ارزیابی امنیتی شبکه‌های کامپیوتری دستگاههای دولتی الزامی می‌شود

سند ارزیابی تجهیزات امنیتی مورد استفاده در شبکه های کامپیوتری دستگاههای اجرایی تدوین شد که با تصویب این سند در شورایعالی فضای مجازی، تمام دستگاهها ملزم به دریافت گواهی تایید امنیت می شوند.
 
محمدرضا فروزنده دوست مدیرکل ارزیابی امنیتی محصولات معاونت امنیت فضای تولید و تبادل اطلاعات در سازمان فناوری اطلاعات ایران در گفتگو با مهر، با اعلام این خبر گفت: هم اکنون در شبکه های کامپیوتری در کشور محصولات امنیتی داخلی و خارجی استفاده می شوند و مطابق با الزامات راهبردی سند افتا (امنیت فضای تبادل اطلاعات) مصوب سال ۸۷ تمامی تجهیزات امنیتی اعم از سخت افزاری و نرم افزاری که وارد کشور می شوند باید ارزیابی امنیتی شوند.
 
وی گفت: در مورد اجرای این سند، ممکن است بخش خصوصی آزادانه عمل کند اما اگر محصولی در بخش امنیت شبکه دستگاههای اجرایی و حکومتی قرار گیرد باید این محصول از نظر امنیتی ارزیابی شده و گواهی ارزیابی دریافت کند.
 
فروزنده دوست با اشاره به اینکه مرجع دریافت این گواهی سازمان فناوری اطلاعات است، افزود: در این زمینه ۳ سند را برای تصویب نهایی در شورای عالی فضای مجازی آماده کرده ایم که مراحل ویرایش نهایی را می گذراند و در صورت تصویب در این شورا در آینده نزدیک، تمامی محصولاتی که در شبکه های بخش های دولتی مورد استفاده قرار می گیرد باید ارزیابی امنیتی شده و گواهی دریافت کنند.
 
وی گفت: در حال حاضر هر محصول امنیتی فناوری اطلاعات که وارد کشور می شود توسط رگولاتوری مورد تستهای کارایی و مطابقت برای ورود به کشور قرار می گیرد، اما با اجرای این سند و با هدف جلوگیری از آسیب پذیری شبکه های کامپیوتری دستگاههای اجرایی، سازمان فناوری اطلاعات نیز به این محصولات در صورت استفاده در شبکه های دستگاههای دولتی، باید گواهی ارزیابی امنیتی بدهد.
 
این مقام مسئول در سازمان فناوری اطلاعات درمورد ارزیابی امنیتی محصولات تولیدی داخل کشور نیز گفت: تاکنون حدود ۳۰۰ محصول داخلی برای ارزیابی امنیتی به ما ارجاع شده است که از این تعداد به چند ده محصول، گواهی تایید امنیت دادیم و دستگاههای اجرایی ملزم شده اند که به دلیل وجود مشابه این محصولات درداخل کشور، از این تجهیزات در شبکه های خود استفاده کنند.
 
وی با اشاره به تست این محصولات در آزمایشگاههای داخل کشور گفت: تاکنون حدود ۲۰ آزمایشگاه برای ارزیابی امنیتی و صدور گواهی امنیت شناسایی شده اند اما با توجه به اینکه فرآیند کار بسیار پیچیده بوده و مراحل مختلفی دارد تاکنون به ۳ آزمایشگاه به عنوان همکار، برای ارائه گواهی تایید نمونه و تست محصولات، مجوز داده ایم. این آزمایشگاهها محصولات را تست و خروجی آنها را مطابق با استانداردهای مدنظر بررسی کرده و در نهایت به محصولات گواهی می دهیم.
 
فروزنده دوست با بیان اینکه به زودی با ارائه ۲ مجوز دیگر، شمار آزمایشگاههای ارزیابی و صدور گواهی تایید محصولات امنیتی در کشور به ۵ می رسد، خاطرنشان کرد: هر یک از این آزمایشگاهها، در دسته بندی های مختلفی شامل تجهیزات شبکه، نرم افزارهای کاربردی تحت وب، مرکز عملیات امنیت ( SOC ) و رمزنگاری فعالیت می کنند.
 
