در شرکتهای نرمافزاری که در فضای تبادل اطلاعات فعالیت میکنند تامین امنیت بسیار حائر اهمیت میباشد. از این رو هر شرکتی باید یک برنامه امنیتی داشته باشد زیرا حفاظت از امنیت اطلاعات همان حفاظت از مهمترین سرمایه شماست. بدیهی است که استفاده از محصولات، خدمات و نرمافزارهای بومی که دارای صلاحیت امنیتی هستند منجر به ارتقای امنیت شبکه ملی خواهد شد و از خسارات احتمالی ناشی از بکارگیری محصولات ناامن پیشگیری خواهد شد.
آنچه در این مقاله خواهید خواند:
در شرکتهای نرمافزاری که در فضای تبادل اطلاعات فعالیت میکنند تامین امنیت بسیار حائر اهمیت میباشد. از این رو هر شرکتی باید یک برنامه امنیتی داشته باشد زیرا حفاظت از امنیت اطلاعات همان حفاظت از مهمترین سرمایه شماست. بدیهی است که استفاده از محصولات، خدمات و نرمافزارهای بومی که دارای صلاحیت امنیتی هستند منجر به ارتقای امنیت شبکه ملی خواهد شد و از خسارات احتمالی ناشی از بکارگیری محصولات ناامن پیشگیری خواهد شد.
افتا چیست؟
افتا مخفف عبارت (امنیت فضای تولید و تبادل اطلاعات) است که به عنوانهای مختلف از جمله: سند افتا، گواهی ارزیابی افتا, گواهی ارزیابی نما نیز شناخته میشود.نظام مدیریت امنیت اطلاعات(نما)، در زمینه امنسازی فضای تولید و تبادل اطلاعات توسط سازمان فناوری اطلاعات و مرکز ماهر صورت گرفته که شامل فعالیتهایی مانند استانداردهای تخصصی امنیت، مدیریت، اعتباربخشی، صدور پروانه و نظارت برعملکرد شرکتهای ارائه کننده خدمات در سطح کشور، رسیدگی و پاسخگویی مناسب به رخدادهای سایبری و فعالیتهای بینالمللی در حوزه امنیت میشود.«سند افتا» سندی راهبردی ملی است که وظایفی را برای وزارتخانهها و نهادهای حاکمیتی کشور در زمینه امنسازی «فضای تولید و تبادل اطلاعات»، مقرر کرده است.یکی از نظامهای اصلی مورد اشاره در سند افتا، نظام مدیریت امنیت اطلاعات است که در این راستا سازمان فناوری اطلاعات ایران فعالیتهایی از قبیل تدوین استانداردهای افتا، خصوصا استانداردهای تخصصی امنیت، مدیریت، اعتباربخشی، صدور پروانه و نظارت بر عملکرد شرکتهای ارائهکننده خدمات افتا در سطح کشور و تعامل با مجامع بینالمللی تخصصی امنیت فضای تولید و تبادل اطلاعات را انجام میدهد.
نمونه تصویر گواهی ارزیابی امنیت افتا
گواهی ارزیابی امنیت محصول(افتا) اخذ شده توسط شرکت تحولات نوین یادمان – مارکوپکس
دسته بندی خدمات در افتا
خدمات مدیریت امنیت
خدمات مدیریت امنیت، خدماتی از جنس طراحیهای کلان و ساختاری، طرحریزی، برنامهریزی، بهبود و ساماندهی، سنجش و پیشگیری مخاطرات امنیتی در سازمانها و یا نظامهای فناوری اطلاعات و ارتباطات است. لذا ارائه خدمات کلان ذیل در این گروه قرار میگیرد.
