ارائه گواهی های فعالیت امنیت فضای تولید و تبادل اطلاعات

کد :13061401000

با عنایت به توسعه روزافزون محصولات و خدمات حوزه فضای تبادل اطلاعات و بکارگیری گسترده آنهـا در زیرسـاختهـای حیـاتی، حساس و مهم کشور، تامین امنیت زیرساختها، سازمانها و نهادهـای کشـور موضـوع بسـیار حـائز اهمیتـی تلقـی میشود زیرا تهدیدات امنیتی نیز در فضای تولید و تبادل اطلاعات بطور روزافزونی اتفاق میافتند. بدیهی اسـت کـه استفاده از محصولات، خدمات و آزمایشگاه­‌های دارای صلاحیت خدمات امنیتی منجر به ارتقای امنیـت شـبکه ملـی خواهد شد و از خسارات احتمالی ناشی از بکارگیری محصولات ناامن پیشگیری خواهد شد. مرکز مدیریت راهبـردی افتا و سازمان فناوری اطلاعات با فعالیتی مشترک عهده‌دار ارزیابی امنیتی و ارائه گواهی هستند.

شناسنامه خدمت

سطح خدمت: ملی
نوع خدمت: خدمت به کسب و کار (G2B) مخاطبین و خدمت به دیگر دستگاه های دولتی(G2G)
ماهیت خدمت: حاکمیتی
نوع مخاطبین: - سازمانها و نهادهای دولتی و وزارتخانه ها - بانکها و اپراتورهای تلفن همراه و شرکتها - آزمایشگاهها - ارائهکنندگان خدمات شرکتهای غیردولتی ایرانی میباشند. - دریافتکنندگان خدمات افتا شامل کلیه مشمولین ماده«222 «و بند «الف» ماده «231 «قانون برنامه پنجم توسعه جمهوری اسلامی ایران
هزينه ارايه خدمت به خدمت گيرندگان: درخواست تقاضا گیرنده خدمت

این حوزه خدمات شامل ارائه آموزش کلیه دورههای امنیتی در سطوح و موضوعات مختلف به متقاضیان است.

تذکر: دامنه این حوزه مربوط به آموزش‌هایی میباشد که منجر به دریافت گواهی‌نامه‌های ملی و بین‌المللی در زمینه دوره‌های آموزشی امنیت اطلاعات و ارتباطات گردد.

  • برگزاری دوره‌های آموزشی افتا​
  • گرایش این خدمت شامل برگزاری دوره های آموزش امنیتی در سطوح و موضوعات مختلف می‌باشد. شایان ذکر است با توجه به درخواست متقاضی، عنوان آموزش مورد تایید، در گواهی صادر شده در این گرایش ذکر میشود. علاوه بر اینکه شرکت متقاضی باید شرایط، فضا و تجهیزات مناسب با دوره‌های آموزشی را فراهم نماید. لازم است تا مدرس دوره نیز مهارت و توانایی لازم برای برگزاری آن دوره را داشته باشد. مهارتها و قابلیتهای لازم برای مدرسین در ارائه این خدمت عبارتند از:
    • ​آشنایی با مدیریت کیفیت خدمات آموزش
    • آشنایی با مدیریت موثر آموزش
    • آشنایی با الزامات استانداردهای آموزش و مدیریت امنیت
    • توانایی ارائه محصولات کمک‌آموزشی و راه‌اندازی کارگاه آموزشی و برگزاری سمینارهای تخصصی
    • تسلط فنی بر دوره‌های آموزش از قبیل امنیت سیستم‌عامل، شبکه، پایگاه داده، برنامه‌های کاربردی، بدافزار، استانداردهای امنیتی
    • آگاهی از مستندات 16-800 SP NIST و 50-800 SP NIST و دیگر مستندات و استانداردهای مربوطه
    • داشتن مجوز استانداری مبنی بر ارائه خدمات آموزش
خدمات آموزشی افتا

خدمات فنی افتا، شامل پیکربندی امن و پشتیبانی امنیتی محصول فتا میباشد و متقاضیان در این حوزه میبایست برای محصول مورد نظر گواهی ارزیابی امنیتی دریافت کرده باشند. شایان ذکر است با توجه به درخواست متقاضی، عنوان محصول مورد تایید در پروانه فعالیت صادر شده در این گرایش ذکر می‌شود.

