تأمین امنیت چالش مهمی برای سازمان ها است . نگرانیهای امنیتی در زمینه های مختلف سازمانها را برآن داشته تا جهت حفظ امنیت زیرسـاخت هـای حساس و حیاتی خود همواره به دنبال به کارگیری رویکردهای امنیتی مناسب باشند.
تامین امنیت اطلاعات یکی از مهمترین این زمینه هاست .اطلاعات به عنوان یکی با ارزشترین سرمایه های هرسازمان همواره در معرض تهدیدات سایبری است و آسیب پذیری درزمینه امنیت اطلاعات میتواند به قیمت از دست رفتن این سرمایه ارزشمند و متعاقب آن آسیبهای جبران ناپذیری را به بار آورد.
از این رو تامین امنیت اطلاعات همواره مهمترین چالش پیش روی هر سازمان میباشد و هر سازمانی ناگزیر برای حفاظت از این دارایی ارزشمند نیازمند اتخاذ رویکرد امنیتی مناسب و مطمئن است.
اولین راهکاری برای برقراری امنیت، استفاده از محصولات، خدمات و نرم افزارهای مطمئن با صلاحیت امنیتی تایید شده میباشد . چرا که این محصولات به صورت بالقوه می توانند در معرض حملات متعدد سایبری قرار گیرند.
صدور گواهینامه افتا
در راستای ارزیابی امنیتی محصولات فتا ، سازمان فناوری اطلاعات با همکاری مرکز مدیریت راهبـردی افتا و براساس سند راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا) و قوانین مصوب برنامه های پنج ساله توسعه ، عهده دار طراحی و اجرای فرایند و روالی استاندارد و فراگیر جهت ارزیابی امنیتی محصولات فتا گردیده است تا به این ترتیب اطمینان از صلاحیت امنیتی محصولات و خدمات مورد استفاده سازمانها ممکن گردد و تهدیدات امنیتی در این زمینه به کمترین حد ممکن رسیده و از داده ها و اطلاعات حساس کشور در بالاترین سطوح حفاظت شود.
تمامی محصولاتی که طی این فرایند مورد بررسی قرار میگیرند در صورت احراز صلاحیت امنیتی آنها توسط مرکز مدیریت راهبردی افتا (مرکز افتا) و سازمان فناوری اطلاعات ایران گواهینامه ارزیابی امنیتی محصول یا همان گواهینامه افتا را دریافت خواهند کرد . (افتا) مخفف عبارت (امنیت فضای تولید و تبادل اطلاعات) می باشد و دریافت گواهینامه افتا بدان معنی است که محصول مورد نظر ، امنیت کافی برای مقابله با حملات سایبری و سایر مخاطرات موجود در فضای اینترنت را دارا میباشد .
اهداف طرح ارزیابی امنیتی محصول
مسئله مهم برای مصرف کنندگان محصولات فتا در انتخاب محصول مورد نظر خود از میان طیف وسیعی ازتکنولوژیها ، ابزارها و سامانه های فناوری اطلاعات با قابلیت های متفاوت ، انتخاب محصولی است که بتواند نیازهای آنها را برآورده نماید و در عین حال از اطلاعات آنها در حد مناسبی محافظت نماید.
از این رو مرکز افتا و سازمان فناوری اطلاعات با هدف کمک به مصرف کنندگان و ارائه دهندگان محصولات و خدمات براساس استانداردها و دستورالعمل های ابلاغی مرکز افتا از جمله استاندارد ارزیابی معیار مشترک ،اقدام به تدوین طرح ارزیابی امنیتی محصولات فتا نموده اند.
اهداف اصلی طرح ارزیابی امنیتی عبارت اند از:
- حصول اطمینان از انجام ارزیابی های امنیتی محصولات فتا، منطبق بر استاندارد های ارزیابی مشترک
- رفع دغدغه ها و مخاطرات امنیتی ناشی از بکارگیری محصولات ارزیابی نشده
- بهبود دسترسی محصولات ارزیابی شده
- حمایت از توسعه محصولات نرم افزاری بومی
- ارتقای سطح امنیت محصولات نرم افزاری
اهمیت گواهینامه افتا
گواهینامه افتا مدرکی است دال بر امنیت بالای محصول در راستای حفاظت از اطلاعات و داده ها در فضای مجازی و همچنین انتقال امن داده ها و اطلاعات .