خدمات مشاوره و استقرار استانداردهای امنیت اطلاعات و ارتباطات
خدمات ممیزی انطباق استانداردهای اطلاعات و ارتباطات
طرح ریزی معماری و زیرساخت امنیت
ارائه مشاوره حقوقی در حوزه افتا
خدمات بیمه افتا
خدمات عملیات امنیت
خدمات عملیات امنیت، خدماتی است که بیشتر بر مهارتهای خاص و یا فنی پرسنل برای پیادهسازی و یا حصول اطمینان از عملکرد مناسب کنترلهای پیادهسازی شده تاکید دارد. لذا ارائه خدمات کلان ذیل در این گروه قرار میگیرد:
آزمون و ارزیابی امنیتی
پیادهسازی مرکز عملیات امنیت و تیم پاسخ به رخداد
پیادهسازی امنیت فیزیکی و محیط پیرامونی
امنسازی و مقتومسازی سامانهها، زیرساختها و سرویسها
راهبری مرکز عملیات امنیت و تیم پاسخ به رخداد
خدمات فنی افتا
خدمات فنی افتا، شامل پیکربندی امن و پشتیبانی امنیتی محصول فتا میباشد و متقاضیان در این حوزه میبایست برای محصول مورد نظر گواهی ارزیابی امنیتی دریافت کرده باشند. شایان ذکر است با توجه به درخواست متقاضی، عنوان محصول مورد تایید در پروانه فعالیت صادر شده در این گرایش ذکر میشود.
خدمات آموزشی افتا
خدمات آموزشی افتا، این دسته خدمات شامل ارائه آموزش کلیه دورههای امنیتی در سطوح و موضوعات مختلف به متقاضیان دریافت این خدمات است. توجه به این نکته ضروریست که در قالب انواع ارائه سه دسته خدمات مدیریت، عملیات و فنی، انتقال دانش مرتبط با موضوع ارائه خدمات شامل خدمات آموزش نبوده و آموزشهایی که شامل صدور گواهینامههای ملی و بینالمللی در زمینه دورههای آموزشی امنیت اطلاعات و ارتباطات است، در قلمرو خدمات آموزش قرار میگیرد.
استانداردها و آزمایشهای افتا
معاونت امنیت فضای تولید و تبادل اطلاعات (افتا) در آزمایشگاههای مورد تایید این سازمان، محصولات در حوزه فناوری و تبادل اطلاعات را مورد بررسی و آزمونهای مختلف SFRs,SARs,ASVS قرار میدهند و همچنین تستهای مختلف نفوذ و شنود را برروی آن انجام میدهند تا امکان هیچگونه آسیبپذیری نباشد.
شما تولیدکنندگان محترم نرمافزارهای تحت شبکه برای سهولت بیشتر جهت آمادهسازی محصول خود میتوانید به سند آماده شده توسط مرکز مدیریت راهبردی افتا تحت عنوان الزامات امنیتی برنامههای کاربردی رجوع کنید.برای دانلود این سند اینجا کلیک کنید.
سوالات متداول
اکنون با توجه به موضوعات فوق حتما به دنبال پاسخ سوالهای زیر هستید.*معیارهای ارزیابی متقاضیان دریافت پروانه فعالیت در حوزه خدمات افتا به چه صورت میباشد؟جهت اطلاع از معیارها و شاخصهای ارزیابی به اینجا مراجعه نمایید.*چگونه میتوانیم به لیست گواهیهای صادر شده در حوزه افتا دسترسی پیدا کنیم؟از طریق لینک زیر میتوانید استعلام تمامی گواهیهای صادر شده را دریافت کنید.https://ito.gov.ir/page/certificates*در حال حاضر چه خدماتی توسط اداره کل نما ارائه میشود؟در حال حاضر ارائه خدمات امنیت فضای تولید و تبادل اطلاعات در ۴ حوزه (مدیریتی– عملیاتی– فنی– آموزشی) ارائه میشود که گرایشهای هریک در بالا توضیح داده شده است و در سایت سازمان فناوری اطلاعات ایران به نشانی زیر نیز قابل مشاهده است.https://sec.ito.gov.ir/page/namarequest*اصلا یک محصول نرمافزاری نیاز به اخذ چه گواهینامههایی دارد؟*به عنوان موسس یک شرکت نرمافزاری برای دریافت گواهینامهها باید از طریقی اقدام کنیم؟جهت مشاهده و کسب اطلاعات بیشتر درمورد ۲ پرسش آخر به صفحه اینستاگرام ما به نشانی marcopacs مراجعه کنید.
