گواهینامه افتا چیست؟ و چه ضرورتی برای دریافت آن هست؟
اگر میخواهید بدانید گواهینامه افتا چیست و چه ضرورتی برای دریافت آن وجود دارد تا آخر این مقاله همراه ما باشید. افتا یا سند راهبردی امنیت فضای تولید و تبادل اطلاعات، سندی است که به منظور حفظ امنیت فضای تولید و تبادل اطلاعات کشور در برابر تهدیدات و آسیبهای احتمالی، توسط وزارت ارتباطات و فناوری اطلاعات و با همکاری سایر دستگاههای اجرایی کشور تهیه و تدوین شده است.
این سند در سال ۱۳۸۷ به تصویب هیئت وزیران رسید و از آن زمان تاکنون، مبنای سیاستگذاری و برنامهریزی در حوزه امنیت فضای تولید و تبادل اطلاعات کشور قرار گرفته است.
«سازمان فناوری اطلاعات ایران بر اساس اسناد و راهبردهای ملی، از جمله سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) و قوانین مصوب در قالب برنامههای پنجساله توسعه، به منظور حمایت و گسترش خدمات امنیت فضای تولید و تبادل اطلاعات (افتا) دركشور و برنامه ریزی درزمینه بهكارگیری بهینه ظرفیتهای ملی و ساماندهی شركتهای توانمند در ارائه خدمات افتا، اقدام به ارزیابی و صدور پروانه فعالیت در حوزه افتا نموده است».
جملات بالا نوشته ای از سایت وزارت ارتباطات و فناوری اطلاعات، بخش معاونت امنیت فضای تولید و تبادل اطلاعات گرفته شده است. اما برخی از استفاده کنندگان خدمات و نرم افزارهای شرکت ها و فروشندگان، اطلاعات بیشتری از این سند و گواهی افتا برای خدمات و محصولات ندارند. الزام دریافت گواهی افتا برای مشتریان بخش دولتی و عمومی الزامی شده، و بیشتر مشتریان این حوزه ها همزمان با خرید و استفاده از محصولات و خدمات ارائه گواهی یاد شده را از فروشنده درخواست می کنند.
سند راهبردی افتا، بر اساس اصول و اهداف زیر تدوین شده است:
- حفظ تمامیت، محرمانگی و دسترسپذیری اطلاعات
- حفاظت از زیرساختهای حیاتی کشور در برابر حملات الکترونیکی
- تأمین سلامت و جلوگیری از مخاطرات ناشی از محتوا در فضای تولید و تبادل اطلاعات
- تقویت صنعت و توسعه خدمات و محصولات افتا
- حمایت از تحقیق، ارتقای سطح آگاهی، دانش و مهارتهای مرتبط با افتا
سند افتا، شامل پنج محور اصلی است:
- سیاستگذاری و نظاممندی
- زیرساختهای فنی
- محتوا
- صنعت و خدمات
- تحقیق، آموزش و آگاهیبخشی
محور سیاست گذاری و نظام مندی
محور زیرساخت های فنی
محور محتوا
محور صنعت و خدمات
محور تحقیق
افتا کوتاه شده عبارت ” امنیت فضای تولید و تبادل اطلاعات ” است که به عنوانهای مختلف از جمله: سند افتا، گواهی ارزیابی افتا, گواهی ارزیابی نما نیز شناخته میشود. نظام مدیریت امنیت اطلاعات (نما)، در زمینه امنسازی فضای تولید و تبادل اطلاعات و داده ها توسط سازمان فناوری اطلاعات و مرکز ماهر صورت گرفته که شامل فعالیتهایی مانند استانداردهای تخصصی امنیت، مدیریت، اعتباربخشی، صدور پروانه و نظارت برعملکرد شرکتهای ارائه کننده خدمات در سطح کشور، رسیدگی و پاسخگویی مناسب به رخدادهای سایبری و فعالیتهای بینالمللی در حوزه امنیت میشود.
«گواهی افتا» سندی راهبردی ملی است که وظایفی را برای وزارتخانهها و نهادهای حاکمیتی کشور در زمینه امنسازی «فضای تولید و تبادل اطلاعات»، مقرر کرده است. یکی از نظامهای اصلی مورد اشاره در سند افتا، نظام مدیریت امنیت اطلاعات است که در این راستا سازمان فناوری اطلاعات ایران فعالیتهایی از قبیل تدوین استانداردهای افتا، خصوصا استانداردهای تخصصی امنیت، مدیریت، اعتباربخشی، صدور پروانه و نظارت بر عملکرد شرکتهای ارائهکننده خدمات افتا در سطح کشور و تعامل با مجامع بینالمللی تخصصی امنیت فضای تولید و تبادل اطلاعات را انجام میدهد.
فرآیند اخذ این گواهینامه، از درخواست شرکت و یا مالک محصول ( در این نوشتار منظور نرم افزار ) شروع می شود، شرکت مزبور برای دریافت این گواهی افتا می بایست پس از ارائه درخواست یکی از آزمایشگاههای امنیت مرتبط را که مورد تایید سازمان افتا نیز می باشد انتخاب و به آگاهی برساند. پس از تایید آزمایشگاه توسط سازمان افتا، قرارداد بین شرکت و آزمایشگاه منعقد و کار بررسی محصول مورد نظر توسط آزمایشگاه شروع می شود.