در راستای اجرای صحیح طرح ارزیابی امنیتی محصولات ، مدیران سازمانها مکلفند هنگام انتخاب سامانه ها و سیستم های تولید و تبادل اطلاعات، حتماً به گواهی افتای سازمان یا شرکت اراِئه دهنده خدمات توجه داشته باشند و تنها از محصولات نرم افزاری استفاده نمایند که گواهی ارزیابی امنیتی محصول را دریافت کرده باشند .
علاوه بر این از آنجا که ، سازمان فناوری اطلاعات برای اعطای گواهی ارزیابی امنیتی محصول علاوه بر بررسی امنیتی محصول و انجام تست های مختلف بر روی آن ، شرکت و یا سازمان ارائه دهنده محصول و یا خدمت ، مدیران و پرسنل فعال در آن را نیز مورد بررسی قرار میدهد، گواهی نامه افتا، علاوه بر تایید امنیت محصول مربوطه، نشان دهنده امنیت ، اصالت و حسن کار شرکت ارائه دهنده آن نیز میباشد .
فرایند ارزیابی امنیتی محصول
همان طور که پیشتر عنوان شد، مرکز مدیریت افتا با همکاری سازمان فناوری اطلاعات ایران، عهده دار تدوین فرایند و روال ارزیابی امنیتی محصولات را طراحی و اجرا میباشند . متقاضیان دریافت گواهینامه افتا در طول این فرایند میبایست مراحل زیر را طی نمایند:
1. آماده سازی مقدمات ارزیابی ، اسناد و مدارک مورد نیاز، توسط متقاضی و ارائه درخواست ارزیابی امنیتی محصول به سازمان فناوری اطلاعات.
2. بررسی مدارک و اسناد متقاضی توسط سازمان فناوری اطلاعات و ارجاع درخواست ارزیابی به مرکز مدیریت افتا و تعیین آزمایشگاه ارزیاب با هماهنگی مرکز مدیریت افتا، ارسال نامه کتبی برای متقاضی جهت معرفی آزمایشگاه و همچنین ارسال رونوشت نامه معرفی به آزمایشگاه.
3. مراجعه متقاضی به آزمایشگاه تعیین شده، به همراه با معرفی نامه سازمان جهت عقد قرارداد .
4. انجام ارزیابی های امنیتی محصول در چهارچوب استاندارد ارزیابی فنی تعریف شده در طرح ارزیابی امنیتی محصولات و اعلام نتایج آن به مرکز افتا.
5. ارزیابی امنیتی شرکت و تعیین سطح آن توسط مرکز افتا.
6. جمع بندی نهایی نتایج ارزیابی ها توسط مرکز مدیریت راهبردی افتا و اعلام نتیجه تایید و یا عدم تایید محصول، سطح بکارگیری آن و مدت اعتبار مجوز توسط مرکز افتا.
7. صدور و انتشار گواهی توسط سازمان فناوری اطلاعات .
در فرایند ارزیابی امنیتی محصولات ، متقاضیان دریافت گواهینامه افتا در دو زمینه مورد ارزیابی قرار میگیرند:
- ارزیابی امنیتی محصول
- ارزیابی امنیتی تولیدکننده
ارزیابی امنیتی محصول
مرکز مدیریت راهبردی افتا ارزیابی فنی محصولات متقاضی دریافت گواهینامه افتا را به به کمک آزمایشگاه های مورد تایید خود انجام می دهد.
آزمایشگاه ها مراکزی هستند که تاییدیه های امنیتی لازم را از سوی مرکز مدیریت راهبردی افتا و سازمان فناوری اطلاعات ایران دریافت کرده اند . آزمایشگاه وظیفه دارد با حفظ اصل بیطرفی نسبت به محصولات و سازمان ها، تکنولوژیها ، ابزارها و نرم افزارهای آنلاین را در چهارچوب استاندارد ارزیابی فنی تعریف شده ، مورد ارزیابی و بررسی قرار دهد. همچنین آزمایشگاه ها متعهد به حفظ اصول و استانداردهای محرمانگی و عدم افشای اطلاعات و نتایج آزمایشات و ارزیابی های خود بر روی محصولات نرم افزاری هستند.