  • نصب و پشتیبانی محصولات فتا:
  • این گرایش خدمات شامل خدمات نصب، راهاندازی، پیکربندی، به‌روزرسانی، پشتیبانی و آزمایش و تحویل هر نوع خدمات فنی مرتبط با محصولات فتا می‌شود. مهارت‌های لازم برای ارائه این خدمت عبارتند از:
    • تسلط فنی متقاضی بر پیکربندی امن محصول
    • تسلط فنی متقاضی در پشتیبانی امن محصول
    • تسلط فنی متقاضی بر روش‌های مختلف استفاده از محصول
    • صلاحیت فرایندی و اعتباری پشتیبانی از محصول (تعامل متقاضی با شرکت تولیدکننده محصول)

 

خدمات فنی افتا

خدمات عملیاتی افتا، بیشتر بر مهارتهای خاص و یا فنی پرسنل برای پیاده سازی و یا حصول اطمینان از عملکرد مناسب کنترل های پیاده سازی شده تاکید دارد. لذا ارائه خدمات کلان ذیل در این حوزه قرار میگیرد:

آزمون و ارزیابی امنیتی:

خدمت آزمون و ارزیابی امنیتی شامل کلیه خدمات ارزیابی امنیتی نرم افزار، تجهیزات، سرویسها و سامانه ها، آزمون نفوذپذیری و آزمون آسیب پذیری می باشد. خدمات قابل ارائه در این گرایش عبارتند از:

  • بررسی صحت سیستم

  • پویش سیستم و شبکه

  • ارزیابی آسیب پذیری سامانه، تجهیزات و سرویس ها 

  • آزمون نفوذپذیری سامانه، تجهیزات و سرویس ها

  • ارزیابی امنیتی سامانه، تجهیزات و سرویس ها

  • فارنزیک سامانه، تجهیزات و سرویس ها

پیاده سازی مرکز عملیات امنیت و تیم پاسخ رخداد

خدمات مرتبط با پیاده سازی مرکز عملیات امنیت و یا تیم پاسخ به رخداد به خدماتی اطلاق میشود که وظیفه راه اندازی و پشتیبانی از تجهیزات و سامانه های مرتبط با مرکز عملیات امنیت و تیم پاسخ به رخداد را برعهده دارد و برای طراحی ساختار، ارائه راهکارهای مقابله با حوادث امنیتی، تدوین فرایندهای مرتبط، استقرار استانداردهای مرتبط و آموزش کاربران مرکز عملیات امنیت و یا تیم پاسخ به رخداد در محیط کارفرما مورد استفاده قرار میگیرد. در واقع پیاده سازی مرکز عملیات امنیت و تیم پاسخ به رخداد شامل سه بعد فرآیندها (رویه ها)، تجهیزات و آموزش نیروی انسانی میباشد.

شرکتهای ارائه دهنده این نوع خدمت لازمست توانمندی انجام فعالیتهای زیر را داشته باشند:

  • طراحی و راه اندازی مرکز عملیات امنیت

  • طراحی و پیاده سازی رویه های مدیریت رخداد

  • توسعه برنامه مدیریت رخداد

  • توسعه و پشتیبانی از پروفایلهای پیکربندی سیستم

  • فراهم سازی قابلیت فارنزیک

  • آزمون و به روزرسانی رویه های مدیریت رخداد

  • تهیه طرح تداوم کسب وکار

  • تهیه طرح بازیابی از فاجعه

  • مشاوره در هر یک از خدمات ذکر شده

پیاده سازی امنیت فیزیکی و محیط پیرامونی:

این گرایش شامل طراحی، نصب، پیکربندی و پشیبانی از راه حلهای ایجاد امنیت فیزیکی و محیط پیرامونی است. شرکتهای ارائه دهنده این نوع خدمت لازمست توانمندی انجام فعالیتهای زیر را داشته باشند:

  • امن سازی و مقاومسازی امن اتاق سرور و مراکز داده

  • طراحی و پیاده‌سازی سامانه های اطفای حریق در محیطهای مرتبط با فناوری اطلاعات

  • طراحی و پیاده‌سازی راهحلهای تامین مطمئن انرژی برای تجهیزات فناوری اطلاعات

  • طراحی و پیاده‌سازی سامانه‌های کنترل دسترسی فیزیکی مانند سیستم‌های کنترل ورود/خروج

  • طراحی و پیاده سازی امنیت محیط پیرامونی

ا​من‌سازی و مقاوم‌سازی سامانه‌ها، زیرساخت‌ها و سرویس‌ها:

ارائه دهنده‌ی این نوع گرایش نسبت به امنسازی و مقاوم سازی شبکه، سیستم، سرویس‌ها، تجهیزات نرم‌افزاری و سخت‌افزاری برای مقابله با بدافزارها، دسترسی‌های غیرمجاز و نفوذگران در محیط کارفرما اقدام مینماید. مقاوم‌سازی سامانه‌ها و همچنین پیاده‌سازی طرح‌های تداوم کسب‌وکار در حوزه فناوری اطلاعات و طراحی و پیادهسازی شبکه امن در رده این گرایش قرار می‌گیرند.

