افتا چیست؟

چکیده مقاله

در شرکت‌های نرم‌افزاری که در فضای تبادل اطلاعات فعالیت می‌کنند تامین امنیت بسیار حائر اهمیت می‌باشد. از این رو هر شرکتی باید یک برنامه امنیتی داشته باشد زیرا حفاظت از امنیت اطلاعات همان حفاظت از مهم‌ترین سرمایه شماست. بدیهی است که استفاده از محصولات، خدمات و نرم‌افزارهای بومی که دارای صلاحیت امنیتی هستند منجر به ارتقای امنیت شبکه ملی خواهد شد و از خسارات احتمالی ناشی از بکارگیری محصولات نا‌امن پیشگیری خواهد شد.

افتا چیست؟

افتا مخفف عبارت (امنیت فضای تولید و تبادل اطلاعات) است که به عنوان‌های مختلف از جمله: سند افتا، گواهی ارزیابی افتا, گواهی ارزیابی نما نیز شناخته می‌شود. نظام مدیریت امنیت اطلاعات(نما)، در زمینه‌ امن‌سازی فضای تولید و تبادل اطلاعات توسط سازمان فناوری اطلاعات و مرکز ماهر صورت گرفته که شامل فعالیت‌هایی مانند استانداردهای تخصصی امنیت، مدیریت، اعتباربخشی، صدور پروانه و نظارت برعملکرد شرکت‌های ارائه ‌کننده خدمات در سطح کشور، رسیدگی و پاسخگویی مناسب به رخدادهای سایبری و فعالیت‌های بین‌المللی در حوزه امنیت می‌شود. «سند افتا» سندی راهبردی ملی است که وظایفی را برای وزارتخانه‌ها و نهادهای حاکمیتی کشور در زمینه‌ امن‌سازی «فضای تولید و تبادل اطلاعات»، مقرر کرده است. یکی از نظام‌های اصلی مورد اشاره در سند افتا، نظام مدیریت امنیت اطلاعات است که در این راستا سازمان فناوری اطلاعات ایران فعالیت‌هایی از قبیل تدوین استانداردهای افتا، خصوصا استانداردهای تخصصی امنیت، مدیریت، اعتباربخشی، صدور پروانه و نظارت بر عملکرد شرکت‌های ارائه‌کننده خدمات افتا در سطح کشور و تعامل با مجامع بین‌المللی تخصصی امنیت فضای تولید و تبادل اطلاعات را انجام می‌دهد.

نمونه تصویر گواهی ارزیابی امنیت افتا

افتا چیست — گواهی ارزیابی امنیت محصول(افتا) اخذ شده توسط شرکت تحولات نوین یادمان – مارکوپکس

دسته بندی خدمات در افتا

خدمات مدیریت امنیت

خدمات مدیریت امنیت، خدماتی از جنس طراحی‌های کلان و ساختاری، طرح‌ریزی، برنامه‌ریزی، بهبود و ساماندهی، سنجش و پیشگیری مخاطرات امنیتی در سازمان‌ها و یا نظام‌های فناوری اطلاعات و ارتباطات است. لذا ارائه خدمات کلان ذیل در این گروه قرار می‌گیرد.

خدمات مشاوره و استقرار استانداردهای امنیت اطلاعات و ارتباطات
خدمات ممیزی انطباق استانداردهای اطلاعات و ارتباطات
طرح ریزی معماری و زیرساخت امنیت
ارائه مشاوره حقوقی در حوزه افتا
خدمات بیمه افتا

خدمات عملیات امنیت

خدمات عملیات امنیت، خدماتی است که بیشتر بر مهارت‌های خاص و یا فنی پرسنل برای پیاده‌سازی و یا حصول اطمینان از عملکرد مناسب کنترل‌های پیاده‌سازی شده تاکید دارد. لذا ارائه خدمات کلان ذیل در این گروه قرار می‌گیرد:

آزمون و ارزیابی امنیتی
پیاده‌سازی مرکز عملیات امنیت و تیم پاسخ به رخداد
پیاده‌سازی امنیت فیزیکی و محیط پیرامونی
امن‌سازی و مقتوم‌سازی سامانه‌ها، زیرساخت‌ها و سرویس‌ها
راهبری مرکز عملیات امنیت و تیم پاسخ به رخداد

خدمات فنی افتا

خدمات فنی افتا، شامل پیکربندی امن و پشتیبانی امنیتی محصول فتا می‌باشد و متقاضیان در این حوزه می‌بایست برای محصول مورد نظر گواهی ارزیابی امنیتی دریافت کرده باشند. شایان ذکر است با توجه به درخواست متقاضی، عنوان محصول مورد تایید در پروانه فعالیت صادر شده در این گرایش ذکر می‌شود.

خدمات آموزشی افتا

خدمات آموزشی افتا، این دسته خدمات شامل ارائه آموزش کلیه دوره‌های امنیتی در سطوح و موضوعات مختلف به متقاضیان دریافت این خدمات است. توجه به این نکته ضروریست که در قالب انواع ارائه سه دسته خدمات مدیریت، عملیات و فنی، انتقال دانش مرتبط با موضوع ارائه خدمات شامل خدمات آموزش نبوده و آموزش‌هایی که شامل صدور گواهینامه‌های ملی و بین‌المللی در زمینه دوره‌های آموزشی امنیت اطلاعات و ارتباطات است، در قلمرو خدمات آموزش قرار می‌گیرد.

