مرکز افتا: مرکز مدیریت راهبردی افتای ریاست جمهوری
سازمان: سازمان فناوری اطلاعات ایران
استاندارد ارزیابی امنیتی معیار مشترک (ISO 15408): استاندارد معیار مشترک یا استاندارد ارزیابی امنیتی محصولات است.
آزمایشگاه (Laboratory): آزمایشگاه ارزیابی امنیتی محصولات فتا
تولیدکننده (Developer): تولید کننده محصول و یا متقاضی ارزیابی محصول
ارزیاب (Evaluator): کارمند آزمایشگاه که وظیفه‌ی ارزیابی محصول را دارد.
بهره‌بردار : بهره‌بردار حوزه‌ای است که محصول در آن استفاده و بهره‌برداری می‌شود.

1- فرآیند ارزیابی امنیتی محصولات بومی

توجه: نظر به اینکه به طور موقت، درخواست صدور و تمدید گواهی محصولات بومی از طریق سامانه انجام نمی‌شود، لازم است متقاضیان محترم طبق دستورالعمل‌های ذیل اقدام نمایند

1-1- درخواست صدور گواهی محصول بومی جدید

1-1-1- ابتدا از فهرست آزمایشگاه‌های دارای گواهی معتبر، آزمایشگاه را انتخاب کنید و با آزمایشگاه انتخاب شده در تماس باشید تا پس از عقد قرارداد و پرداخت هزینه آزمایشگاه، مراحل نصب محصول و ارائه مستندات فنی را انجام دهید. (آموزش نحوه تکمیل مستندات مورد نیاز آزمایشگاه ارزیابی محصول شامل اسناد هدف امنیتی، پیکربندی، واسط‌ها و شرح محصول، در مجموعه ویدئوهای آموزشی در دسترس است)

2-1-1- به محض عقد قرارداد با آزمایشگاه، مستندات اعتباری را از جدول 3 بخش فرم‌ها، دستورالعمل‌ها و استانداردها، دریافت نمایید. با استفاده از فایل راهنما، فرم‌ها را تکمیل و فقط در قالب یک لوح فشرده به همراه نامه پوششی ارسال فرمایید.

تذکر مهم: در صورت عدم تکمیل و ارسال لوح فشرده اعتباری، سازمان فناوری اطلاعات ایران، هیچ مسئولیتی در قبال تأخیر در صدور گواهی ارزیابی امنیتی محصول ندارد.

• ارزیابی امنیتی محصول در آزمایشگاه بر اساس استاندارد ISO15408 و مستندات چهارگانه محصول مطابق با پروفایل‌های حفاظتی موجود برای هر دسته از محصولات انجام می‌شود.
• اعلام موارد عدم انطباق محصول با استاندارد و ارائه گزارش و مهلت سه ماهه به تولیدکننده برای رفع نواقص توسط آزمایشگاه صورت می‌گیرد.
• تولیدکننده پس از رفع موارد عدم انطباق با استاندارد برای ارزیابی مجدد محصول به آزمایشگاه مراجعه می‌کند.
• آزمایشگاه گزارش‌های ارزیابی محصول را به مرکز مدیریت راهبردی افتا ارسال می‌نماید.
• اعلام صدور/عدم صدور گواهی توسط مرکز مدیریت راهبردی افتا به سازمان فناوری اطلاعات ایران اعلام می‌شود.
• گواهی ارزیابی امنیتی محصول در قبال اخد تعهدنامه محصول و پس از طی فرآیند اداری، صادر و به متقاضی تحویل می‌شود.

مهم:  شرکت‌های دارنده گواهینامه امنیتی محصول بر‌‌‌‌‌ اساس بند سه تعهد‌نامه اخذ گواهی‌نامه امنیتی محصولات، ملزم به انتشار سند هدف امنیتی محصول و تصویر آخرین گواهی‌نامه اخذشده در وبگاه (سایت) شرکت هستند.

ازآنجاکه سند هدف امنیتی بیان‌کننده  ادعای تولیدکننده در ارتباط با کارکردهای امنیتی محصول بر اساس نمایه حفاظتی و استانداردهای مربوطه بوده و نشان‌دهنده چگونگی برآورده نمودن الزامات کارکرد امنیتی توسط محصول به مشتریان می‌باشد، لذا این امر موجب ایجاد شفافیت و اطلاع‌رسانی به دارندگان و خریداران آتی محصولات می‌شود.

لازم به توضیح می‌باشد در خصوص محصولات حوزه «نرم‌افزارهای کاربردی و سیستمی» انتشار سند تکمیل‌شده «الزامات امنیتی برنامه‌های کاربردی تحت شبکه» منطبق با مشخصات محصول مندرج در گواهی، به‌جای «سند هدف امنیتی» قابل‌قبول است.

شایان‌ذکر است، عدم رعایت تعهد اشاره‌شده، منجر به تعلیق و عدم تمدید گواهی صادره خواهد شد.

2-1- درخواست تمدید/تغییر گواهی محصول بومی

1-2-1- درخواست تمدید گواهی محصول در فاصله سه ماه مانده به پایان اعتبار آن بر اساس درخواست متقاضی و تکمیل و ارسال فرم «تعیین دامنه تغییرات ایجاد شده در محصول» (در جدول 4 بخش فرم‌ها، دستورالعمل‌ها و استانداردها) به سازمان فناوری اطلاعات ایران به منظور ارجاع به آزمایشگاه برای بررسی تغییرات/عدم تغییرات محصول انجام می‌شود.

