سازمان فناوری اطلاعات ایران

صدور گواهی فعالیت امنیت فضای تولید و تبادل اطلاعات

کد :13061401000

با عنایت به توسعه روزافزون محصولات و خدمات حوزه فضای تبادل اطلاعات و بکارگیری گسترده آنهـا در زیرسـاختهـای حیـاتی، حساس و مهم کشور، تامین امنیت زیرساختها، سازمانها و نهادهـای کشـور موضـوع بسـیار حـائز اهمیتـی تلقـی میشود زیرا تهدیدات امنیتی نیز در فضای تولید و تبادل اطلاعات بطور روزافزونی اتفاق میافتند. بدیهی اسـت کـه استفاده از محصولات، خدمات و آزمایشگاه­‌های دارای صلاحیت خدمات امنیتی منجر به ارتقای امنیـت شـبکه ملـی خواهد شد و از خسارات احتمالی ناشی از بکارگیری محصولات ناامن پیشگیری خواهد شد. مرکز مدیریت راهبـردی افتا و سازمان فناوری اطلاعات با فعالیتی مشترک عهده‌دار ارزیابی امنیتی و ارائه گواهی هستند.

شناسنامه خدمت

سطح خدمت: ملی
نوع خدمت: خدمت به کسب و کار (G2B) مخاطبین و خدمت به دیگر دستگاه های دولتی(G2G)
ماهیت خدمت: حاکمیتی
نوع مخاطبین: - سازمانها و نهادهای دولتی و وزارتخانه ها - بانکها و اپراتورهای تلفن همراه و شرکتها - آزمایشگاهها - ارائهکنندگان خدمات شرکتهای غیردولتی ایرانی میباشند. - دریافتکنندگان خدمات افتا شامل کلیه مشمولین ماده«222 «و بند «الف» ماده «231 «قانون برنامه پنجم توسعه جمهوری اسلامی ایران

خدمات عملیاتی افتا، بیشتر بر مهارتهای خاص و یا فنی پرسنل برای پیاده سازی و یا حصول اطمینان از عملکرد مناسب کنترل های پیاده سازی شده تاکید دارد. لذا ارائه خدمات کلان ذیل در این حوزه قرار میگیرد:

آزمون و ارزیابی امنیتی:

خدمت آزمون و ارزیابی امنیتی شامل کلیه خدمات ارزیابی امنیتی نرم افزار، تجهیزات، سرویسها و سامانه ها، آزمون نفوذپذیری و آزمون آسیب پذیری می باشد. خدمات قابل ارائه در این گرایش عبارتند از:

  • بررسی صحت سیستم

  • پویش سیستم و شبکه

  • ارزیابی آسیب پذیری سامانه، تجهیزات و سرویس ها 

  • آزمون نفوذپذیری سامانه، تجهیزات و سرویس ها

  • ارزیابی امنیتی سامانه، تجهیزات و سرویس ها

  • فارنزیک سامانه، تجهیزات و سرویس ها

پیاده سازی مرکز عملیات امنیت و تیم پاسخ رخداد

خدمات مرتبط با پیاده سازی مرکز عملیات امنیت و یا تیم پاسخ به رخداد به خدماتی اطلاق میشود که وظیفه راه اندازی و پشتیبانی از تجهیزات و سامانه های مرتبط با مرکز عملیات امنیت و تیم پاسخ به رخداد را برعهده دارد و برای طراحی ساختار، ارائه راهکارهای مقابله با حوادث امنیتی، تدوین فرایندهای مرتبط، استقرار استانداردهای مرتبط و آموزش کاربران مرکز عملیات امنیت و یا تیم پاسخ به رخداد در محیط کارفرما مورد استفاده قرار میگیرد. در واقع پیاده سازی مرکز عملیات امنیت و تیم پاسخ به رخداد شامل سه بعد فرآیندها (رویه ها)، تجهیزات و آموزش نیروی انسانی میباشد.

شرکتهای ارائه دهنده این نوع خدمت لازمست توانمندی انجام فعالیتهای زیر را داشته باشند:

  • طراحی و راه اندازی مرکز عملیات امنیت
  • طراحی و پیاده سازی رویه های مدیریت رخداد
  • توسعه برنامه مدیریت رخداد
  • توسعه و پشتیبانی از پروفایلهای پیکربندی سیستم
  • فراهم سازی قابلیت فارنزیک
  • آزمون و به روزرسانی رویه های مدیریت رخداد
  • تهیه طرح تداوم کسب وکار
  • تهیه طرح بازیابی از فاجعه
  • مشاوره در هر یک از خدمات ذکر شده

پیاده سازی امنیت فیزیکی و محیط پیرامونی:

این گرایش شامل طراحی، نصب، پیکربندی و پشیبانی از راه حلهای ایجاد امنیت فیزیکی و محیط پیرامونی است. شرکتهای ارائه دهنده این نوع خدمت لازمست توانمندی انجام فعالیتهای زیر را داشته باشند:

