Instytut Łączności

Najnowszym laboratorium, utworzonym w Instytucie Łączności-PIB, jest Laboratorium Oceny Bezpieczeństwa Produktów Teleinformatycznych (LOB), które funkcjonuje przy Zakładzie Cyberbezpieczeństwa (Z-4).

Pracujemy zgodnie z wymaganiami normy PN-EN ISO/IEC 17025:2018-02 i uzyskaliśmy certyfikat akredytacji laboratorium badawczego AB1787, wydany przez Polskie Centrum Akredytacji.

LOB należy do nielicznej grupy laboratoriów na świecie, oficjalnie akredytowanych do przeprowadzania ewaluacji zgodnie z normami referencyjnymi Common Criteria (normy serii PN-EN ISO/IEC 15408) oraz Common Evaluation Methodology (norma PN-EN ISO/IEC 18045). Normy referencyjne Common Criteria definiują zestaw rygorystycznych kryteriów, według których można ocenić produkt pod względem:

• bezpieczeństwa funkcjonalnego,
• architektury bezpieczeństwa,
• środowiska rozwoju produktu,
• postępowania ze zidentyfikowanymi podatnościami w produkcie.

LOB przeprowadza oceny produktów z zachowaniem najwyższych standardów bezpieczeństwa, czego potwierdzeniem jest  certyfikat zgodności systemu zarządzania bezpieczeństwem informacji z normą PN-EN ISO/IEC 27001, wydany przez akredytowaną jednostkę certyfikacyjną ISOCERT®. W zakresie naszego certyfikatu znalazła się: ”działalność laboratoryjna polegająca na ocenie bezpieczeństwa i testowaniu zgodności, realizowana w Laboratorium Oceny Bezpieczeństwa Produktów Teleinformatycznych (LOB)”.

Utworzenie LOB ma duże znaczenie dla polskiej, regionalnej i globalnej gospodarki i społeczeństwa. Dysponujemy wyspecjalizowaną aparaturą i wysoko wykwalifikowanymi  specjalistami, którzy przyczyniają się do wiarygodnych i niezależnych ocen. Stosujemy innowacyjne techniki badań produktów, obejmujące nawet najbardziej zaawansowane ataki na bezpieczeństwo funkcjonalne.
Wybierając usługi LOB, użytkownicy mają możliwość korzystania z produktów posiadających poświadczenie spełniania wysokich wymagań bezpieczeństwa.

Laboratorium wykonuje badania i testy cyberbezpieczeństwa oraz prywatności w odniesieniu do procesów, produktów i usług teleinformatycznych. Badamy produkty teleinformatyczne, zarówno oprogramowania, jak i komponenty sprzętowo-programowe, w obszarach zastosowań, takich jak:

• infrastruktura krytyczna – programowalne sterowniki, VPN, sieci bezprzewodowe;
• infrastruktura informatyczna – IPSec, moduły kryptograficzne, systemy wykrywania wtargnięć, systemy antywirusowe;
• administracja publiczna – paszporty, prawa jazdy;
• zdalna identyfikacja i uwierzytelnienie – podpis elektroniczny, pieczęć elektroniczna;
• opieka zdrowotna – urządzenia medyczne, karty lekarza i pacjenta;
• sieci telekomunikacyjne i radiowe - komponenty sieciowe oraz urządzenia końcowe.

Działalność LOB charakteryzuje się bezstronnością, niezależnością i transparentnością. Zapewniamy poufność wyników badań na poziomie dotychczas niespotykanym w innych laboratoriach, ponieważ:

• realizujemy badania w pomieszczeniach, które spełniają najwyższe światowe standardy bezpieczeństwa technicznego,
• gromadzimy i przechowujemy wyniki badań w systemie informatycznym laboratorium, odseparowanym fizycznie od innych systemów Instytutu oraz Internetu i spełniającym najwyższe standardy bezpieczeństwa teleinformatycznego,
• wdrażamy i przestrzegamy procedur bezpieczeństwa, które wraz ze zintegrowanymi, elektronicznymi systemami bezpieczeństwa technicznego oraz systemem informatycznym laboratorium, zapewniają pełną rozliczalność, porównywalność i powtarzalność każdego, najmniejszego nawet elementu wykonanych badań.