وی گفت: با توجه به اینکه امروزه تمامی سرویسها به صورت اینترنتی و تحت وب است، بیشترین محصولاتی که باید مورد ارزیابی امنیتی قرار گیرند نرم افزارهای کاربردی تحت وب هستند که آسیب پذیر بوده و بسیاری از نفوذها از طریق آنها صورت می گیرد.
 
مدیرکل ارزیابی امنیتی محصولات معاونت امنیت فضای تولید و تبادل اطلاعات در سازمان فناوری اطلاعات ایران خاطرنشان کرد: با تصویب این سند، ساماندهی امنیت دستگاههای دولتی و حاکمیتی در حوزه استفاده از محصولات امنیتی فناوری اطلاعات اتفاق می افتد.

رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران تشریح کرد: نحوه پیشگیری از شکایات و تخلفات درحوزه فناوری اطلاعات

رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران ضمن اشاره به فعالیت این شورا، راه های کاهش حجم شکایات و تخلفات را در حوزه فناوری اطلاعات معرفی کرد.
 
رئیس شورای انتظامی سازمان نظام صنفی رایانه‌ای استان تهران با اشاره به اینکه شورای انتظامی به عنوان مرجع حل اختلافات صنف، به شکایات و تخلفات درحوزه فناوری اطلاعات و ارتباطات رسیدگی می‌کند، گفت: براساس ماده 46 آئین‌نامه اجرایی ماده 17قانون حمایت ازحقوق پدید آورندگان نرم افزارهای رایانه‌ای، شورای انتظامی هر نظام استانی سازمان نظام صنفی رایانه ای، مسئول رسیدگی به شکایات اشخاص حقیقی و حقوقی درخصوص تخلفات حرفه‌ای، انضباطی و انتظامی درحوزه فاوا است.
 
فروزنده دراین رابطه ادامه داد: شورای انتظامی نه به عنوان یک دادگاه، بلکه به عنوان شورای حل اختلاف صنفی فناوری اطلاعات، تمرکز خود را روی تخلفات صنفی قرار داده است. اغلب جلسات این شورا، تلاش برای به سازش رساندن طرفین شکایت است.
 
رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران درخصوص آمار شکایات و تخلفات در حوزه فناوری اطلاعات و ارتباطات گفت: بیشترین شکایات و تخلفات صورت گرفته در حوزه ICT به ترتیب درحوزه های نرم افزار، طراحی وب، ارائه خدمات پس از فروش صورت می گیرد. همچنین شکایت درحوزه سخت افزار، کم فروشی اینترنت و عدم وصل به موقع سرویس اینترنت و عدم ارائه موافقتنامه سطح خدمات – SLA – در مراتب بعدی شکایات ارسال شده به شورای انتظامی سازمان نظام صنفی رایانه‌ای قرار دارد.
 
فروزنده با تاکید بر راه های پیشگیری از وقوع شکایات و تخلفات در حوزه فناوری اطلاعات و ارتباطات ادامه داد: درصورتی که اشخاص حقیقی و حقوقی درقراردادهای کاری حوزه ICT، شورای انتظامی سازمان را به عنوان داور و مرجع حل اختلاف لحاظ کنند، این موضوع رسیدگی به شکایات احتمالی طرفین قرارداد را برای شورای انتظامی تسریع و تسهیل می کند.
 
او در این رابطه ادامه داد: لزوم توجه فعالان به مواردی از جمله دقت به شرایط شکلی قراردادهای کاری، جزئیات فرمت این قراردادها، شناخت از سرویس دهنده و پیش بینی نیاز شرکت ها پیش از انعقاد قرارداد، نکات مهمی هستند که اغلب در حوزه قراردادهای فناوری اطلاعات موردتوجه قرار نمی گیرند و منجر به طرح شکایات می شوند.
 