  • امن سازی و مقاومسازی امن اتاق سرور و مراکز داده

  • طراحی و پیادهسازی سامانه های اطفای حریق در محیطهای مرتبط با فناوری اطلاعات

  • طراحی و پیادهسازی راهحلهای تامین مطمئن انرژی برای تجهیزات فناوری اطلاعات

  • طراحی و پیادهسازی سامانههای کنترل دسترسی فیزیکی مانند سیستمهای کنترل ورود/خروج

  • طراحی و پیاده سازی امنیت محیط پیرامونی

خدمات عملیاتی افتا

خدمات مدیریتی افتا، خدماتی از جنس طراحی های کلان و ساختاری، طرح ریزی، برنامه ریزی، بهبود و ساماندهی، سنجش و پیشگیری مخاطرات امنیتی در سازمانها و تدوین نظامها و سیاستهای امنیتی است. لذا ارائه خدمات کلان ذیل در این حوزه قرار میگیرد

  • مشاوره و استقرار استانداردهای امنیت اطلاعات و ارتباطات:
     مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:

    • توانایی تعیین سطح امنیتی مناسب برای محافظت از سازوکار و دارائیهای سازمانها

    • توانایی تحلیل و مدیریت ریسک o توانایی تدوین خطمشی، فرایندها و راهنماهای امنیتی

    • تسلط بر استانداردهای مدیریت امنیت اطلاعات و مدیریت فناوری اطلاعات و تدوام کسب و کار و ITIL و COBIT o

    • آشنایی با استانداردهای ارزیابی امنیتی

    • آشنایی با مدلهای بلوغ امنیت اطلاعات

    • توانمندیهای عمومی مشاوره

  • ممیزی انطباق استانداردهای امنیت اطلاعات و ارتباطات:

  • ​​مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:

    • مطابقت با چک لیست الزامات ممیزی و صدور گواهینامه

    • مطابقت با استانداردهای الزامات مراکز گواهی در حوزه سیستمهای مدیریتی فتا و افتا

    • توانایی توسعه و پشتیبانی از یک طرح امنیتی برای هر سیستم و دارائیهای تحت کنترل سازمان

    • توانایی تحلیل و مدیریت ریسک

    • تسلط بر خط مشی، فرایندها و راهنماهای امنیتی

    • تسلط بر استانداردهای مدیریت امنیت اطلاعات، مدیریت فناوری اطلاعات و تدوام کسب و کار

    • آشنایی با استانداردهای ارزیابی امنیتی

    • آشنایی با مدلهای بلوغ امنیت اطلاعات

  • طرح ریزی معماری و زیرساخت امنیت 
  • دارنده این پروانه فعالیت میتواند به عنوان مجری «طرح امنسازی زیرساختهای حیاتی در مقابل حملات الکترونیکی» فعالیت نماید. شرط لازم برای درخواست این پروانه فعالیت، داشتن پروانه فعالیت «مشاوره و استقرار استانداردهای مدیریت امنیت اطلاعات و ارتباطات» و نیز داشتن حداقل دو پروانه فعالیت از چهار گرایش زیر باشد
    • آزمون و ارزیابی امنیتی

    • پیاده سازی مرکز عملیات امنیت و تیم پاسخ به رخداد

    • امن سازی و مقاوم سازی سامانه ها، زیرساخت ها و سرویس ها

    • راهبری مرکز عملیات امنیت و تیم پاسخگویی به رخداد

  • ارائه مشاوره حقوقی در زمینه افتا
  • مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:

    • آشنایی با قوانین و مقررات پیجویی وکشف جرایم سایبری

    • آشنایی با قوانین حوزه فناوری اطلاعات در ایران

    • آشنایی با نحوه پیجویی و کشف جرایم سایبری

    • آشنایی با اصول عملکرد سیستمهای پیشگیری از افشای اطلاعات (برای مثال در مهندسی اجتماعی)

  • خدمات بیمه افتا
  • مهارتها و قابلیتهای لازم برای ارائه این خدمت عبارتند از:

    • آشنایی با ریسکهای فاوا قابل ارزیابی و بیمه پذیر

    • توانایی در عرضه بیمه افتا

    • دارا بودن الزامات قانونی تاسیس شرکت بیمه مطابق با آیین نامه شماره 71 بیمه مرکزی جمهوری اسلامی ایران

خدمات مدیریتی افتا

خدمات امنیتی به دو دسته تقسیم می شوند

1-خدمات ارزیابی امنیتی محصول

2- خدمات پروانه های فعالیت در حوزه افتا که شامل چهار نوع خدمت

  • خدمات مدیریتی افتا
  • خدمات عملیاتی افتا
  • خدمات فنی افتا
  • خدمات آموزشی افتا
انواع خدمات امنیتی فناوری اطلاعات

نماینده متقاضی: شخصی است که به عنوان نقطه تماس یکتای سازمان با متقاضی محسوب شده و کلیه تعاملات سازمان با وی می باشد. این شخص می تواند مدیرعامل شرکت یا نماینده تام الاختیار وی باشد.
اداره کل نما: اداره کل نظام مدیریت امنیت اطلاعات
اداره کل ارم: اداره کل ارزیابی امنیتی محصولات
سازمان: سازمان فناوری اطلاعات ایران
افتا: امنیت فضای تولید و تبادل اطلاعات
مرکز افتا: مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری
متقاضی: شخص حقوقی درخواست کننده پروانه فعالیت

تعاریف

سوالات متداول