مرکز مدیریت راهبردی افتا برای نظارت بر آزمایشگاه ها و اطمینان از حسن انجام کار آنها ، به صورت دوره ای فعالیت های آزمایشگاه های تایید شده را مورد ارزیابی قرار می دهد ، در صورت مشاهده هرگونه تخطی از خط مشی های تعیین شده، برای بار اول ، آزمایشگاه تذکر دریافت خواهد کرد و در صورت تکرار ، از لیست آزمایشگاه های مورد تایید برای انجام ارزیابی های امنیتی، حذف خواهد شد.
ارزیابی امنیتی محصولات متقاضی دریافت گواهینامه افتا درآزمایشگاه طی چهار مرحله صورت می گیرد:
• آماده سازی
• ارزیابی پروفایل حفاظتی ( Protection Profile)
• ارزیابی فنی
• صدورگواهی تایید ارزیابی امنیتی محصول
آماده سازی
در گام اول متقاضی دریافت گواهینامه افتا ، میبایست درخواست ارزیابی امنیتی محصول مورد نظر را به همراه اسناد و مدارک مربوط به آن به سازمان فناوری اطلاعات ارائه دهد . این سازمان پس از بررسی مدارک متقاضی و ارجاء درخواست وی به مرکز مدیریت راهبردی افتا ، با هماهنگی مرکز مدیریت افتا یکی از آزمایشگاه های مورد تایید را تعیین و به صورت کتبی به متقاضی معرفی مینماید ، پس از آن متقاضی میتواند به همراه معرفی نامه سازمان به آزمایشگاه تعیین شده مراجعه و پس از توافق اولیه با آن وارد قرارداد شود .
ارزیابی پروفایل حفاظتی (Protection Profile)
در این مرحله از ارزیابی امنیتی، سند هدف امنیتی یا پروفایل حفاظتی محصول متقاضی مورد بررسی و تایید قرار میگیرد .
پروفایل حفاظتی ، سندی است بیان کننده مجموعه ای از پیش نیازها و ویژگی های امنیتی محصول که براساس قابلیت ها و نیازمندی های کاربری و عملیاتی محصول تدوین میگردد.
پروفایل حفاظتی بخشهای زیر را شامل میشود :
- تحلیل امنیتی محصول و شناسایی آسیب پذیری های احتمالی آن
- تدوین الزامات امنیتی جهت مقابله با تهدیدهای سایبری
- تدوین روش ارزیابی و آزمون امنیتی محصول
این سند میبایست توسط مرکز مدیریت راهبردی افتا و سازمان فناوری اطلاعات ، مورد بررسی و تائید قرار گیرد .
این سند پس از تائید و انتشار ، به عنوان سند مرجع توسعه و ارزیابی امنیتی محصول در سایت اِرَم سازمان فناوری اطلاعات بارگذاری میگردد و به عنوان مبنای ارزیابی و معیاری مشترک برای توسعه دهندگان (جهت پیاده سازی) و آزمایشگاه های ارزیابی امنیتی (جهت ارزیابی) در خصوص مکانیزم ها و کنترل های امنیتی مورد استفاده قرار میگیرد.
ارزیابی فنی
در این مرحله از فرایند ، کارشناسان ارزیاب آزمایشگاه، محصول مورد نظر را ازطریق انجام تست های تعریف شده و استاندارد ارزیابی فنی مورد بررسی قرار میدهند برخی از این تستها عبارتند از
• انتقال امن اطلاعات بین کاربران
• نحوه بایگانی و دسترسی به داده ها
• پروتکل های محافظتی در برابر حملات سایبری
دسترسی ها و پروتکل های امنیتی درون برنامه ای
• میزان آسیب پذیری محصولات در برابر خطرات فضای سایبری
• و…
آزمایشگاه ارزیاب پس از پایان ارزیابی های انجام شده بر روی محصول، نتایج تستهای انجام شده را به مرکز افتا اعلام خواهد کرد.
صدورگواهی تایید ارزیابی امنیتی محصول
درآخرین مرحله از فرایند ، مرکز مدیریت راهبردی افتا ، پس از بررسی گزارشات و نتایج ارزیابی های انجام شده در صورت تایید محصول ، گواهی تایید ارزیابی امنیتی محصول را صادر به سازمان فناوری اطلاعات ارسال می نماید .این گواهی به همراه گزارش اعتبار سنجی و سند هدف امنیت، تاکید کننده آن است که ارزیابی امنیتی محصول مورد نظر در یک آزمایشگاه معتبر و منطبق بر متد ارزیابی معیار مشترک صورت گرفته است.
