صدور گواهی ارزیابی امنیتی محصولات فاوا

کد :13061401100
نهاد متولی: سازمان فناوری اطلاعات ایران/ معاونت امنیت فضای تولید و تبادل اطلاعات/ اداره کل ارزیابی امنیتی محصولات (ارم)

با توسعه روزافزونی که در محصولات حوزه فتا وجود دارد و با عنایت به این  نکته که  در تمامی زیرساخت‌های  حیاتی، حساس و مهم کشور بصورت کاملا گسترده از این محصولات استفاده می‌شود، امنیت محصولات مذکور در امنیت سازمان‌ها و به تبع آن کل کشور بسیار حائز اهمیت می‌باشد. لذا وجود تهدیدات در فضای  تولید  و تبادل اطلاعات، ارزیابی امنیتی محصولات مورد استفاده در این حوزه را امری ضروری و اجتناب‌ناپذیر می‌سازد. بدیهی است که استفاده از محصولات امن منجر به ارتقای امنیت شبکه ملی خواهد شد و از خسارات احتمالی ناشی از بکارگیری محصولات  ناامن پیشگیری خواهد شد. در این راستا تایید صحت  عملکرد  محصولات توسط مراجع بالادستی که همان مرکز مدیریت راهبردی افتا و سازمان فناوری اطلاعات هستند صورت می‌گیرد.

شناسنامه خدمت

سطح خدمت: ملی
نوع خدمت: خدمت به کسب و کار (G2B) مخاطبین و خدمت به دیگر دستگاه های دولتی(G2G)
ماهیت خدمت: حاکمیتی
نوع مخاطبین: سازمانها و نهادهای دولتی و وزارتخانه ها بانکها و اپراتورهای تلفن همراه و شرکتها
نحوه آغاز خدمت: درخواست تقاضا گیرنده خدمت
متوسط مدت زمان ارايه خدمت: 60 روز کاری
زمان ارائه خدمت(ایام هفته و سال): تمام ایام سال
هزینه خدمت و شیوه واریز هزینه: در حال حاضر مجموع هزینه‌های مربوط به اخذ گواهی ارزیابی امنیتی محصول، مربوط به هزینه‌های آزمون محصول در آزمایشگاه‌های مورد تایید سازمان فناوری اطلاعات ایران است که طبق تعرفه‌، توسط آزمایشگاه دریافت می‌شود

فرآیندها


1- تکمیل فرم عضویت در سامانه جامع خدمات افتا توسط نماینده متقاضی و دریافت کد رهگیری
2- ارسال نامه رسمی تایید درخواست عضویت به «سازمان فناوری اطلاعات - اداره کل نما»،
حاوی کد رهگیری و نام و نام خانوادگی و کدملی نماینده و کدنظام صنفی با امضای مدیرعامل و به پیوست آن آخرین روزنامه های رسمی حاوی نام مدیرعامل و موضوع فعالیت شرکت به آدرس «تهران، خیابان شریعتی، نرسیده به پل سیدخندان، ورودی شماره 22 سازمان فناوری اطلاعات، کد پستی 1631713931»
توجه: به علت رعایت پروتکل های بهداشتی تا اطلاع ثانوی پذیرش نامه بصورت فیزیکی انجام نمی شود و نامه فوق و پیوست های آن (روزنامه رسمی موضوع فعالیت و روزنامه رسمی هیات مدیره) باید به شماره 88386274 فکس یا تصویر نامه و پیوست های آن در قالب یک فایل پی دی اف به آدرس paperless2@ito.gov.ir ایمیل گردد. (آدرس ایمیل فرستنده نباید gmail یا yahoo باشد) جهت پیگیری دریافت نامه می توانید با شماره های 88113860، 88115797، 88114353 و 88114377 تماس حاصل نمایید

.3- بررسی درخواست عضویت در سامانه اداره کل نما و تایید آن در صورت وجود شرایط.
4- ارسال لینک فعال سازی به ایمیل و پیام اطلاع رسانی به
شماره موبایل نماینده معرفی شده
5- ورود نماینده معرفی شده به لینک فعال سازی و به روزرسانی اطلاعات رمز عبور و پروفایل متقاضی
6- فعال شدن امکان درخواست پروانه فعالیت و سایر امکانات پس از تکمیل پروفایل متقاضی

 

تعهدات:

  • شخصی که به عنوان نماینده شرکت در سامانه عضو می شود به عنوان نقطه تماس یکتای شرکت با سازمان محسوب شده و در طول انجام فرایند ارزیابی در زمان های لازم از طریق ارسال پیامک به شماره تلفن همراه و ایمیل وی اطلاع رسانی های لازم انجام می شود.

