بر اساس سند راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا) و قوانین مصوب برنامه های پنج ساله توسعه ، سازمان فناوری اطلاعات با همکاری مرکز مدیریت راهبـردی افتا عهده دار مسئولیت ارزیابی امنیتی محصولات و خدمات افتا میباشد .

این سازمان در راستای ساماندهی ارائه خدمات امنیت فضای تولید و تبادل اطلاعات ( افتا ) مبادرت به تدوین آیین نامه ساماندهی خدمات افتا ورزیده است.این آیین نامه دربردارنده نحوه صدورپروانه فعالیت برای ارائه دهندگان خدمات و محصولات در حوزه های افتا، میباشد.

گواهینامه افتا

آیین نامه ساماندهی خدمات افتا شامل دستورالعمل بررسی صلاحیت امنیتی شرکت ،کارمندان و مدیران آن برای ارائه محصولات نرم افزاری حساس میگردد. پس از طی فرایند ارزیابی امنیتی محصولات و خدمات در چهارچوب دستورالعملهای این آیین نامه ، و تایید صلاحیت آنها توسط مرکز مدیریت راهبـردی افتا ، گواهی ارزیابی افتا از سوی سازمان فناوری اطلاعات برای متقاضی صادر می گردد.

این گواهینامه با عناوینی از جمله : سند افتا ، گواهی ارزیابی نما و پروانه فعالیت افتا شناخته میشود .

توصیه میشود برای آشنایی شرایط و الزامات اخذ پروانه فعالیت افتا مقاله اخذ گواهینامه افتا را مطالعه فرمایید .

خدمات افتا

در آیین نامه ساماندهی خدمات افتا براساس دسته بندی کلان به خدمات به چهار نوع خدمت تقسیم شده اند

• خدمات مدیریتی افتا
• خدمات عملیاتی افتا
• خدمات فنی افتا
• خدمات آموزشی افتا

هریک از این حوزه ها دربرگیرنده مجموعه ای از گرایش هاست که در ادامه هریک از آنها تشریح میگردد.

خدمات عملیاتی افتا

خدمات عملیاتی افتا، بیشتر بر مهارتهای خاص و یا فنی پرسنل برای پیاده سازی و یا حصول اطمینان از عملكرد مناسب کنترلهای پیاده سازی شده تاکید دارد. لذا ارائه خدمات کلان ذیل در این حوزه قرار میگیرد:

آزمون و ارزیابی امنیتی

خدمت آزمون و ارزیابی امنیتی شامل کلیه خدمات ارزیابی امنیتی نرم افزار، تجهیزات، سرویسها و سامانه ها،آزمون نفوذپذیری و آزمون آسیب پذیری میباشد.

خدمات قابل ارائه در این گرایش عبارتند از:

1. بررسی صحت سیستم
2. پویش سیستم و شبكه
3. ارزیابی آسیب پذیری سامانه، تجهیزات و سرویس ها
4. آزمون نفوذ پذیری سامانه، تجهیزات و سرویس ها
5. ارزیابی امنیتی سامانه، تجهیزات و سرویس ها
6. فارنزیک سامانه، تجهیزات و سرویس ها

مهارتها و قابلیتهای لازم برای ارائه خدمات آزمون و ارزیابی امنیتی عبارتند از:

1. آگاهی، دانش و تسلط کافی بر سیستم عامل ها، شبكه و پروتكل های شبكه، پایگاه داده و برنامه های کاربردی
2. آگاهی، دانش و تسلط کافی بر سرویس های شبكه
3. آشنایی با بدافزارها، حملات و آسیب پذیریها و توانایی ارائه راه حل برای کاهش اثر/جلوگیری از آنها
4. آگاهی از مفاهیم مهندسی معكوس
5. توانایی تحلیل و کشف آسیب پذیری
6. توانایی ارزیابی و مدیریت آسیب پذیری
7. آگاهی از مفاهیم فارنزیک سیستم
8. آشنایی و توانایی کار با ابزارهای آزمون
9. آشنایی و تسلط بر انواع متدلوژی های آزمون
10. آگاهی در مورد استانداردهای مدیریت امنیت اطلاعات

پیاده سازی مرکز عملیات امنیت و تیم پاسخ به رخداد

خدمات مرتبط با پیاده سازی مرکز عملیات امنیت و یا تیم پاسخ به رخداد به خدماتی اطلاق میشود که وظیفه راه اندازی و پشتیبانی از تجهیزات و سامانه های مرتبط با مرکز عملیات امنیت و تیم پاسخ به رخداد را برعهده دارد و برای طراحی ساختار، ارائه راهكارهای مقابله با حوادث امنیتی، تدوین فرایندهای مرتبط، استقرار استانداردهای مرتبط و آموزش کاربران مرکز عملیات امنیت و یا تیم پاسخ به رخداد در محیط کارفرما مورداستفاده قرار میگیرد. در واقع پیاده سازی مرکز عملیات امنیت و تیم پاسخ به رخداد شامل سه بعد فرآیندها،رویه ها، تجهیزات و آموزش نیروی انسانی میباشد.

