صدور گواهی ارزیابی امنیتی محصولات فاوا

کد :13061401100

با توسعه روزافزونی که در محصولات حوزه فتا وجود دارد و با عنایت به این  نکته که  در تمامی زیرساخت‌های  حیاتی، حساس و مهم کشور بصورت کاملا گسترده از این محصولات استفاده می‌شود، امنیت محصولات مذکور در امنیت سازمان‌ها و به تبع آن کل کشور بسیار حائز اهمیت می‌باشد. لذا وجود تهدیدات در فضای  تولید  و تبادل اطلاعات، ارزیابی امنیتی محصولات مورد استفاده در این حوزه را امری ضروری و اجتناب‌ناپذیر می‌سازد. بدیهی است که استفاده از محصولات امن منجر به ارتقای امنیت شبکه ملی خواهد شد و از خسارات احتمالی ناشی از بکارگیری محصولات  ناامن پیشگیری خواهد شد. در این راستا تایید صحت  عملکرد  محصولات توسط مراجع بالادستی که همان مرکز مدیریت راهبردی افتا و سازمان فناوری اطلاعات هستند صورت می‌گیرد.

شناسنامه خدمت

سطح خدمت: ملی
نوع خدمت: خدمت به کسب و کار (G2B) مخاطبین و خدمت به دیگر دستگاه های دولتی(G2G)
ماهیت خدمت: حاکمیتی
نوع مخاطبین: سازمانها و نهادهای دولتی و وزارتخانه ها بانکها و اپراتورهای تلفن همراه و شرکتها
هزينه ارايه خدمت به خدمت گيرندگان: درخواست تقاضا گیرنده خدمت
متوسط مدت زمان ارايه خدمت: 60 روز کاری
زمان ارائه خدمت(ایام هفته و سال): تمام ایام سال
شرایط و ضوابط دریافت خدمت: 1- داشتن تاییدیه افتای ریاست جمهوری، 2- داشتن تاییدیه تست نفوذ محصول
هزینه خدمت و شیوه واریز هزینه: هزینه دریافت شده، توسط آزمایشگاه های معرفی شده سازمان جهت انجام تست نفوذ دریافت می شود. شرکت باید با آزمایشگاه مربوطه توافق حاصل نماید و برای انجام فرآیند تست نفوذ هزینه مربوطه را بپردازد. به دلیل متغیر بودن این هزینه به ازای هر آزمایشگاه، امکان اعلام رقم دقیق وجود ندارد.
مدارک مورد نیاز: 1- فرم زونکن اعتباری شرکت شامل اطلاعات حقوقی شرکت و سهامداران شرکت 2- اسناد فنی مرتبط با محصول (اعم از شرح، پیکربندی، هدف و...) 3- اسناد مرتبط با ایزو 15408 4- سایر فرم های درخواستی در سامانه

نظرسنجی مخاطبین


مخاطب محترم، پرسشنامه زير جهت دريافت نظرات شما تهيه گرديده است. خواهشمند است با مطالعه و پاسخگويی مناسب ما را در جهت بهبود مستمر و ارائه بهتر خدمات ياری نماييد. همچنین بزودی ارزیابی نظرات مخاطبین به صورت عمومی در این بخش ارائه خواهد شد

شروع نظرسنجی خدمت نتایج نظرسنجی خدمت

1- مذاکره با آزمایشگاه و عقد قرارداد بین تولیدکننده و آزمایشگاه
2- تکمیل مدارک زونکن اعتباری (جدول 1) توسط تولید کننده و ارسال به سازمان فناوری اطلاعات ایران
3- ارزیابی امنیتی محصول در آزمایشگاه بر اساس
استاندارد ISO15408 و مستندات چهارگانه محصول
4 تعیین موارد عدم انطباق محصول با استاندارد و ارائه گزارش و مهلت سه ماهه به تولیدکننده برای رفع نواقص
5- مراجعه تولیدکننده به آزمایشگاه پس از رفع موارد عدم انطباق با استاندارد برای ارزیابی مجدد محصول
6- بررسی گزارش‌های ارزیابی محصول توسط نهاد حاکمیتی و تصمیم در خصوص صدور گواهی
7-
صدور گواهی ارزیابی امنیتی محصول و ارائه به تولیدکننده در قبال اخد تعهدنامه محصول
8- تداوم گواهی در پایان اعتبار آن بر اساس درخواست تولیدکننده و با توجه به شرایط محصول

فرآیند ارزیابی امنیتی محصولات

مرکز افتا: مرکز مدیریت راهبردی افتای ریاست جمهوری
سازمان: سازمان فناوری اطلاعات ایران
استاندارد ارزیابی امنیتی معیار مشترک (ISO 15408): استاندارد معیار مشترک یا استاندارد ارزیابی امنیتی محصولات است.
آزمایشگاه (Laboratory): آزمایشگاه ارزیابی امنیتی محصولات فتا
تولیدکننده (Developer): تولی کننده محصول و یا متقاضی ارزیابی محصول
ارزیاب (Evaluator): کارمند آزمایشگاه که وظیفه‌ی ارزیابی محصول را دارد.
مصرف کننده : مصرف‌کننده حوزه ای است که محصول در آن استفاده و به کار گرفته می‌شود.