  • نماینده شرکت باید مدیر عامل یا نماینده رسمی معرفی شده از طرف وی باشد.

  • در صورت عدم ارسال نامه تأیید، درخواست طی مدت 15 روز کاری پس از ثبت درخواست عضویت در سامانه، از سامانه حذف می شود.

  • پذیرش یا عدم پذیرش درخواست توسط پیامک و ایمیل به متقاضی اطلاع رسانی می شود.

  • کلیه شرایط موجود در صفحه درخواست پروانه و نیز تعهدنامه خدمات افتا باید مطالعه شده و مورد پذیرش شرکت باشد.

عضویت در سامانه افتا

شرایط خدمت

1- کلیه سهامداران، مدیران و کارشناسان ارائه خدمت متقاضی باید تابعیت ایرانی داشته باشند.
2- متقاضی می بایست شرکتی باشد که
 100% سهام و یا سرمایه آن متعلق به اتباع ایرانی بوده و بر اساس قانون تجارت به صورت غیردولتی و با مدیریت ایرانی اداره شود.

3- متقاضی میبایست شرایط لازم در ارزیابی فنی و اعتباری را بر اساس شرایط و روش ارزیابی آن خدمت داشته باشد

4-موضوع فعالیت شرکت متقاضی اخذ پروانه باید پوشش دهنده خدمات موضوع این آیین نامه باشد

5-متقاضی علاوه بر الزامات این آئین نامه، ملزم به رعایت کلیه سیاستهای ابلاغی دریافت کننده خدمات و سیاستهای بالادستی ابلاغ شده از سوی  سازمان حراست کل کشور و مرکز افتا  می باشد.

6-اعمال هرگونه تغییرات در مفاد موافقتنامه حفظ کیفیت و محرمانگی مستلزم ارائه اصل پروانه فعالیت به سازمان و صدور پروانه فعالیت جدید می باشد.

7-در صورت تصمیم به توقف فعالیت، دارنده پروانه فعالیت موظف است مراتب را کتبا حداکثر ظرف مدت 15 روز به سازمان اعلام نماید، بدیهی است توقف فعالیت منوط به رعایت کامل بندهای موافقتنامه سطح خدمات (SLA )منعقده با مشتریان تا زمان اتمام مدت اعتبار موافقتنامه سطح خدمات است.

8-دارنده پروانه فعالیت موظف است از کلیه کارشناسان ارائه دهنده خدمات حوزه این آئین نامه، تعهدنامه عدم افشای اطلاعات (NDA)دریافت نماید.

9- دارنده پروانه فعالیت موظف است تا در قراردادهای موضوع این آئین نامه، توافقنامه عدم افشای اطلاعات (NDA (را امضا نماید. همچنین در قراردادهای موضوع این آئین نامه، قید گردد که دارنده پروانه فعالیت مسئولیت دریافت توافقنامه عدم افشای اطلاعات از کلیه نیروهای خود را دارد.

10-ازآنجاکه ارائه خدمات موضوع این آئین نامه تنها توسط کارشناسان ارائه خدمت شرکت متقاضی که معرفی و ارزیابی و تائید میشوند، و میسر است و نام این کارشناسان در پیوست پروانه فعالیت اعلام خواهد شد، لذا دارنده پروانه فعالیت نمیتواند در طول بازه ی اعتباری پروانه فعالیت، بیش از دو بار اسامی کارشناسان ارائه خدمت ذکرشده در پیوست پروانه را که صلاحیت آنها در ارزیابی های انجام شده احراز گردیده را تغییر دهد. تغییر در اسامی کارشناسان منوط به موفقیت در ارزیابی مجدد می باشد.

11-دارنده پروانه فعالیت موظف است در اجرای قراردادهای ذیل این آیین نامه، از کارشناسان ارائه خدماتی استفاده نماید که از کارکنان آن شرکت باشد و نام آنها در کارشناسان ارائه خدمت در پیوست پروانه فعالیت آمده باشد.

12-دارنده پروانه فعالیت مجاز به برونسپاری/ واگذاری کل و یا بخشی از خدمات موضوع این آیین نامه به شرکتهای دیگر نمیباشد.

مدارک خدمت

1- فرم زونکن اعتباری شرکت شامل اطلاعات حقوقی شرکت و سهامداران شرکت

2- اسناد فنی مرتبط با محصول (اعم از شرح، پیکربندی، هدف و...)