شرکتهای ارائه دهنده این نوع خدمت لازم است توانمندی انجام فعالیتهای زیر را داشته باشند:

1. طراحی و راه اندازی مرکز عملیات امنیت
2. طراحی و پیاده سازی رویه های مدیریت رخداد
3. توسعه برنامه مدیریت رخداد
4. توسعه و پشتیبانی از پروفایل های پیكربندی سیستم
5. فراهم سازی قابلیت فارنزیک
6. آزمون و به روزرسانی رویه های مدیریت رخداد
7. تهیه طرح تداوم کسب وکار
8. تهیه طرح بازیابی از فاجعه
9. مشاوره در هر یک از خدمات ذکر شده

مهارتهای لازم برای ارائه این خدمت عبارتند از:

1. توانایی برنامه ریزی توسعه و مدیریت رخداد
2. تسلط بر انواع حملات شبكه بیسیم و باسیم
3. آگاهی از مفاهیم فارنزیک سیستم و شبكه
4. توانایی به روزرسانی و مدیریت رویه های مدیریت رخداد (با توسعه ابزارها و تكنیک ها)
5. تسلط بر مفاهیم و معماری شبكه
6. تسلط در زمینه امنیت شبكه، سیستم عامل، پایگاه داده و برنامه های کاربردی
7. تسلط بر پیكربندی تجهیزات شبكه
8. توانایی پیكربندی امن تجهیزات نرم افزاری و سخت افزاری

پیاده سازی امنیت فیزیكی و محیط پیرامونی

این گرایش شامل طراحی، نصب، پیكربندی و پشیبانی از راه حلهای ایجاد امنیت فیزیكی و محیط پیرامونی است.

شرکتهای ارائه دهنده این نوع خدمت لازم است توانمندی انجام فعالیتهای زیر را داشته باشند:

1. امن سازی و مقاوم سازی امن اتاق سرور و مراکز داده
2. طراحی و پیاده سازی سامانه های اطفاء حریق در محیط های مرتبط با فناوری اطلاعات
3. طراحی و پیاده سازی راه حلهای تامین مطمئن انرژی برای تجهیزات فناوری اطلاعات
4. طراحی و پیاده سازی سامانه های کنترل دسترسی فیزیكی مانند سیستمهای کنترل ورود/دروج
5. طراحی و پیاده سازی امنیت محیط پیرامونی

مهارتهای لازم برای ارائه این خدمت عبارتند از:

1. تسلط بر مكانیزمهای فیزیكی کنترل دسترسی
2. تسلط بر ایمن سازی محیطی برای حوزه فناوری اطلاعات
3. تسلط بر مكانیزمها و راه حلهای امنیت محیط پیرامونی
4. آشنایی با تجهیزات امنیت محیط پیرامونی
5. تسلط بر راه حلهای تامین مطمئن برق
6. ارزیابی امنیت فیزیكی

امن سازی و مقاوم سازی سامانه ها، زیرساخت ها و سرویس ها

ارائه دهندهی این نوع گرایش نسبت به امن سازی و مقاوم سازی شبكه، سیستم، سرویسها، تجهیزات نرم افزاری و سخت افزاری برای مقابله با بدافزارها، دسترسی های غیرمجاز و نفوذگران در محیط کارفرما اقدام می نماید. مقاوم سازی سامانه ها و همچنین پیاده سازی طرح های تداوم کسب وکار در حوزه فناوری اطلاعات و طراحی و پیاده سازی شبكه امن در رده این گرایش قرار میگیرند.