تعاریف

سوالات متداول

فرآیند ارزیابی امنیتی محصول چگونه است و مدارک مورد نیاز چیست؟

  • مذاکره با آزمایشگاه و عقد قرارداد بین تولیدکننده و آزمایشگاه

  • تکمیل مدارک زونکن اعتباری توسط تولید کنندهو ارسال به سازمان فناوری اطلاعات ایران

  • ارزیابی امنیتی محصول در آزمایشگاه بر اساس استاندارد ISO15408 و مستندات چهارگانه محصول

  • تعیین موارد عدم انطباق محصول با استاندارد و ارائه گزارش و مهلت سه ماهه به تولیدکننده برای رفع نواقص

  • مراجعه تولیدکننده به آزمایشگاه پس ازرفع موارد عدم انطباق با استاندارد برای ارزیابی مجدد محصول

  • بررسی گزارش‌های ارزیابی محصول توسط نهاد حاکمیتی و تصمیم در خصوص صدور گواهی

  • صدور گواهی ارزیابی امنیتی محصول و ارائه به تولیدکننده در قبال اخد تعهدنامه محصول

  • تداوم گواهی در پایان اعتبار آن بر اساس درخواست تولیدکننده و با توجه به شرایط محصول

 

در حال حاضر چه گواهی‌هایی در خدمت صدور گواهی ارزیابی امنیتی محصولات (اداره کل ارم) صادر می‌شود؟

اداره کل ارم دو گواهی صادر می‌کند:

  1. گواهی ارزیابی امنیتی محصول که صرفاً برای محصولات بومی و داخلی اعم از نرم‌افزار و سخت‌افزار در حوزه فتا (فضای تولید و تبادل اطلاعات) صادر می‌شود.
  2. گواهی ارزیابی امنیتی آزمایشگاه که برای آزمایشگاه‌های ارزیاب محصولات امنیتی دارای واجد شرایط صادر می‌شود .

نمونه‌های هر دو گواهی در اینجا قرار داده شده و قابل مشاهده است.

الزامات، مستندات و مصوبات قانونی مربوط به ارزیابی امنیتی محصولات کدامند؟

بر اساس اقدام 3 از راهبرد 2 سند راهبردی امنیت فضای تولید و تبادل اطلاعات کشور مصوبه شماره 232690/ت 38518 ک مورخ 11/12/87 مبنی برارزیابی امنیتی محصولات فتا، تائید صلاحیت آزمایشگاهی ارزیابی امنیتی محصولات و صدور گواهی جهت محصولات و آزمایشگاههای ارزیابی امنیتی و اقدامات 2و 4 راهبرد 4 سند مذکور، مبنی بر طرح حمایت از ایجاد آزمایشگاه‌های تخصصی افتا و حمایت از تولید پشتیبانی و بکارگیری محصولات داخلی در حوزه افتا و نیز با عنایت بند(ب) ماده(2) و ماده(5) تصمیم نامه شماره 226967/ت45524ن مورخ 11/10/89 نمایندگان ویژه رییس جمهور در کارگروه فاوا، وزارت ارتباطات وفناوری اطلاعات موظف گردید، ضمن حمایت از طراحی و بومی سازی محصولات افتا و ضد بدافزار بومی در خصوص ارزیابی امنیتی و صدور گواهی برای محصولات داخلی اقدامات لازم را انجام دهد. 

همچنین وزارت ارتباطات و فناوری اطلاعات طی بخشنامه 395/1/م  مورخ 10/2/90 به کلیه دستگاه های اجرایی موضوع ماده(5) قانون مدیریت خدمات کشوری ابلاغ نمود که ضمن به کارگیری محصولات بومی افتا از تخصیص اعتبار برای خرید محصولات خارجی و همچنین محصولاتی در حوزه افتا که به تایید این وزارتخانه نرسیده است خودداری نمایند.

ارزیابی امنیتی محصولات در کدام زمینه‌ها انجام می‌شود؟

هر محصول بومی که در فضای تولید و تبادل اطلاعات قرار می‌گیرد.

برای ارزیابی امنیتی محصولات خارجی چه باید کرد؟

در حال حاضر فقط برای محصولات خارجی که از طریق سازمان تنظیم مقررات و ارتباطات رادیویی معرفی شوند، نامه معرفی به آزمایشگاه صادر می‌شود و پس از طی فرآیند ارزیابی در آزمایشگاه معرفی شده توسط سازمان فناوری اطلاعات ایران، محصول خارجی (وارداتی) مجوز ورود دریافت می‌کند.

صفحات مرتبط