ارزیابی امنیتی تولیدکننده
مرکز مدیریت راهبردی افتا طی فرایند ارزیابی جهت اعطای گواهینامه افتا ، علاوه بر ارزیابی امنیتی محصول طبق روالی که پیشتر توضیح داده شد ، شرکت ارائه دهنده محصول را نیز مورد بررسی و ارزیابی قرار می دهد. این ارزیابی با این هدف صورت میگیرد که صلاحیت امنیتی شرکت ،کارمندان و مدیران آن برای ارائه محصولات نرم افزاری حساس مورد بررسی و تایید قرار گیرد. و از رعایت استانداردها و خط مشی های تعیین شده از سوی سازمان فناوری اطلاعات و مرکز افتا اطمینان حاصل گردد.
اعتبارگواهینامه افتا
مرکز مدیریت راهبردی افتا بر اساس بررسی گزارشات ارزیابی ، سطح بکارگیری محصول و مدت اعتبار آن را تعیین و می نماید.
همچنین باید به این نکته توجه داشت که که دارندگان گواهینامه افتا پس از دریافت آن میبایست اقداماتی را برای حفظ اعتبار گواهی استاندارد معیار مشترک در طول مدت اعتبار گواهینامه انجام دهند .همچنین روال حفظ اعتبار گواهی استاندارد معیار مشترک در سند تداوم گواهی شرح داده شده است. این سند راهنمایی برای نگهداری گواهی و ارزیابی مجدد گواهینامه میباشد .
در این ارتباط دارنده گواهینامه افتا محصول مکلف است تا هر ساله گزارشی تحت عنوان (تحلیل آسیب پذیری) برای محصول خود تهیه و به مرکز افتا ارائه نماید. مرکز مدیریت افتا بر اساس بررسی گزارشات ارزیابی و گزارش تحلیل آسیب پذیری تغییرات معنادار محصول را در این بازه زمانی بررسی و مشخص می کند که محصول به ارزیابی مجدد نیاز دارد یا خیر.
نظارت بر عملکرد دارندگان گواهی نامه افتا
پس از اتمام ارزیابی امنیتی محصول و اعطای گواهینامه افتا به محصول، ارزیابی و نظارت مرکز مدیریت راهبردی افتا بر عملکرد دارنده گواهینامه همچنان اداوه خواهد داشت .
این ارزیابی و نظارت در دو بخش اعمال خواهد شد :
نظارت بر محصول
محصولاتی که موفق به دریافت گواهی افتا گردیده و در چرخه مصرف قرارگرفته اند همواره تحت نظارت مرکز مدیریت راهبردی افتا قرار خواهند داشت.
ارائه دهنده محصول مکلف است محصول مورد نظر را مطابق گزارش اعتبارسنجی و گواهی منتشر شده از سوی سازمان فناوری اطلاعات و در سطح بکارگیری تعیین شده، به مصرف کننده ارائه نماید.در صورت مشاهده تخلف مبنی برعدم تطابق محصول مورد استفاده با نمونه ای که در آزمایشگاه فرآیند ارزیابی امنیتی را طی نموده و یا دریافت گزارش مبنی بر آسیب پذیری در محصول که نیاز به رفع داشته باشد ، مرکز افتا موارد را به آزمایشگاه و شرکت دارنده گواهی نامه جهت رفع نقص امنیتی ارجاع داده و در صورت احراز تخلف ، مطابق ضوابط مقرر گواهینامه افتای شرکت خاطی باطل خواهد شد .
نظارت بر مصرف کننده
مرکز مدیریت راهبردی افتا در راستای نظارت بر اجرای دقیق آیین نامه ساماندهی خدمات افتا ، علاوه بر نظارت بر محصولاتی که موفق به دریافت گواهی افتا شده اند ، بر مصرف کنندگان محصولات نیز در حیطه وظایف قانونی خویش نظارت دارد .این نظارت از آن جهت اعمال میگردد که اطمینان حاصل شود مصرف کنندگان محصولات فتا صرفاً از محصولاتی استفاده می کنند که مورد ارزیابی امنیتی قرار گرفته و گواهینامه افتا دریافت کرده باشند.
برای آشنایی شرایط و الزامات و مدارک موردنیاز جهت اخذ پروانه فعالیت افتا مقاله اخذ گواهی نامه افتا را مطالعه فرمایید.