سازمان فناوری اطلاعات ایران




ارزیابی امنیتی محصولات (ارم)

ارزیابی امنیتی محصولات با اهداف زیر انجام می‌شود:
1- حصول اطمینان از امنیت محصولات مورد استفاده در دستگاه‌های اجرایی موضوع ماده (5) قانون مدیریت خدمات کشوری
2-حمایت از طراحی و توسعه محصولات افتا و ضدبدافزار بومی
3-شناسایی شرکت‌های بومی تولیدکننده محصولات
4-شناسایی محصولات بومی و مشخصه فنی آن­ها
5-برقراری امکان ارتباط با تولیدکنندگان بومی، اطلاع یافتن سازمان از فعالیت و مشکلات ایشان
6- رونق کسب و کار در حوزه محصولات و شرکت‌­ها : منع خرید محصولات خارجی منجر به فعال شدن شرکت‌­های داخلی و رونق تولید محصولات بومی می‌گردد 

000

تعاریف

مرکز افتا: مرکز مدیریت راهبردی افتای ریاست جمهوری
سازمان: سازمان فناوری اطلاعات ایران
استاندارد ارزیابی امنیتی معیار مشترک (ISO 15408): استاندارد معیار مشترک یا استاندارد ارزیابی امنیتی محصولات است.
آزمایشگاه (Laboratory): آزمایشگاه ارزیابی امنیتی محصولات فتا
تولیدکننده (Developer): تولی کننده محصول و یا متقاضی ارزیابی محصول
ارزیاب (Evaluator): کارمند آزمایشگاه که وظیفه‌ی ارزیابی محصول را دارد.
مصرف کننده : مصرفکننده حوزه ای است که محصول در آن استفاده و به کار گرفته می‌شود.



مشاهده لیست کامل تعاریف
001

فرآیند ارزیابی امنیتی محصولات

1- مراجعه به سامانه جامع خدمات و محصولات افتا از طریق نشانی https://arzyabi.ito.gov.ir

  • تکمیل فرم عضویت در سامانه جامع ساماندهی خدمات و محصولات افتا (با انتخاب گزینه درخواست صدور گواهی ارزیابی محصولات) توسط نماینده متقاضی و دریافت کد رهگیری (در صورت عدم عضویت از قبل)
  • ارسال نامه رسمی تایید درخواست عضویت به «سازمان فناوری اطلاعات - اداره کل ارم»، حاوی کد رهگیری و نام و نام خانوادگی و کدملی نماینده با امضای مدیرعامل و به پیوست آن آخرین روزنامه های رسمی حاوی نام مدیرعامل و موضوع فعالیت شرکت به آدرس «تهران، خیابان شریعتی، نرسیده به پل سیدخندان، ورودی شماره 22 سازمان فناوری اطلاعات، کد پستی 1631713931»
  • توجه: به علت رعایت پروتکل های بهداشتی تا اطلاع ثانوی پذیرش نامه بصورت فیزیکی انجام نمی‌شود و نامه فوق و پیوست‌های آن (روزنامه رسمی موضوع فعالیت و روزنامه رسمی هیات مدیره) باید به شماره 88386274 فکس یا تصویر نامه و پیوست‌های آن در قالب یک فایل پی دی اف به نشانی paperless2@ito.gov.ir ایمیل گردد. (آدرس ایمیل فرستنده نباید gmail یا yahoo باشد) جهت پیگیری دریافت نامه می‌توانید با شماره های 88113860، 88115797، 88114353 و 88114377 تماس حاصل نمایید.
  • بررسی درخواست عضویت در اداره کل ارم و تایید آن در صورت وجود شرایط.
  • ارسال لینک فعال سازی به ایمیل و پیام اطلاع رسانی به شماره موبایل نماینده معرفی شده
  • ورود نماینده معرفی شده به لینک فعال سازی و به روزرسانی اطلاعات رمز عبور و پروفایل متقاضی
  • فعال شدن امکان درخواست صدور گواهی ارزیابی امنیتی محصول بومی و سایر امکانات پس از تکمیل پروفایل متقاضی
  •  توضیح: متقاضی قبل از شروع ثبت درخواست گواهی محصول، مذاکرات خود را با آزمایشگاه جهت انتخاب آمایشگاه در طی فرآیند درخواست، انجام دهد.

