بر اساس سند راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا) و قوانین مصوب برنامه های پنج ساله توسعه ، سازمان فناوری اطلاعات با همکاری مرکز مدیریت راهبـردی افتا عهده دار مسئولیت ارزیابی امنیتی محصولات و خدمات افتا میباشد .
این سازمان در راستای ساماندهی ارائه خدمات امنیت فضای تولید و تبادل اطلاعات ( افتا ) مبادرت به تدوین آیین نامه ساماندهی خدمات افتا ورزیده است.این آیین نامه دربردارنده نحوه صدورپروانه فعالیت برای ارائه دهندگان خدمات و محصولات در حوزه های افتا، میباشد.
گواهینامه افتا
آیین نامه ساماندهی خدمات افتا شامل دستورالعمل بررسی صلاحیت امنیتی شرکت ،کارمندان و مدیران آن برای ارائه محصولات نرم افزاری حساس میگردد. پس از طی فرایند ارزیابی امنیتی محصولات و خدمات در چهارچوب دستورالعملهای این آیین نامه ، و تایید صلاحیت آنها توسط مرکز مدیریت راهبـردی افتا ، گواهی ارزیابی افتا از سوی سازمان فناوری اطلاعات برای متقاضی صادر می گردد.
این گواهینامه با عناوینی از جمله : سند افتا ، گواهی ارزیابی نما و پروانه فعالیت افتا شناخته میشود .
توصیه میشود برای آشنایی شرایط و الزامات اخذ پروانه فعالیت افتا مقاله اخذ گواهینامه افتا را مطالعه فرمایید.
خدمات افتا
در آیین نامه ساماندهی خدمات افتا براساس دسته بندی کلان به خدمات به چهار نوع خدمت تقسیم بندی شده اند
- خدمات مدیریتی افتا
- خدمات عملیاتی افتا
- خدمات فنی افتا
- خدمات آموزشی افتا
هریک از این حوزه ها دربرگیرنده مجموعه ای از گرایش هاست که در ادامه هریک از آنها تشریح میگردد.
خدمات مدیریتی افتا
خدمات مدیریتی افتا، خدماتی از جنس طراحی های کلان و ساختاری، طرح ریزی، برنامه ریزی، بهبود و ساماندهی، سنج و پیشگیری مخاطرات امنیتی در سازمانها و تدوین نظامها و سیاستهای امنیتی است. لذا ارائه خدمات کلان ذیل در این حوزه قرار میگیرد:
مشاوره و استقرار استانداردهاي امنيت اطلاعات و ارتباطات
مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:
1.توانایی تعیین سطح امنیتی مناسب برای محافظت از سازوکار و دارائی های سازمانها
2. توانایی تحلیل و مدیریت ریسک
3.توانایی تدوین خط مشی، فرایندها و راهنماهای امنیتی
4.تسلط بر استانداردهای مدیریت امنیت اطلاعات و مدیریت فناوری اطلاعات و تدوام کسب و کار و COBIT و ITIL
5.آشنایی با استانداردهای ارزیابی امنیتی
6.آشنایی با مدلهای بلوغ امنیت اطلاعات
7. توانمندی های عمومی مشاوره
مميزی انطباق استانداردهای امنيت اطلاعات و ارتباطات
تذکر: متقاضیان ارائه این خدمت نمیتوانند در گرایش مشاوره و استقرار استانداردهای امنیت اطلاعات و ارتباطات فعالیت نمایند.
مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:
1.مطابقت با چک لیست الزامات ممیزی و صدور گواهینامه
2.مطابقت با استانداردهای الزامات مراکز گواهی در حوزه سیستمهای مدیریتی فتا و افتا
3. توانایی توسعه و پشتیبانی از یک طرح امنیتی برای هر سیستم و دارائیهای تحت کنترل سازمان
4.توانایی تحلیل و مدیریت ریسک
5. تسلط بر خط مشی، فرایندها و راهنماهای امنیتی
6.تسلط بر استانداردهای مدیریت امنیت اطلاعات، مدیریت فناوری اطلاعات و تدوام کسب و کار
7. آشنایی با استانداردهای ارزیابی امنیتی
8. آشنایی با مدلهای بلوغ امنیت اطلاعات
طرح ريزي معماری و زيرساخت امنيت
دارنده این پروانه فعالیت میتواند به عنوان مجری طرح امن سازی زیر ساختهای حیاتی در مقابل حملات الكترونیكی فعالیت نماید. شرط لازم برای درخواست این پروانه فعالیت، داشتن پروانه فعالیت مشاوره و استقرار استانداردهای مدیریت امنیت اطلاعات و ارتباطات و نیز داشتن حداقل دو پروانه فعالیت از چهار گرایش زیر باشد:
1.آزمون و ارزیابی امنیتی
2. پیاده سازی مرکز عملیات امنیت و تیم پاسخ به رخ داد
3. امن سازی و مقاوم سازی سامانه ها، زیر ساخت ها و سرویس ها
4. راهبری مرکز عملیات امنیت و تیم پاسخگویی به رخ داد
براین اساس متقاضیان دریافت این پروانه فعالیت باید مهارتها و قابلیتهای مطرح شده در گرایش های مذکور را دارا باشند.
ارائه مشاوره حقوقي در زمينه افتا
مهارتها و قابلیت های لازم برای ارائه این خدمت عبارتند از:
1. آشنایی با قوانین و مقررات پی جویی وکشف جرایم سایبری
2.آشنایی با قوانین حوزه فناوری اطلاعات در ایران
3. آشنایی با نحوه پی جویی و کشف جرایم سایبری
4.آشنایی با اصول عملكرد سیستمهای پیشگیری از افشای اطلاعات (برای مثال در مهندسی اجتماعی)
خدمات بيمه افتا
مهارتها و قابلیت های لازم برای ارائه این خدمت عبارتند از:
1. آشنایی با ریسکهای فاوا قابل ارزیابی و بیمه پذیر
2.توانایی در عرضه بیمه افتا
3.دارا بودن الزامات قانونی تاسیس شرکت بیمه مطابق با آیین نامه شماره 71 بیمه مرکزی جمهوری اسلامی ایران
3.آشنایی با الزامات استانداردهای آموزش و مدیریت امنیت
4. توانایی ارائه محصولات کمک آموزشی و راه اندازی کارگاه آموزشی و برگزاری سمینارهای تخصصی
تسلط فنی بر دوره های آموزشی از قبیل امنیت سیستم عامل، شبكه، پایگاه داده، برنامه های کاربردی، بدافزار، استانداردهای امنیتی
آگاهی از مستندات 16-800 SP NIST و 50-800 SP NIST و دیگر مستندات و استانداردهای مربوطه
5. داشتن مجوز استانداردی مبنی بر ارائه خدمات آموزش
خدمات فنی افتا
خدمات فنی افتا، شامل پیكربندی امن و پشتیبانی امنیتی محصول فتا میباشد و متقاضیان در این حوزه میبایست برای محصول مورد نظر گواهی ارزیابی امنیتی دریافت کرده باشند. شایان ذکر است با توجه به درخواست متقاضی، عنوان محصول مورد تایید در پروانه فعالیت صادر شده در این گرایش ذکر میشود.
نصب و پشتيباني محصولات افتا
این گرایش خدمات شامل خدمات نصب، راه اندازی، پیكربندی، به روزرسانی، پشتیبانی و آزمایش و تحویل هر نوع خدمات فنی مرتبط با محصولات فتا میشود.
مهارتهای لازم برای ارائه این خدمت عبارتند از:
1.تسلط فنی متقاضی بر پیكربندی امن محصول
2. تسلط فنی متقاضی در پشتیبانی امن محصول
3.تسلط فنی متقاضی بر روشهای مختلف استفاده از محصول
4.صلاحیت فرایندی و اعتباری پشتیبانی از محصول (تعامل متقاضی با شرکت تولیدکننده محصول(
پیش تر در مقاله گواهینامه افتا در مورد پروانه فعالیت افتا ، تفضیل پرداخته شده ومطالعه آن خالی از لطف نیست .