(در صورت داشتن هر سؤالی مربوط به محصولات داخلی با شماره تلفن‌های 9-88115727 تماس بگیرید.)

______________________________________

2- فرآیند ارزیابی امنیتی محصولات وارداتی

1-2- مرحله اول: احراز هویت

واردکنندگان (اشخاص حقیقی یا حقوقی) که برای اولین بار متقاضی دریافت تائیدیه امنیتی محصولات وارداتی هستند، باید مرحله اول و دوم را انجام دهند و در صورتی‌که برای بار دوم و بیشتر اقدام می‌کنند، فقط باید مرحله دوم را انجام دهند.

1-1-2-تهیه «گواهی امضای ثبت شده در دفاتر اسناد رسمی (دارای شناسه یکتا و رمز تصدیق) مبنی بر معرفی صاحبان امضای مجاز»

2-1-2-تهیه «معرفی‌نامه در سربرگ شرکت مبنی بر معرفی صاحبان امضا و نمونه امضای آن‌ها»

3-1-2-ارسال گواهی امضا و معرفی‌نامه صاحبان امضا به­ صورت حضوری به اداره کل ارزیابی امنیتی محصولات (ارم) به آدرس تهران– خیابان شهید بهشتی- بین بزرگراه مدرس و خیابان قائم‌مقام فراهانی- پلاک 267 کدپستی 1514617125، طبقه دوم اداره کل ارم، آقای جوادی 88115968.

4-1-2-مدارک زیر با اصل امضای صاحبان امضای مجاز، ممهور به مُهر شرکت، اسکن و در قالب فایل‌های PDF جداگانه به آدرس ایمیل eram@ito.gov.ir ارسال شوند (غیرحضوری).

توجه 1: بخش موضوع ایمیل به این صورت باشد: «ارسال مدارک مربوط به شرکت.........و نامه شماره ....../100»

توجه 2: ایمیل توسط نماینده شرکت و از طریق ایمیل رسمی شرکت ارسال شود، تا پیگیری و هماهنگی‌های بعدی از طریق آن صورت پذیرد.

توجه 3: تعهدنامه تایپ شود و دست‌نویس نباشد.

مدارک اشخاص حقوقی

• تعهدنامه تکمیل شده و تایپ شده
• اساسنامه شرکت
• روزنامه رسمی شامل آخرین تغییرات شرکت که صاحبان سهام، صاحبان امضای مجاز و سمت­‌ها در آن مشخص باشد.
• تصویر کارت ملی صاحبان امضا
• تصویر صفحه اول شناسنامه صاحبان امضا
• تصویر گواهی امضای صاحبان امضا که در دفترخانه اسناد رسمی ثبت شده است (دارای شناسه یکتا و رمز تصدیق).
• تصویر نامه معرفی صاحبان امضا در سربرگ شرکت
• تصویر گواهی معتبر امنیتی بین‌المللی برای هر محصول از مراجع معتبر جهانی مانند: Common Criteria، NIAP، ICSA ، ISA و یا سایر آزمایشگاه‌های معتبر جهانی یا تصویر گواهی معتبر امنیتی داخلی برای هر محصول از یکی از آزمایشگاه‌های دارای پروانه از سازمان فناوری اطلاعات ایران (فهرست آزمایشگاه‌های موجود در آدرس https://sec.ito.gov.ir/page/labs )

توجه 4: تعهدنامه تکمیل شده (تایپ‌شده) با اصل امضای صاحبان امضای مجاز، ممهور به مُهر شرکت، اسکن و در قالب فایل PDF به آدرس ایمیل eram@ito.gov.ir ارسال شوند (غیرحضوری).

توجه 5: اگر صاحب امضای مجاز یک نفر باشد، انتهای همه صفحات تعهدنامه را همان یک نفر در هر دو جای مشخص شده برای امضا، تکمیل و امضا می‌کند.

مدارک اشخاص حقیقی

• تعهدنامه تکمیل شده
• تصویر کارت بازرگانی متقاضی/واردکننده
• تصویر کارت ملی متقاضی/واردکننده
• تصویر صفحه اول شناسنامه متقاضی/واردکننده
• تصویر گواهی امضای متقاضی/واردکننده که در دفترخانه اسناد رسمی ثبت شده است (دارای شناسه یکتا و رمز تصدیق).
• تصویر گواهی معتبر امنیتی بین‌المللی برای هر محصول از مراجع معتبر جهانی مانند: Common Criteria، NIAP، ICSA ، ISA و یا سایر آزمایشگاه‌های معتبر جهانی یا تصویر گواهی معتبر امنیتی داخلی برای هر محصول از یکی از آزمایشگاه‌های دارای پروانه از سازمان فناوری اطلاعات ایران (فهرست آزمایشگاه‌های موجود در آدرس https://sec.ito.gov.ir/page/labs )

2-2-مرحله دوم: ارسال فایل پیوست مشخصات محصولات

1-2-2-همه ستون‌های فایل اکسل (Excel) پیوست مشخصات محصولات تکمیل و فایل پُر شده به آدرس ایمیل eram@ito.gov.ir ارسال شود (غیرحضوری).

توجه 6: در فایل اکسل در صورتی‌که فیلد «محصول گواهی معتبر امنیتی از آزمایشگاه‌های داخلی یا از مراجع بین المللی دارد؟» با «بله» پُر شود، در فیلد «آدرس اینترنتی گواهی معتبر امنیتی داخلی یا بین المللی محصول» باید آدرس اینترنتی و لینک گواهی معتبر داخلی یا بین‌المللی هر محصول درج شود.