3- اسناد مرتبط با ایزو 15408

4- سایر فرم های درخواستی در سامانه 

ساختار سازمانی

سوالات متداول

گواهی ارزیابی امنیتی محصول چیست و چه کاربردی دارد؟

گواهی ارزیابی امنیتی محصول گواهی‌ای است که در حال حاضر برای محصولات بومی صادر می‌شود و برای استفاده محصول در دستگاه های اجرایی موضوع ماده(5) قانون مدیریت خدمات کشوری اجباری است.

فرآیند ارزیابی امنیتی محصول چگونه است و مدارک مورد نیاز چیست؟

  1. مراجعه به سامانه جامع خدمات و محصولات افتا از طریق نشانیhttps://https://arzyabi.ito.gov.ir
    • تکمیل فرم عضویت در سامانه جامع ساماندهی خدمات و محصولات افتا )با انتخاب گزینه درخواست صدور گواهی ارزیابی محصولات( توسط نماینده متقاضی و دریافت کد رهگیری (در صورت عدم عضویت از قبل(
    • ارسال نامه رسمی تایید درخواست عضویت به «سازمان فناوری اطلاعات - اداره کل ارم»، حاوی کد رهگیری و نام و نام خانوادگی و کدملی نماینده با امضای مدیرعامل و به پیوست آن آخرین روزنامه های رسمی حاوی نام مدیرعامل و موضوع فعالیت شرکت به آدرس «تهران، خیابان شریعتی، نرسیده به پل سیدخندان، ورودی شماره 22 سازمان فناوری اطلاعات، کد پستی 1631713931»
    • بررسی درخواست عضویت در اداره کل ارم و تایید آن در صورت وجود شرایط.
    • ارسال لینک فعال سازی به ایمیل و پیام اطلاع رسانی به شماره موبایل نماینده معرفی شده
    • ورود نماینده معرفی شده به لینک فعال سازی و به روزرسانی اطلاعات رمز عبور و پروفایل متقاضی
    • فعال شدن امکان درخواست صدور گواهی ارزیابی امنیتی محصول بومی و سایر امکانات پس از تکمیل پروفایل متقاضی
    • توضیح: متقاضی قبل از شروع ثبت درخواست گواهی محصول، مذاکرات خود را با آزمایشگاه جهت انتخاب آمایشگاه در طی فرآیند درخواست، انجام دهد.
  2. ارزیابی امنیتی محصول در آزمایشگاه بر اساس استاندارد ISO15408 و مستندات چهارگانه محصول
  3. تعیین موارد عدم انطباق محصول با استاندارد و ارائه گزارش و مهلت سه ماهه به تولیدکننده برای رفع نواقص
  4. مراجعه تولیدکننده به آزمایشگاه پس از رفع موارد عدم انطباق با استاندارد برای ارزیابی مجدد محصول
  5. بررسی گزارش‌های ارزیابی محصول توسط نهاد حاکمیتی و تصمیم در خصوص صدور گواهی
  6. صدور گواهی ارزیابی امنیتی محصول و ارائه به تولیدکننده در قبال اخد تعهدنامه محصول
  7. درخواست تمدید گواهی در پایان اعتبار آن بر اساس درخواست تولیدکننده و با توجه به شرایط محصول

چه نوع محصولاتی مشمول دریافت گواهی ارزیابی امنیتی محصول می‌شوند؟

به طور کلی همه محصولاتی که امکان تبادل داده در فضای تولید و تبادل اطلاعات داشته باشند باید گواهی ارزیابی امنیتی محصول دریافت کنند.

در حال حاضر چه گواهی‌هایی در خدمت صدور گواهی ارزیابی امنیتی محصولات (اداره کل ارم) صادر می‌شود؟

اداره کل ارم دو گواهی صادر می‌کند:

  1. گواهی ارزیابی امنیتی محصول که صرفاً برای محصولات بومی و داخلی اعم از نرم‌افزار و سخت‌افزار در حوزه فتا (فضای تولید و تبادل اطلاعات) صادر می‌شود.
  2. گواهی ارزیابی امنیتی آزمایشگاه که برای آزمایشگاه‌های ارزیاب محصولات امنیتی دارای واجد شرایط صادر می‌شود .

نمونه‌های هر دو گواهی در اینجا قرار داده شده و قابل مشاهده است.

در حال حاضر چه گواهی‌های در اداره کل ارم صادر می‌شود؟

اداره کل ارم دو گواهی صادر می‌کند:

  1. گواهی ارزیابی امنیتی محصول که صرفاً برای محصولات بومی و داخلی اعم از نرم‌افزار و سخت‌افزار در حوزه فتا (فضای تولید و تبادل اطلاعات) صادر می‌شود.
  2. گواهی ارزیابی امنیتی آزمایشگاه که برای آزمایشگاه‌های ارزیاب محصولات امنیتی دارای واجد شرایط صادر می‌شود .

