گواهی

 مهر- محمدرضا فروزنده‌دوست، مدیر کل ارزیابی امنیتی محصولات معاونت امنیتی فضای تولید و تبادل اطلاعات سازمان فناوری ایران گفت: هم‌اکنون در شبکه‌های کامپیوتری در کشور محصولات امنیتی داخلی و خارجی استفاده می‌شود و مطابق با الزامات راهبردی سند افتا (امنیت فضای تبادل اطلاعات) مصوب سال 87 تمامی تجهیزات امنیتی اعم از سخت‌افزاری و نرم‌افزاری که وارد کشور می‌شوند، باید ارزیابی امنیتی شوند.

وی گفت درباره اجرای این سند، ممکن است بخش خصوصی آزادانه عمل کند اما اگر محصولی در بخش امنیت شبکه دستگاه‌های اجرایی و حکومتی قرار گبرد، باید این محصول از نظر امنیتی ارزیابی شده و گواهی ارزیابی دریافت کند.
فروزنده‌دوست با بیان اینکه مرجع دریافت این گواهی سازمان فناوری اطلاعات است، افزود: در این زمینه 3 سند را برای تصویب نهایی در شورای عالی فضای مجازی آماده کرده‌ایم که مراحل ویرایش نهایی را می‌گذارند و در صورت تصویب در این شورا در آینده نزدیک، تمامی محصولاتی که در شبکه‌های بخش‌های دولتی استفاده می‌شوند، باید ارزیابی امنیتی و گواهی دریافت کنند.
وی گفت: درحال‌حاضر رگولاتوری هر محصول امنیتی فناوری اطلاعات را که وارد کشور می‌شود، از نظر کارایی و مطابقت برای ورود به کشور تست می‌کند، اما با اجرای این سند و با هدف جلوگیری از آسیب‌پذیری شبکه‌های کامپیوتری دستگاه اجرایی، سازمان فناوری اطلاعات در صورت استفاده در شبکه‌های دستگاه‌های دولتی باید گواهی ارزیابی امنیتی به این محصولات بدهد.
وی درباره ارزیابی امنیتی محصولات تولیدی داخل کشور گفت: تاکنون حدود 300 محصول داخلی برای ارزیابی امنیتی به ما ارجاع شده است که از این تعداد به چند ده محصول، گواهی تأیید امنیت دادیم و دستگاه‌های اجرایی ملزم شده‌اند که به‌دلیل وجود مشابه این محصولات در داخل کشور، از این تجهیزات در شبکه‌های خود استفاده کنند. وی با بیان تست این محصولات در آزمایشگاه‌های داخل کشور گفت: تاکنون حدود 20 آزمایشگاه‌ برای ارزیابی امنیتی و صدور گواهی امنیت شناسایی شده‌اند اما با توجه به اینکه فرآیند کار بسیار پیچیده بوده و مراحل مختلفی دارد تاکنون به 3 آزمایشگاه به‌عنوان همکار، برای ارائه گواهی تأیید نمونه و تست محصولات مجوز داده‌ایم. این آزمایشگاه‌ها محصولات را تست و خروجی آن‌ها را مطابق با استانداردهای مدنظر بررسی کرده و در نهایت به محصولات گواهی می‌دهیم.
فروزنده‌دوست با بیان اینکه به‌زودی با ارائه 2 مجوز دیگر، شمار آزمایشگاه‌های ارزیابی و صدور گواهی تأیید محصولات امنیتی در کشور به 5 می‌رسد، گفت: هر یک از این آزمایشگاه‌ها ، در دسته‌بندی‌های مختلفی شامل تجهیزات شبکه، نرم‌افزارهای کاربردی تحت وب، مرکز عملیات امنیت (SOC) و رمزنگاری فعالیت می‌کنند.

وی گفت: با توجه به اینکه امروزه تمامی سرویس‌ها به صورت اینترنتی و تحت وب است، بیشترین محصولاتی که باید مورد ارزیابی امنیتی قرار گیرند نرم‌افزارهای امنیتی تحت وب هستند که آسیب‌پذیر یوده و بسیاری از نفوذها از طریق آن‌ها صورت می‌گیرد.
وی گفت: با تصویب این سند، ساماندهی امنیت دستگاه‌های دولتی و حاکمیتی در حوزه استفاده از محصولات امنیتی فناوری اطلاعات اتفاق می‌افتد.