2- ارزیابی امنیتی محصول در آزمایشگاه بر اساس استاندارد ISO15408 و مستندات چهارگانه محصول

3- تعیین موارد عدم انطباق محصول با استاندارد و ارائه گزارش و مهلت سه ماهه به تولیدکننده برای رفع نواقص

4- مراجعه تولیدکننده به آزمایشگاه پس از رفع موارد عدم انطباق با استاندارد برای ارزیابی مجدد محصول

5- بررسی گزارش‌های ارزیابی محصول توسط نهاد حاکمیتی و تصمیم در خصوص صدور گواهی

6- صدور گواهی ارزیابی امنیتی محصول و ارائه به تولیدکننده در قبال اخد تعهدنامه محصول

7- درخواست تمدید گواهی در پایان اعتبار آن بر اساس درخواست تولیدکننده و با توجه به شرایط محصول



مشاهده مستندات ارزیابی امنیتی محصولات مشاهده نمودار فرآیند

پروفایل‌های حفاظتی

یکی از فعالیت­‌های اداره کل ارزیابی امنیتی محصولات تهیه و تدوین پروفایل‌‌های حفاظتی محصولات است. در گام نخست، نسخه اولیه پروفایل‌های حفاظتی 52 محصول تدوین شد و در گام بعدی پس از اصلاح و بازبینی، نسخه تکمیلی پروفایل حفاظتی 37 محصول، نهایی و در سایت سازمان فناوری اطلاعات ایران منتشر شد. همچنین درراستای تسهیل فرآیند ارزیابی امنیتی محصولات برای تولیدکننده و آزمایشگاه، سند الزامات امنیتی برنامه‌های کاربردی تحت شبکه و راهنمای آن نیز منتشر شدند که بر اساس آن‌ها، تولیدکننده به راحتی می‌تواند موارد امنیتی در یک محصول خاص را رعایت کند.
با توجه به ارائه محصولات جدید، پروفایل‌‌های حفاظتی جدید تهیه، تدوین و منتشر می‌شوند.


مزایای تدوین نسخه بومی پروفایل‌های حفاظتی به شرح زیر است:
1- افزایش سطح آگاهی فنی و امنیتی تولید­کنندگان
2- منطبق کردن مشخصات فنی محصولات با نیازهای امنیتی هر نوع محصول
3- ارتقای سطح امنیتی محصولات
4- رفع نیازهای امنیتی مشتریان و مصرف­‌کنندگان به بهترین شیوه
5- کاهش زمان و هزینه ارزیابی امنیتی برای تولیدکنندگان
6- اطلاع و بهره‌برداری عموم از استانداردهای امنیتی مطرح و بین‌­المللی

اطلاعیه‌ها

فراخوان دریافت پروانه فعالیت در گرایش «مسابقات کشف نقص امنیتی»

یکشنبه 16 آذر 1399

در راستای استفاده بهینه از ظرفیت متخصصین امنیت فضای تولید و تبادل اطلاعات برای کشف آسیب پذیری و ارتقاء سطح امنیت سازمان‌ها، شرکتها و دستگاه ها،  خدمت «مسابقات کشف نقص امنیتی» به عنوان یکی از گرایشـهای خدمات عملیاتی امنیت فضای تولید و تبادل اطلاعات تعریف شده است. متقاضیان دریافت پروانه فعالیت در گرایش مذکور می توانند ضمن رعایت  تمامی دستورالعمل ها و مقررات مرتبط با شرایط اعلام شده در آیین نامه ساماندهی خدمات امنیت فضای تولید و تبادل اطلاعات و همچنین مطابق با شرایط و الزامات مرتبط با این خدمت، پس از عضویت در سامانه جامع خدمات و محصولات افتا به آدرس https://arzyabi.ito.gov.ir مشاهده متن کامل