شرکت‌های ارائه‌دهنده این نوع خدمت لازمست توانمندی انجام فعالیت‌های زیر را داشته باشند:

  • ارائه‌ی معماری امن شبکه

  • ارائه‌ی راه‌حل و پیاده‌سازی چارچوب برای تداوم کسب و کار امنیتی

  • امن‌سازی و مقاوم‌سازی برنامه‌های کاربردی، پایگاه داده‌ها، سرویس‌ها و سیستم‌عامل

  •  توسعه‌ی برنامه‌ی بازیابی و پشتیبان‌گیری امن داده‌ها

  •  امن‌سازی و مقاومسازی زیرساخت‌ها و استفاده از رمزنگاری و پروتکل‌های ارتباطی امن

  •  مشاوره در مورد هر یک از خدمات موارد ذکر شدi

​راهبری مرکز عملیات امنیت و تیم پاسخ به رخداد

خدمات مرتبط با راهبری مرکز عملیات امنیت و یا تیم پاسخ به رخداد به خدماتی اطلاق میشود که به منظور راهبری امنیتی، مدیریت رخدادهای امنیتی و حفظ اطلاعات، پایش وقایع امنیتی، شناسایی حوادث امنیتی و رسیدگی به موقع به آنها در محیط کارفرما مورد استفاده قرار میگیرد. این خدمات میتوانند به صورت خدمات امنیتی مدیریت شده نیز ارائه گردند.

شرکتهای ارائهدهنده این نوع خدمت لازمست توانمندی انجام فعالیتهای زیر را داشته باشند:

  • راهبری امن مرکز عملیات امنیت

  • راهبری امن رویههای مدیریت رخداد

  • انجام اقدامات اولیه فارنزیک

  • اجرای اقدامات اصلاحی اولیه

خدمات عملیاتی افتا

خدمات مدیریتی افتا، خدماتی از جنس طراحی های کلان و ساختاری، طرح ریزی، برنامه ریزی، بهبود و ساماندهی، سنجش و پیشگیری مخاطرات امنیتی در سازمانها و تدوین نظامها و سیاستهای امنیتی است. لذا ارائه خدمات کلان ذیل در این حوزه قرار میگیرد

  • مشاوره و استقرار استانداردهای امنیت اطلاعات و ارتباطات:
     مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:

    • توانایی تعیین سطح امنیتی مناسب برای محافظت از سازوکار و دارائیهای سازمانها

    • توانایی تحلیل و مدیریت ریسک o توانایی تدوین خطمشی، فرایندها و راهنماهای امنیتی

    • تسلط بر استانداردهای مدیریت امنیت اطلاعات و مدیریت فناوری اطلاعات و تدوام کسب و کار و ITIL و COBIT o

    • آشنایی با استانداردهای ارزیابی امنیتی

    • آشنایی با مدلهای بلوغ امنیت اطلاعات

    • توانمندیهای عمومی مشاوره

  • ممیزی انطباق استانداردهای امنیت اطلاعات و ارتباطات:

    ​​مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:
    • آشنایی با مدلهای بلوغ امنیت اطلاعات

    • آشنایی با استانداردهای ارزیابی امنیتی

    • تسلط بر استانداردهای مدیریت امنیت اطلاعات، مدیریت فناوری اطلاعات و تدوام کسب و کار

    • تسلط بر خط مشی، فرایندها و راهنماهای امنیتی

    • توانایی تحلیل و مدیریت ریسک

    • توانایی توسعه و پشتیبانی از یک طرح امنیتی برای هر سیستم و دارائیهای تحت کنترل سازمان

    • مطابقت با استانداردهای الزامات مراکز گواهی در حوزه سیستمهای مدیریتی فتا و افتا

    • مطابقت با چک لیست الزامات ممیزی و صدور گواهینامه

  • طرح ریزی معماری و زیرساخت امنیت 
    • دارنده این پروانه فعالیت میتواند به عنوان مجری «طرح امنسازی زیرساختهای حیاتی در مقابل حملات الکترونیکی» فعالیت نماید. شرط لازم برای درخواست این پروانه فعالیت، داشتن پروانه فعالیت «مشاوره و استقرار استانداردهای مدیریت امنیت اطلاعات و ارتباطات» و نیز داشتن حداقل دو پروانه فعالیت از چهار گرایش زیر باشد
      • راهبری مرکز عملیات امنیت و تیم پاسخگویی به رخداد