Możemy pochwalić się przeprowadzeniem ewaluacji rozwiązań ICT, które mają kluczowe znaczenie dla utrzymania bezpieczeństwa w polskiej cyberprzestrzeni. W wyniku zakończonych sukcesem ewaluacji, następujące produkty otrzymały certyfikaty Common Criteria, uznawane na całym świecie:

• Moduł uwierzytelniający dla realizacji operacji podpisu zdalnego: SimplySign Signature Activation Module (SAM), version 6.2.0, opracowany przez Asseco Data Systems SA
• Zaufany system oferujący usługę własnoręcznego podpisu biometrycznego składanego na dokumentach PDF: biocertiX – handwritten biometric signatures on PDF documents, version 1.1, opracowany przez Xtension Sp. z o.o, przy współpracy z firmami Asseco Data Systems SA i Samsung
• Optyczna dioda danych przeznaczona dla systemów przemysłowych: A.R.I.C. NDS Optical Industry Data Diode, version 2.0.0, opracowana przez Dynacon Sp. z o.o.

Wszystkie certyfikaty w wersji do pobrania dostępne są na stronie https://certyfikacja.nask.pl/certyfikaty/.

Jesteśmy pierwszym w Polsce akredytowanym laboratorium, które przeprowadziło z sukcesem proces oceny zgodności biblioteki kryptograficznej z wymaganiami normy EN 19790 „Security requirements for cryptographic modules” (równoważna norma do FIPS 140-3).

Przeprowadziliśmy jedną z pierwszych w Europie ewaluację bezpieczeństwa zgodnie z normą EN 17640 „Fixed-time cybersecurity evaluation methodology” oraz specyfikacjami technicznymi Open-RAN i 3GPP dla komponentu sieci 5G O-DU (O-RAN Distributed Unit).

• Akredytacja Polskiego Centrum Akredytacji,
• Zgodność z Common Criteria (ITSEF),
• Zgodność z normą PN-EN ISO/IEC 17025:2018-02,
• Zgodność z normą PN-EN ISO/IEC 27001, potwierdzona certyfikatem zgodności wydanym przez akredytowaną jednostkę certyfikującą,
• Zapewnienie poufności wyników badań, poszanowanie praw własności intelektualnej i know-how,
• Innowacje w zakresie cyberbezpieczeństwa,
• Oceny niezależnej strony trzeciej, z zapewnieniem jakości wymaganej od akredytowanego laboratorium, wykraczającej poza twierdzenie „zaufaj mi”
• Możliwość uzyskania certyfikatu cyberbezpieczeństwa dla produktu w jednostce certyfikującej KSO3C umiejscowionej w Naukowej i Akademickiej Sieci Komputerowej - Państwowym Instytucie Badawczym (NASK-PIB) po przejściu z sukcesem oceny bezpieczeństwa produktu,
• Wsparcie dla Klienta, od fazy projektowania po przejście z sukcesem oceny bezpieczeństwa produktu; jesteśmy z Klientem, aby szybko zweryfikować, czy innowacja mieści się w rygorach wyznaczonych przez ocenę bezpieczeństwa
• Ocena gotowości, która pomoże oszacować Klientowi poziom wysiłku, jaki będzie wymagany do przejścia z sukcesem oceny bezpieczeństwa produktu
• Wykwalifikowani i doświadczeni ewaluatorzy
• Aktywność na arenie międzynarodowej, czynny udział w światowych konferencjach m.in: International Common Criteria Conference, ENISA Cybersecurity Certification Conference.

Ze względu na charakter naszej pracy, szanujemy zaufanie i zaangażowanie, jakim nasi Klienci obdarzają nas każdego dnia i dążymy do tego, aby jak najlepiej odpowiadać na ich potrzeby. Stymulujemy kreatywne pomysły oraz innowacyjne sposoby działania, a jednocześnie rozumiemy równowagę między kreatywnością a rygorem oceny bezpieczeństwa.

Zapraszamy do współpracy!
 
Kontakt:
e-mail: LOB_ITSEF@il-pib.pl

Laboratorium Oceny Bezpieczeństwa Produktów Teleinformatycznych powstało w ramach projektu „Krajowy System Oceny i certyfikacji bezpieczeństwa produktów ICT zgodny z Common Criteria (KSO3C)”, finansowanego w ramach Programu Krajowego NCBiR „Cyberbezpieczeństwo i eTożsamość” (CyberSecIdent).