بدیهی است در صورتی که محصول مورد نظر نرم افزاری باشد، استانداردهای الزامی توسط آرمایشگاه در اختیار درخواست کننده قرار می گیرد تا در اجزای نرم افزاری / محصول مورد نظر توسط تولید کننده آن لحاظ شود. بدیهی است که الزام رعایت این استاندارها در صورتی که از ابتدای تولید محصول نادیده گرفته شده باشد زمان اعمال آن و اثبات آن و راستی آزمایی توسط آزمایشگاه بسیار طولانی خواهد بود و در برخی موارد می بایست محصول مورد نظر از ابتدا بازنگری اساسی شود.
و در صورتی که تولید کننده محصولات استانداردهای امنیتی را در محصول نرم افزاری خود لحاظ کرده باشد این بخش از فرآیند مدت کوتاه تری را سپری می کند.
برای مثال دریافت گواهی افتا برای اولین بار برای نرم افزاری مثل نظارت تصویر شیردال بیش از 6 ماه و برای تمدید این گواهی حدود 6 ماه بطول کشید تا گواهی افتا با تایید 100% آزمایشگاه دریافت گردد. برای دیدن گواهی افتای محصول نظارت تصویر دوربین مدار بسته شیردال به «اینجا» مراجعه کنید.
فهرستی از محصولات دارای افتا هم در لیست سازمان فناوری اطلاعات و ارتباطات وجود دارد که وضعیت اعتبار گواهی افتا ی محصولات را نمایش می دهد. برای دیدن اعتبار گواهی های افتا از جمله گواهی افتای نرم افزار نظارت تصویر دوربین مداربسته شیردال به «اینجا» مراجعه کنید.
برخی دیگر از کشورها هم مقررات و استانداردهایی را برای امنیت داده ها و حفظ حریم شخصی تعریف کردند. برای مثال اتحادیه اروپا برای حفظ حریم شخصی اطلاعات و امنیت آن مقرراتی را برای کشورهای اروپایی وضع کرده است و برخی دیگر از کشورها هم از این مقررات استفاده می کنند. مقررات عمومی حفاظت از دادهها که بهطور خلاصه GDPR نامیده میشود (General Data Protection Regulation) یک چارچوب قانونی است که دستورالعملهایی را برای جمعآوری و پردازش اطلاعات شخصی افراد ساکن و خارج از اتحادیه اروپا (EU) تعیین کرده است.
با پیشرفت تکنولوژی و اختراع اینترنت، اتحادیه اروپا نیاز به حفاظتهای به روزتر ومدرن را تشخیص داد. بنابراین در سال ۱۹۹۵ دستورالعمل حفاظت از دادههای اروپا را تصویب کرد، که حداقل استانداردهای حفظ حریم خصوصی و امنیت دادهها را ایجاد کرد که هر کشوری که عضو آن است ملزم به اجرای آن خواهد بود. GDPR در سال ۲۰۱۶ تصویب شد و در ۲۵ مه ۲۰۱۸ به طور کامل اجرایی شد.
رعایت استانداردها و پروتکل های امنیتی چه منافعی برای استفاده کنندگان و مشتریان دارد؟
مشتریان، استفاده کنندگان، و کاربران نهایی و سازمان هایی که از محصولات به ویژه نرم افزارهای بومی استفاده می کنند می بایست مطمئن باشند که اطلاعات و داده های خود ایمن هستند و دسترسی به آنها به غیر از افراد مجاز سازمان خود میسر نباشد. و نرم افزار ارائه شده، قابلیت های اطمینان بخشی و اعتماد بخشی را برای استفاده کنندگان دارا باشد تا مشتریان را از خطرات هکرها و دستبرد سارقین اطلاعات محفوظ نگه دارد.
مشتریانی که از نرم افزارهای دارای گواهی افتا استفاده می کنند، اطمینان خواهند داشت که داده ها و اطلاعات آنها مورد دستبرد از طریق فضای تبادل داده ها و یا فضای سایبری قرار نخواهد گرفت. اگر چه نرم افزارها بخشی از کل یعنی تجهیزات و شبکه و زیر ساخت هاست که تامین استاندارد های امنیت برای یک سازمان، همه این اجزا را شامل می شود.
وجود مقررات و استاندارد و رعایت آن و کنترل نهادی متمرکز این حسن را برای کاربران و مشتریان نرم افزارها دارد که نیازی نیست هر یک راستی آزمایی نرم افزارها را برعهده گیرند و با اعتماد به نهاد متمرکزی مثل مرکز افتا می توانند اطمینان حاصل کنند.
سند افتا، نقشه راه مناسبی برای حفظ امنیت فضای تولید و تبادل اطلاعات کشور است و با اجرای دقیق آن، می توان از تهدیدات و آسیب های احتمالی این فضا جلوگیری کرد.