شرکتهای ارائه دهنده این نوع خدمت لازم است توانمندی انجام فعالیتهای زیر را داشته باشند:

1. ارائه معماری امن شبكه
2. ارائه راه حل و پیاده سازی چهارچوب برای تداوم کسب و کار امنیتی
3. امن سازی و مقاوم سازی برنامه های کاربردی، پایگاه دادهها، سرویسها و سیستم عامل
4. توسعه برنامه بازیابی و پشتیبان گیری امن داده ها
5. امن سازی و مقاوم سازی زیر ساختها و استفاده از رمزنگاری و پروتكل های ارتباطی امن
6. مشاوره در مورد هر یک از خدمات موارد ذکر شده

مهارت های لازم برای ارائه این خدمت عبارتند از:

1. تسلط بر مفاهیم و معماری شبكه
2. تسلط بر راهبری و پیكربندی تجهیزات شبكه
3. تسلط بر امن سازی و مقاوم سازی سیستمها، سرورها و شبكه
4. آشنایی با انواع پروتكل های امن و رمزنگاری
5. تسلط بر راه حل های مرتبط با تداوم کسب وکار در فناوری اطلاعات
6. تسلط بر مجازی سازی و رایان ابری
7. ارزیابی و مدیریت ریسک و آسیب پذیریها
8. آشنایی با انواع پروتكلهای امن و رمزنگاری
9. آگاهی از استانداردهای مدیریت فناوری اطلاعات و مدیریت امنیت فناوری اطلاعات

راهبری مرکز عملیات امنیت و تیم پاسخ به رخداد

خدمات مرتبط با راهبری مرکز عملیات امنیت و یا تیم پاسخ به رخداد به خدماتی اطلاق میشود که به منظور راهبری امنیتی، مدیریت رخدادهای امنیتی و حفظ اطلاعات، پایش وقایع امنیتی، شناسایی حوادث امنیتی و رسیدگی به موقع به آنها در محیط کارفرما مورد استفاده قرار میگیرد. این خدمات میتوانند به صورت خدمات امنیتی مدیریت شده نیز ارائه گردند.

شرکتهای ارائه دهنده این نوع خدمت لازم است توانمندی انجام فعالیت های زیر را داشته باشند:

1. راهبری امن مرکز عملیات امنیت
2. راهبری امن رویه های مدیریت رخداد
3. انجام اقدامات اولیه فارنزیک
4. اجرای اقدامات اصلاحی اولیه

مهارتهای لازم برای ارائه این خدمت عبارتند از:

1. آشنایی با ابزارهای پای ترافیک و رکوردهای ثبت شده
2. تسلط کافی بر انواع حملات شبكه بیسیم و باسیم
3. آشنایی با اقدامات فارنزیک سیستم و شبكه
4. توانایی پشتیبان گیری و بازیابی دادهها
5. توانایی به روزرسانی و مدیریت رویه های مدیریت رخداد (راهبری رویه ها)
6. تسلط کافی بر مفاهیم و معماری شبكه
7. تسلط کافی در زمینه امنیت شبكه، سیستم عامل، پایگاه داده و برنامه های سیستمی
8. تسلط فنی بر استفاده از تجهیزات شبكه

خدمات آموزشی افتا

این حوزه خدمات شامل ارائه آموزش کلیه دوره های امنیتی در سطوح و موضوعات مختلف به متقاضیان است.

تذکر: دامنه این حوزه مربوط به آموزشهایی میباشد که منجر به دریافت گواهینامه های ملی و بین المللی در زمینه دورههای آموزشی امنیت اطلاعات و ارتباطات گردد.

برگزاری دوره های آموزشی افتا

گرایش این خدمت شامل برگزاری دوره های آموزش امنیتی در سطوح و موضوعات مختلف میباشد. شایان ذکر است با توجه به درخواست متقاضی، عنوان آموزش مورد تایید، در گواهی صادر شده در این گرایش ذکر میشود.

علاوه بر اینكه شرکت متقاضی باید شرایط، فضا و تجهیزات مناسب با دوره های آموزشی را فراهم نماید. لازم است تا مدرس دوره نیز مهارت و توانایی لازم برای برگزاری آن دوره را داشته باشد.

مهارتها و قابلیتهای لازم برای مدرسین در ارائه این خدمت عبارتند از:

1. آشنایی با مدیریت کیفیت خدمات آموزش
2. آشنایی با مدیریت موثر آموزش

پیش تر در مقاله گواهینامه افتا در مورد پروانه فعالیت افتا ، تفضیل پرداخته شده و مطالعه آن خالی از لطف نیست .

برای مشاوره درخصوص اخذ پروانه فعالیت افتا با مشاورین گروه آسیا از طریق تماس تلفنی و واتس اپ در ارتباط باشید .