نمونه‌های هر دو گواهی در سایت قرار داده شده و قایل مشاهده است.

الزامات، مستندات و مصوبات قانونی مربوط به ارزیابی امنیتی محصولات کدامند؟

بر اساس اقدام 3 از راهبرد 2 سند راهبردی امنیت فضای تولید و تبادل اطلاعات کشور مصوبه شماره 232690/ت 38518 ک مورخ 11/12/87 مبنی برارزیابی امنیتی محصولات فتا، تائید صلاحیت آزمایشگاهی ارزیابی امنیتی محصولات و صدور گواهی جهت محصولات و آزمایشگاههای ارزیابی امنیتی و اقدامات 2و 4 راهبرد 4 سند مذکور، مبنی بر طرح حمایت از ایجاد آزمایشگاه‌های تخصصی افتا و حمایت از تولید پشتیبانی و بکارگیری محصولات داخلی در حوزه افتا و نیز با عنایت بند(ب) ماده(2) و ماده(5) تصمیم نامه شماره 226967/ت45524ن مورخ 11/10/89 نمایندگان ویژه رییس جمهور در کارگروه فاوا، وزارت ارتباطات وفناوری اطلاعات موظف گردید، ضمن حمایت از طراحی و بومی سازی محصولات افتا و ضد بدافزار بومی در خصوص ارزیابی امنیتی و صدور گواهی برای محصولات داخلی اقدامات لازم را انجام دهد. 

همچنین وزارت ارتباطات و فناوری اطلاعات طی بخشنامه 395/1/م  مورخ 10/2/90 به کلیه دستگاه های اجرایی موضوع ماده(5) قانون مدیریت خدمات کشوری ابلاغ نمود که ضمن به کارگیری محصولات بومی افتا از تخصیص اعتبار برای خرید محصولات خارجی و همچنین محصولاتی در حوزه افتا که به تایید این وزارتخانه نرسیده است خودداری نمایند.

ارزیابی امنیتی محصولات در کدام زمینه‌ها انجام می‌شود؟

هر محصول بومی که در فضای تولید و تبادل اطلاعات قرار می‌گیرد.

برای ارزیابی امنیتی محصولات خارجی چه باید کرد؟

در حال حاضر فقط برای محصولات خارجی که از طریق سازمان تنظیم مقررات و ارتباطات رادیویی معرفی شوند، نامه معرفی به آزمایشگاه صادر می‌شود و پس از طی فرآیند ارزیابی در آزمایشگاه معرفی شده توسط سازمان فناوری اطلاعات ایران، محصول خارجی (وارداتی) مجوز ورود دریافت می‌کند.

هزینه‌های اخذ گواهی ارزیابی امنیتی محصول چگونه است؟

در حال حاضر مجموع هزینه‌های مربوط به اخذ گواهی ارزیابی امنیتی محصول، مربوط به هزینه‌های آزمون محصول در آزمایشگاه‌های مورد تایید سازمان فناوری اطلاعات ایران است که طبق تعرفه‌، توسط آزمایشگاه دریافت می‌شود.

اطلاعات تماس


تلفن: -امور مربوط به ارزیابی امنیتی محصولات داخلی، سامانه جامع محصولات و پروفایل‌های حفاظتی: شماره تلفن 88115727، 09122158504 امور مربوط به تأیید امنیتی محصولات وارداتی: شماره تلفن 88115728-88115722 امور مربوط به ارزیابی امنیتی آزمایشگاه های حوزه افتا با شماره تلفن 88115723-88115725 پاسخگویی در روزهای اداری- شنبه تا چهارشنبه- از ساعت 8 تا 14:30
پست الکترونیکی: eram@ito.gov.ir
آدرس: تهران- خیابان شهید بهشتی بین بزرگراه مدرس و خیابان قائم‌مقام فراهانی- ساختمان سهند پلاک 267
کد پستی: 1514617125

نظرسنجی مخاطبین


مخاطب محترم، پرسشنامه زير جهت دريافت نظرات شما تهيه گرديده است. خواهشمند است با مطالعه و پاسخگويی مناسب ما را در جهت بهبود مستمر و ارائه بهتر خدمات ياری نماييد. همچنین بزودی ارزیابی نظرات مخاطبین به صورت عمومی در این بخش ارائه خواهد شد

شروع نظرسنجی خدمت نتایج نظرسنجی خدمت