به گفته رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران، اشخاص حقیقی وحقوقی می توانند پیش از توافق و یا انعقاد قراردادهای کاری با شرکت های فناوری اطلاعات، عضویت و وضعیت این شرکت ها را از طریق سازمان نظام صنفی رایانه ای تهران استعلام و مورد بررسی قرار دهند تا با سوابق حرفه ای این شرکت ها آشنا شوند.
 
فروزنده دراین خصوص ادامه داد: شرکت ها (اشخاص حقوقی) و مشاوران( اشخاص حقیقی)  برای عضویت در سازمان، بسیاری از مسائل خود را در فرایند خوداظهاری روشن و شفاف می کنند. بنابراین کد عضویت این اشخاص در سازمان نظام صنفی رایانه ای، می تواند اطلاعات جامعی را برای شناخت سوابق بهتر طرفین قرارداد در اختیار متقاضیان قرار دهد.
 
او همچنین به لزوم ارائه یک درخواست برای پیشنهاد طرح از سوی کارفرمایان به ضمیمه قراردادهای فناوری اطلاعات اشاره کرد و تاکید کرد: بسیار کم پیش می آید که مناقصه گذاران و یا شرکت های کارفرما در حوزه فناوری اطلاعات به همراه قراردادها، درخواست برای پیشنهاد طرح ( RFB ) دقیق برای راهنمایی بیشتر پیمان کاران عرضه کنند؛ ارائه این طرح به همراه قراردادها باعث می شود تا تعهدات سرویس دهندگان برای پیشبرد قرارداد کاملا مشخص باشد.ارائه یک RFB و تعهد طرفین به آن احتمال بروز شکایات و تخلفات را در این حوزه بسیار کاهش می دهد.
 
 او با اشاره به سیر تکاملی شورای انتظامی و آگاهی صنف نسبت به تخلفات و شکایات حوزه فناوری اطلاعات گفت: درابتدای تشکیل شورا، بسیاری از شکایاتIT ، فاقد هر گونه قرارداد و یا سند مکتوب و مستند بود به ویژه اینکه بندهای مربوط به مرجع حل اختلاف و یا فسخ قرارداد معمولا درقراردادها وجود نداشت و این موضوع کار را برای شورای انتظامی بسیار سخت می کرد.
 
فروزنده دراین خصوص ادامه داد: ازآنجایی که رسیدگی شورای انتظامی براساس مستندات شکایات است این فرایند در گذشته برای شورا بسیار سخت  بوده است اما خوشبختانه با اطلاع رسانی های مستمر سازمان و شورای انتظامی، اعضای سازمان و فعالان این حوزه با فرم های قراردادی و نحوه انعقاد آنها به منظور پیشگیری از وقوع شکایات و تخلفات در حوزه ICT آشنا شدند.
 
رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران با اشاره به حوزه رسیدگی این شورا گفت: درحقیقت شورای انتظامی  تنها به پرونده هایی رسیدگی می کند که مشتکی عنه (طرف مورد شکایت)در آن پرونده ها عضو سازمان است یا درحوزه IT فعالیت کند.
 
به گفته فروزنده در هر دستگاه قضایی و یا شبه قضایی، عدالت، اجرای قانون است و شورای انتظامی  به دنبال حل اختلافات است قبل از اینکه به تخلف برسد؛ زمانی که این اختلافات با مصالحه حل شود، تخلفی وجود نخواهد داشت.
 
او درخصوص رسیدگی به شکایات غیر اعضای سازمان نظام صنفی رایانه ای تهران گفت: برای کسانی که عضو سازمان نیستند قبل از اینکه تخلفی را شناسایی کنیم، سازمان زمانی را به طرفین اختلاف مهلت می دهد که عضو سازمان شوند تا ماهیت آنها شناخته شود؛ چراکه عضویت در سازمان نظام صنفی رایانه ای  الزامی است  که قانون گذار پیش بینی کرده است. 
 
