آزمایشگاه ارزیابی امنیت محصولات فناوری اطلاعات

آزمایشگاه ارزیابی امنیت محصولات فناوری اطلاعات

این آزمایشگاه موفق به اخذ گواهینامه استاندارد ISO17025 مربوط به تائید صلاحیت آزمایشگاه‌هایی که فعالیت‌های آزمون را انجام می‌دهند، شده است.

مبنای آزمون‌های ارزیابی امنیتی محصولات فناوری اطلاعات در این آزمایشگاه استاندارد ISO/IEC/ISIRI 15408  میباشد.

استاندارد ISO/IEC/ISIRI 15408  از سه بخش تشکیل شده است، بخش اول شامل مفاهیم، بخش دوم شامل الزامات امنیتی و بخش سوم شامل الزامات تضمین امنیت بوده و متدولوژی مورد استفاده در اجرای آزمون‌ها، متدولوژی CEM است.

الزامات امنیتی مورد نیاز هر یک از محصولات فناوری اطلاعات با توجه به اهداف امنیتی مورد نیاز هر محصول و نیز با توجه به تهدیدات و آسیب‌پذیری‌های هر هدف امنیتی، شناسایی شده و آزمون‌های امنیتی بر اساس آن‌ها انجام می‌شود.

از استانداردهای جانبی که در فرآیند انجام ارزیابی امنیتی، نیز به‌کار گرفته می‌شوند میتوان به استانداردهای ,‌CCWAPS, OWASP,CLASP,PTES,…  اشاره نمود.

این آزمایشگاه در چهل گروه محصول در حوزه فاوا قابلیت انجام آزمون و ارزیابی را دارد، از جمله: 

• ارزیابی محصولات امنیتی‌، انواع UTM و فایروال و ...
• ارزیابی کارت هوشمند
• ارزیابی تجهیزات شبکه
• ارزیابی سیستم‌های تشخیص نفوذ
• ارزیابی انواع سیستم‌های پیشگیری از نفوذ
• ارزیابی انواع آنتی‌ویروس
• ارزیابی سیستم‌های کنترل دستی
• ارزیابی سیستم‌های کنترل صنعتی
• ارزیابی سیستم‌های عامل
• ارزیابی انواع پایگاه داده
• ارزیابی الگوریتم‌های رمزنگاری بومی
• ارزیابی سیستم‌های بیومتریک
• ارزیابی سیستم‌های مبتنی بر وب
• ارزیابی سیستم‌های انتقالی بی‌سیم
• ارزیابی انواع پرینترها، فکس و کپی

سایر فعالیت‌های قابل انجام در آزمایشگاه ارزیابی امنیتی عبارتند از :

• طراحی معماری‌های امنیتی براساس مدل‌هایی  چون biba، Clark Wilson 
•   تدوین سند راهبردی امنیت برای سازمان‌ها 
•   ارزیابی نشت اطلاعاتی در یک سازمان علی‌رغم استفاده از راهکارهایی همچون Anti virus /UTM/Firewall
•   ارزیابی عملکرد تیم‌های امنیتی CSIRT/SOC
• ارزیابی امنیت و نفوذپذیری به یک سازمان از طریق نیروی انسانی (Social Engineering)