استانداردها و آزمایش‌های افتا

معاونت امنیت فضای تولید و تبادل اطلاعات (افتا) در آزمایشگاه‌های مورد تایید این سازمان، محصولات در حوزه فناوری و تبادل اطلاعات را مورد بررسی و آزمون‌های مختلف SFRs,SARs,ASVS قرار می‌دهند و همچنین تست‌های مختلف نفوذ و شنود را برروی آن انجام می‌دهند تا امکان هیچگونه آسیب‌پذیری نباشد.

لیست پروفایل‌های حفاظتی محصولات

ردیف	پروفایل حفاظتی	ردیف	پروفایل حفاظتی
۱	دیواره آتش	۲۱	افزاره ایجاد امضای امن- قسمت ۵: الحاقی برای افزاره با امکان تولید کلید و ارتباطات مورد اعتماد با برنامه‌کاربردی ایجاد امضا
۲	(ND) تجهیز شبکه	۲۲	افزاره ایجاد امضای امن- قسمت ۶: الحاقی برای افزاره با ورود کلید و ارتباطات مورد اعتماد برنامه‌کاربردی ایجاد امضا
۳	VPN Client	۲۳	سیستم‌‌های عامل‌ همه‌منظوره
۴	VPN Gateway	۲۴	گذرنامه الکترونیکی
۵	سیستم تشخیص نفوذ	۲۵	رمزنگاری کل درایو-موتور رمزنگاری
۶	آنتی ویروس	۲۶	رمزنگاری کل درایو –اکتساب مجوز
۷	سوییچ KVM	۲۷	نرم افزار ‌کاربردی برای سرورهای احراز هویت
۸	Router	۲۸	افزاره شبکه: بسته الحاقی کنترل کننده نشست
۹	کلاینت بیسیم	۲۹	برنامه های کاربردی تحت شبکه
۱۰	تجهیزات شبکه بیسیم	۳۰	برنامه کاربردی
۱۱	SIEM	۳۱	(UTM) مدیریت یکپارچه تهدیدات
۱۲	سامانه مدیریت امنیت	۳۲	سامانه مدیریت محتوی/پرتال
۱۳	سیستم جلوگیری از نفوذ‌(IPS)	۳۳	یکسو کننده جریان داده
۱۴	WAF	۳۴	سامانه مدیریت دسترسی خاص (PAM)
۱۵	هانی پات	۳۵	OTPتوکن امنیتی نوع ۱
۱۶	ایمیل کلاینت	۳۶	OTPتوکن امنیتی نوع ۲
۱۷	ابزار ویرایش	۳۷	OTPتوکن امنیتی نوع ۳
۱۸	افزاره ایجاد امضای امن- قسمت ۲: افزاره با تولید کلید	۳۸	پروفایل حفاظتی محصولات با قابلیت مانیتورینگ شبکه
۱۹	افزاره ایجاد امضای امن- قسمت ۳: افزاره با ورود کلید
۲۰	افزاره ایجاد امضای امن- قسمت ۴: الحاقی برای افزاره با تولید کلید و کانال قابل‌اعتماد با برنامه‌کاربردی تولید گواهی

شما تولیدکنندگان محترم نرم‌افزارهای تحت شبکه برای سهولت بیشتر جهت آماده‌سازی محصول خود می‌توانید به سند آماده شده توسط مرکز مدیریت راهبردی افتا تحت عنوان الزامات امنیتی برنامه‌های کاربردی رجوع کنید. برای دانلود این سند اینجا کلیک کنید.

سوالات متداول

اکنون با توجه به موضوعات فوق حتما به دنبال پاسخ سوال‌های زیر هستید. *معیارهای ارزیابی متقاضیان دریافت پروانه فعالیت در حوزه خدمات افتا به چه صورت می‌باشد؟ جهت اطلاع از معیارها و شاخص‌های ارزیابی به اینجا مراجعه نمایید. *چگونه می‌توانیم به لیست گواهی‌های صادر شده در حوزه افتا دسترسی پیدا کنیم؟ از طریق لینک زیر می‌توانید استعلام تمامی گواهی‌های صادر شده را دریافت کنید. https://ito.gov.ir/page/certificates *در حال حاضر چه خدماتی توسط اداره کل نما ارائه می‌شود؟ در حال حاضر ارائه خدمات امنیت فضای تولید و تبادل اطلاعات در ۴ حوزه (مدیریتی– عملیاتی– فنی– آموزشی) ارائه می‌شود که گرایش‌های هریک در بالا توضیح داده شده است و در سایت سازمان فناوری اطلاعات ایران به نشانی زیر نیز قابل مشاهده است. https://sec.ito.gov.ir/page/namarequest *اصلا یک محصول نرم‌افزاری نیاز به اخذ چه گواهینامه‌هایی دارد؟ *به عنوان موسس یک شرکت نرم‌افزاری برای دریافت گواهینامه‌ها باید از طریقی اقدام کنیم؟ جهت مشاهده و کسب اطلاعات بیشتر درمورد ۲ پرسش آخر به صفحه اینستاگرام ما به نشانی marcopacs مراجعه کنید.