لازم به ذکر است  واحد روابط عمومی و شورای انتظامی سازمان نظام صنفی رایانه ای تهران آماده دریافت نظرات و طرح شکایات اعضای محترم صنف درخصوص فعالیت شورای انتظامی است و بنا دارد در یک اطلاع رسانی مستمر، راه های تخصصی و مفید پیشگیری از شکایات و تخلفات حوزه فناوری اطلاعات را از سوی اعضا و خبرگان شورای انتظامی برای عموم منتشر کند.

رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران تشریح کرد: نحوه پیشگیری از شکایات و تخلفات درحوزه فناوری اطلاعات

رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران ضمن اشاره به فعالیت این شورا، راه های کاهش حجم شکایات و تخلفات را در حوزه فناوری اطلاعات معرفی کرد.
 
رئیس شورای انتظامی سازمان نظام صنفی رایانه‌ای استان تهران با اشاره به اینکه شورای انتظامی به عنوان مرجع حل اختلافات صنف، به شکایات و تخلفات درحوزه فناوری اطلاعات و ارتباطات رسیدگی می‌کند، گفت: براساس ماده 46 آئین‌نامه اجرایی ماده 17قانون حمایت ازحقوق پدید آورندگان نرم افزارهای رایانه‌ای، شورای انتظامی هر نظام استانی سازمان نظام صنفی رایانه ای، مسئول رسیدگی به شکایات اشخاص حقیقی و حقوقی درخصوص تخلفات حرفه‌ای، انضباطی و انتظامی درحوزه فاوا است.
 
فروزنده دراین رابطه ادامه داد: شورای انتظامی نه به عنوان یک دادگاه، بلکه به عنوان شورای حل اختلاف صنفی فناوری اطلاعات، تمرکز خود را روی تخلفات صنفی قرار داده است. اغلب جلسات این شورا، تلاش برای به سازش رساندن طرفین شکایت است.
 
رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران درخصوص آمار شکایات و تخلفات در حوزه فناوری اطلاعات و ارتباطات گفت: بیشترین شکایات و تخلفات صورت گرفته در حوزه ICT به ترتیب درحوزه های نرم افزار، طراحی وب، ارائه خدمات پس از فروش صورت می گیرد. همچنین شکایت درحوزه سخت افزار، کم فروشی اینترنت و عدم وصل به موقع سرویس اینترنت و عدم ارائه موافقتنامه سطح خدمات – SLA – در مراتب بعدی شکایات ارسال شده به شورای انتظامی سازمان نظام صنفی رایانه‌ای قرار دارد.
 
فروزنده با تاکید بر راه های پیشگیری از وقوع شکایات و تخلفات در حوزه فناوری اطلاعات و ارتباطات ادامه داد: درصورتی که اشخاص حقیقی و حقوقی درقراردادهای کاری حوزه ICT، شورای انتظامی سازمان را به عنوان داور و مرجع حل اختلاف لحاظ کنند، این موضوع رسیدگی به شکایات احتمالی طرفین قرارداد را برای شورای انتظامی تسریع و تسهیل می کند.
 
او در این رابطه ادامه داد: لزوم توجه فعالان به مواردی از جمله دقت به شرایط شکلی قراردادهای کاری، جزئیات فرمت این قراردادها، شناخت از سرویس دهنده و پیش بینی نیاز شرکت ها پیش از انعقاد قرارداد، نکات مهمی هستند که اغلب در حوزه قراردادهای فناوری اطلاعات موردتوجه قرار نمی گیرند و منجر به طرح شکایات می شوند.
 
به گفته رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران، اشخاص حقیقی وحقوقی می توانند پیش از توافق و یا انعقاد قراردادهای کاری با شرکت های فناوری اطلاعات، عضویت و وضعیت این شرکت ها را از طریق سازمان نظام صنفی رایانه ای تهران استعلام و مورد بررسی قرار دهند تا با سوابق حرفه ای این شرکت ها آشنا شوند.
 