      • امن سازی و مقاوم سازی سامانه ها، زیرساخت ها و سرویس ها

      • پیاده سازی مرکز عملیات امنیت و تیم پاسخ به رخداد

      • آزمون و ارزیابی امنیتی

  • ارائه مشاوره حقوقی در زمینه افتا  
    • مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:
      • آشنایی با قوانین و مقررات پیجویی وکشف جرایم سایبری

      • آشنایی با قوانین حوزه فناوری اطلاعات در ایران

      • آشنایی با نحوه پیجویی و کشف جرایم سایبری

      • آشنایی با اصول عملکرد سیستمهای پیشگیری از افشای اطلاعات (برای مثال در مهندسی اجتماعی)

  • خدمات بیمه افتا
  • مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:

    • آشنایی با ریسکهای فاوا قابل ارزیابی و بیمه پذیر

    • توانایی در عرضه بیمه افتا

    • دارا بودن الزامات قانونی تاسیس شرکت بیمه مطابق با آیین نامه شماره 71 بیمه مرکزی جمهوری اسلامی ایران

خدمات مدیریتی افتا

خدمات امنیتی به دو دسته تقسیم می شوند

1-خدمات ارزیابی امنیتی محصول

2- خدمات پروانه های فعالیت در حوزه افتا که شامل چهار نوع خدمت

  • خدمات مدیریتی افتا
  • خدمات عملیاتی افتا
  • خدمات فنی افتا
  • خدمات آموزشی افتا
انواع خدمات امنیتی فناوری اطلاعات

نماینده متقاضی: شخصی است که به عنوان نقطه تماس یکتای سازمان با متقاضی محسوب شده و کلیه تعاملات سازمان با وی می باشد. این شخص می تواند مدیرعامل شرکت یا نماینده تام الاختیار وی باشد.
اداره کل نما: اداره کل نظام مدیریت امنیت اطلاعات
اداره کل ارم: اداره کل ارزیابی امنیتی محصولات
سازمان: سازمان فناوری اطلاعات ایران
افتا: امنیت فضای تولید و تبادل اطلاعات
مرکز افتا: مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری
متقاضی: شخص حقوقی درخواست کننده پروانه فعالیت

تعاریف

سوالات متداول

پروانه فعالیت خدمات امنیت فضای تولید و تبادل اطلاعات شامل چه مواردی می شود؟

 خدمات پروانه های فعالیت در حوزه افتا شامل چهار نوع خدمت به شرح 

  • خدمات مدیریتی افتا
  • خدمات عملیاتی افتا
  • خدمات فنی افتا
  • خدمات آموزشی افتا

​می شود. نمونه‌های هر چهار گواهی در اینجا قرار داده شده و قابل مشاهده است.

در حال حاضر چه گواهی‌هایی در خدمت صدور گواهی ارزیابی امنیتی محصولات (اداره کل ارم) صادر می‌شود؟

اداره کل ارم دو گواهی صادر می‌کند:

  1. گواهی ارزیابی امنیتی محصول که صرفاً برای محصولات بومی و داخلی اعم از نرم‌افزار و سخت‌افزار در حوزه فتا (فضای تولید و تبادل اطلاعات) صادر می‌شود.
  2. گواهی ارزیابی امنیتی آزمایشگاه که برای آزمایشگاه‌های ارزیاب محصولات امنیتی دارای واجد شرایط صادر می‌شود .

نمونه‌های هر دو گواهی در اینجا قرار داده شده و قابل مشاهده است.

معیارهای ارزیابی متقاضیان دریافت پروانه فعالیت در حوزه خدمات افتا به چه صورت می باشد؟

جهت اطلاع از معایارها و شاخص های ارزیابی به اینجا  مراجعه نمایید 

چگونه می توانم به لیست گواهی های صادر شده در حوزه افتا (ارزیابی امنیتی محصولات، پروانه فعالیت خدمات افتا) دسترسی پیدا کنم؟

برای دسترسی به این گواهی ها باید به قسمت شرکت های فناوری اطلاعات>مجوزهای صادر شده در درگاه اصلی سازمان فناوری اطلاعات ایران مراجعه کنید. با کلیک بر روی اینجا می‌توانید به این قسمت دسترسی پیدا کنید.