سازمان فناوری اطلاعات ایران



ارزیابی امنیتی محصولات (ارم)

ارزیابی امنیتی محصولات با اهداف زیر انجام می‌شود:
1- حصول اطمینان از امنیت محصولات مورد استفاده در دستگاه‌های اجرایی موضوع ماده (5) قانون مدیریت خدمات كشوری
2-حمایت از طراحی و توسعه محصولات افتا و ضدبدافزار بومی
3-شناسایی شركت‌های بومی تولیدكننده محصولات
4-شناسایی محصولات بومی و مشخصه فنی آن­ها
5-برقراری امكان ارتباط با تولیدكنندگان بومی، اطلاع یافتن سازمان از فعالیت و مشكلات ایشان
6- رونق كسب و كار در حوزه محصولات و شركت‌­ها : منع خريد محصولات خارجي منجر به فعال شدن شركت‌­هاي داخلي و رونق توليد محصولات بومي گرديد ليكن كليه توليدكنندگان حوزه فتا و افتا موظف شدند به منظور تست و ارزيابي امنيتي محصولات خود با اين سازمان مكاتبه نمايند تا نسبت به معرفي محصول به آزمايشگاه اقدام لازم به عمل آيد.

000

تعاریف

مرکز افتا: مرکز مدیریت راهبردی افتا ریاست جمهوری
سازمان: سازمان فناوری اطلاعات
استاندارد ارزیابی امنیتی معیار مشترک(ISO 15408): استاندارد معیار مشترک یا استانداردی برای ارزیابی امنیتی محصولات می‌باشد
آزمایشگاه (Laboratory): آزمایشگاه ارزیابی امنیتی محصولات فتا
تولید کننده (Developer): تولید کننده محصول و یا متقاضی ارزیابی محصول
ارزیاب (Evaluator): کارمند آزمایشگاه که وظیفهی ارزیابی محصول را دارد
مصرف کننده :منظور از مصرف کننده حوزه ای است که محصول در آن مورد استفاده قرار گرفته و بکارگرفته می‌شود

مشاهده لیست کامل تعاریف
001

فرآیند ارزیابی امنیتی محصولات

1- مذاکره با آزمایشگاه و عقد قرارداد بین تولیدکننده و آزمایشگاه
2- تکمیل مدارک زونکن اعتباری توسط تولید کننده و ارسال به سازمان فناوری اطلاعات ایران
3- ارزیابی امنیتی محصول در آزمایشگاه بر اساس استاندارد ISO15408 و مستندات چهارگانه محصول
4 تعیین موارد عدم انطباق محصول با استاندارد و ارائه گزارش و مهلت سه ماهه به تولیدکننده برای رفع نواقص
5- مراجعه تولیدکننده به آزمایشگاه پس ازرفع موارد عدم انطباق با استاندارد برای ارزیابی مجدد محصول
6- بررسی گزارش‌های ارزیابی محصول توسط نهاد حاکمیتی و تصمیم در خصوص صدور گواهی
7- صدور گواهی ارزیابی امنیتی محصول و ارائه به تولیدکننده در قبال اخد تعهدنامه محصول
8- تداوم گواهی در پایان اعتبار آن بر اساس درخواست تولیدکننده و با توجه به شرایط محصول


مشاهده مستندات ارزیابی امنیتی محصولات مشاهده نمودار فرآیند

پروفایل‌های حفاظتی

یکی از فعالیت­‌های اداره کل ارزیابی امنیتی محصولات تهیه و تدوین پروفایل‌‌های حفاظتی محصولات است. در گام نخست، نسخه اولیه پروفایل‌های حفاظتی 52 محصول تدوین شد و در گام بعدی پس از اصلاح و بازبینی، نسخه تکمیلی پروفایل حفاظتی 37 محصول، نهایی و در سایت سازمان فناوری اطلاعات ایران منتشر شد. همچنین درراستای تسهیل فرآیند ارزیابی امنیتی محصولات برای تولیدکننده و آزمایشگاه، سند الزامات امنیتی برنامه‌های کاربردی تحت شبکه و راهنمای آن نیز منتشر شدند که بر اساس آن‌ها، تولیدکننده به راحتی می‌تواند موارد امنیتی در یک محصول خاص را رعایت کند.
با توجه به ارائه محصولات جدید، پروفایل‌‌های حفاظتی جدید تهیه، تدوین و منتشر می‌شوند.


مزایای تدوین نسخه بومی پروفایل‌های حفاظتی به شرح زیر است:
1- افزایش سطح آگاهی فنی و امنیتی تولید­كنندگان
2- منطبق کردن مشخصات فنی محصولات با نیازهای امنیتی هر نوع محصول
3- ارتقای سطح امنیتی محصولات
4- رفع نیازهای امنیتی مشتریان و مصرف­‌كنندگان به بهترین شیوه
5- كاهش زمان و هزینه ارزیابی امنیتی برای تولیدكنندگان
6- اطلاع و بهره‌برداری عموم از استانداردهای امنیتی مطرح و بین‌­المللی

اطلاعیه‌ها

فراخوان در حوزه ارائه خدمات افتا

چهارشنبه 6 آذر 1398

سازمان فناوری اطلاعات ایران با همکاری مرکز مدیریت راهبردی افتا، در نظر دارد به‌منظور توسعه کمی و ارتقای کیفی ظرفیت های فعال در زمینه ی ارائه خدمات افتا، از توانمندی شرکت های دارای تجربه در این زمینه استفاده نماید. متقاضیان لازمست برای کسب اطلاعات بیشتر از شرایط دریافت پروانه فعالیت خدمات افتا به سایت نما به بخش اعتبار بخشی قسمت درخواست دریافت پروانه مراجعه نموده و در صورت داشتن شرایط مندرج در «آیین­ نامه ساماندهی خدمات افتا»، برای دریافت پروانه فعالیت اقدام نمایند. بدیهی است برای متقاضیانی پروانه فعالیت صادر می شود که شرایط ارزیابی را احراز نموده باشند. ضمنا با توجه به ضرورت، اولویت رسیدگی به درخواست ها با متقاضیانی است که در گرایش های زیر درخواست پروانه فعالیت نمایند...

مشاهده متن کامل