فروزنده دراین خصوص ادامه داد: شرکت ها (اشخاص حقوقی) و مشاوران( اشخاص حقیقی)  برای عضویت در سازمان، بسیاری از مسائل خود را در فرایند خوداظهاری روشن و شفاف می کنند. بنابراین کد عضویت این اشخاص در سازمان نظام صنفی رایانه ای، می تواند اطلاعات جامعی را برای شناخت سوابق بهتر طرفین قرارداد در اختیار متقاضیان قرار دهد.
 
او همچنین به لزوم ارائه یک درخواست برای پیشنهاد طرح از سوی کارفرمایان به ضمیمه قراردادهای فناوری اطلاعات اشاره کرد و تاکید کرد: بسیار کم پیش می آید که مناقصه گذاران و یا شرکت های کارفرما در حوزه فناوری اطلاعات به همراه قراردادها، درخواست برای پیشنهاد طرح ( RFB ) دقیق برای راهنمایی بیشتر پیمان کاران عرضه کنند؛ ارائه این طرح به همراه قراردادها باعث می شود تا تعهدات سرویس دهندگان برای پیشبرد قرارداد کاملا مشخص باشد.ارائه یک RFB و تعهد طرفین به آن احتمال بروز شکایات و تخلفات را در این حوزه بسیار کاهش می دهد.
 
 او با اشاره به سیر تکاملی شورای انتظامی و آگاهی صنف نسبت به تخلفات و شکایات حوزه فناوری اطلاعات گفت: درابتدای تشکیل شورا، بسیاری از شکایاتIT ، فاقد هر گونه قرارداد و یا سند مکتوب و مستند بود به ویژه اینکه بندهای مربوط به مرجع حل اختلاف و یا فسخ قرارداد معمولا درقراردادها وجود نداشت و این موضوع کار را برای شورای انتظامی بسیار سخت می کرد.
 
فروزنده دراین خصوص ادامه داد: ازآنجایی که رسیدگی شورای انتظامی براساس مستندات شکایات است این فرایند در گذشته برای شورا بسیار سخت  بوده است اما خوشبختانه با اطلاع رسانی های مستمر سازمان و شورای انتظامی، اعضای سازمان و فعالان این حوزه با فرم های قراردادی و نحوه انعقاد آنها به منظور پیشگیری از وقوع شکایات و تخلفات در حوزه ICT آشنا شدند.
 
رئیس شورای انتظامی سازمان نظام صنفی رایانه ای تهران با اشاره به حوزه رسیدگی این شورا گفت: درحقیقت شورای انتظامی  تنها به پرونده هایی رسیدگی می کند که مشتکی عنه (طرف مورد شکایت)در آن پرونده ها عضو سازمان است یا درحوزه IT فعالیت کند.
 
به گفته فروزنده در هر دستگاه قضایی و یا شبه قضایی، عدالت، اجرای قانون است و شورای انتظامی  به دنبال حل اختلافات است قبل از اینکه به تخلف برسد؛ زمانی که این اختلافات با مصالحه حل شود، تخلفی وجود نخواهد داشت.
 
او درخصوص رسیدگی به شکایات غیر اعضای سازمان نظام صنفی رایانه ای تهران گفت: برای کسانی که عضو سازمان نیستند قبل از اینکه تخلفی را شناسایی کنیم، سازمان زمانی را به طرفین اختلاف مهلت می دهد که عضو سازمان شوند تا ماهیت آنها شناخته شود؛ چراکه عضویت در سازمان نظام صنفی رایانه ای  الزامی است  که قانون گذار پیش بینی کرده است. 
 
لازم به ذکر است  واحد روابط عمومی و شورای انتظامی سازمان نظام صنفی رایانه ای تهران آماده دریافت نظرات و طرح شکایات اعضای محترم صنف درخصوص فعالیت شورای انتظامی است و بنا دارد در یک اطلاع رسانی مستمر، راه های تخصصی و مفید پیشگیری از شکایات و تخلفات حوزه فناوری اطلاعات را از سوی اعضا و خبرگان شورای انتظامی برای عموم منتشر کند.