систем (ИЛИС) оказывает владельцам объектов информационных технологий (ОИТ) следующие услуги:
Для получения любой из услуг по оценке необходимо:
- Подать в ИЛИС заявку установленной формы на проведение оценки
- При рассмотрении заявки согласовать с ИЛИС условия и сроки проведения оценки, порядок представления объекта для оценки, перечень необходимой документации и порядок ее предоставления, форму предоставления результатов оценки, а также другие организационные и технические вопросы касательно проведения оценки и использования полученных результатов
- Заключить договор с ИЛИС на проведение оценки и представить в ИЛИС объект для проведения оценки и необходимую документацию объекта
По результатам оценки заказчику выдается Протокол оценки установленной формы. Он является основанием для получения в Органе по сертификации (Оперативно-аналитический центр при Президенте Республики Беларусь) национального сертификата соответствия продукта или системы установленным требованиям безопасности.
Контактная информация:
Козюминский Валерий Дмитриевич
Начальник испытательной лаборатории информационных систем
Тел.: +375 17 217 33 33, доб. 31 90
Факс: +375 17 217 32 32
Оценка объектов информационных технологий (ОИТ) на соответствие требованиям по безопасности
При проведении оценки ОИТ (продукта или системы) на соответствие функциональным и гарантийным требованиям безопасности СТБ 34.101.2 и СТБ 34.101.3, которые определены в Задании по безопасности ОИТ, в Испытательной лаборатории информационных систем (ИЛИС) выполняется:
- Анализ документации ОИТ на соответствие гарантийным требованиям безопасности СТБ 34.101.3 по заявленному уровню гарантии оценки
- Разработка рабочей программы и методики функционального тестирования средств безопасности ОИТ
- Развертывание среды функционального тестирования ОИТ (для продукта) или определение тестовой конфигурации ОИТ (для системы) в реальной среде эксплуатации (для системы)
- Тестирование конфигурации и работоспособности среды функционального тестирования объекта с использованием испытательного оборудования лаборатории
- Функциональное тестирование средств безопасности ОИТ
- Подготовка технического отчета и протокола оценки ОИТ для представления в орган по сертификации и заявителю
- Аудит безопасности информационных систем
- Оценка профилей защиты и заданий по безопасности ОИТ
Оценка профилей защиты и заданий по безопасности
Оценка профилей защиты и заданий по безопасности проводится на соответствие требованиям СТБ 34.101.3 (требования изложены в разделах 7 и 8 соответственно). Эксперты лаборатории выполняют анализ соответствия разделов заданий по безопасности требованиям СТБ 34.101.3, в том числе:
- Анализ связности, полноты и непротиворечивости сведений, представленных в разделах документа
- Анализ соответствия формулировок функциональных требований безопасности формулировкам СТБ 34.101.2
- Анализ соответствия формулировок гарантийных требований безопасности формулировкам СТБ 34.101.3
- Анализ того, что все функциональные и гарантийные требования для объекта оценки выполнены (выполняется при оценке заданий по безопасности на основе сведений, представленных в общей спецификации)
- Анализ того, что требования безопасности поддерживают решение сформулированных задач безопасности, а формулировка задач безопасности учитывает предположения, угрозы и политики безопасности
Оценка систем управления информационной безопасностью организаций
Оценка системы управления защитой информации в организации (или, соответственно, информационной безопасности организации) проводится путем выполнения организацией требований и рекомендаций СТБ ISO/IEC 27001 по управлению процессом обеспечения безопасности в организации.
При проведении данного вида оценки выполняются следующие виды работ:
- Определение границ оценки и разработка технического задания на проведение оценки (выполняется, если оценка проводится не по всем требованиям стандарта)
- Отбор субъектов (подразделений организации и лиц) и объектов (информационных и автоматизированных систем, элементов инфраструктуры) для проведения оценки
- Определение плана сбора свидетельств о соответствии/несоответствии требованиям
- Сбор свидетельств (проведение опросов, анкетирования, технического анализа)
- Обработка свидетельств по каждому из требований и принятие решений о соответствии/несоответствии объекта оценки требованиям
- Анализ рисков информационной безопасности (если требуется)
- Подготовка технического отчета и протокола оценки
Методическая и техническая поддержка в подготовке к оценке на соответствие требованиям безопасности его информационных систем
Мы предоставляем нашим заказчикам методическую и техническую поддержку в решении таких задач, как:
- Анализ уязвимостей и потенциальных угроз ресурсам ОИТ
- Определение задач безопасности
- Уточнение организационных политик безопасности
- Определение требований к среде эксплуатации ОИТ
- Определение функциональных требований безопасности для ОИТ и среды их эксплуатации
- Анализ и обоснование соответствия требований безопасности задачам безопасности
- Анализ полноты документации для обеспечения проведения оценки ОИТ с необходимым уровнем гарантий
Методическая и техническая поддержка в разработке профилей защиты, заданий по безопасности для ОИТ и правил информационной безопасности для организаций
ИЛИС имеет опыт разработки профилей защиты в соответствии с СТБ 34.101.1 для типовых ОИТ (например, для автоматизированных систем, локальных вычислительных сетей и т. п.) и заданий по безопасности в соответствии с СТБ 34.101.1 для конкретных продуктов и систем (например, для почтовой системы на базе Lotus Domino/Notes, локальной вычислительной сети предприятия, системы передачи информации, банковских систем и т. п.). Специалистами лаборатории разработано более 35 проектов профилей защиты и заданий по безопасности для предприятий Республики Беларусь. Профили защиты и задания по безопасности используются для обеспечения соответствия используемых предприятием информационных технологий общим критериям безопасности СТБ 34.101.1-3 (ИСО/МЭК 15408).
Специалисты лаборатории имеют опыт в разработке политики безопасности предприятия (организации), а также других организационных документов по безопасности с учетом рекомендаций СТБ ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
При разработке профилей защиты, заданий по безопасности и политики безопасности проводится обследование предприятия и его ОИТ, включая анализ рисков безопасности, связанных с использованием в деятельности предприятия информационных технологий. Формулируемые затем правила политики безопасности предприятия, а также требования по обеспечению безопасности ОИТ обеспечивают необходимое противодействие потенциальным угрозам и снижение рисков до уровня, приемлемого для деятельности предприятия.
|
Дата последней модификации: 19 Апреля 2012
|
|
|
