پلتفرم‌ها و اپ‌ها باید به آزمایشگاه بروند

آی‌تی‌من- در ابلاغیه شورای عالی فضای مجازی با اشاره به وظیفه وزارت ارتباطات ومرکز افتا برای اعتبار سنجی تجهیزات و خدمات شبکه ملی اطلاعات، آمده است: یکی از ابعاد مهم اعتبارسنجی به حوزه امنیت تجهیزات، سامانه‌ها و سکوهای ارائه دهنده خدمات شبکه ملی اطلاعات مرتبط است که سند حاضر این بعد را پوشش می‌دهد و از آنجایی که اجرای وظایف محول شده به دستگاه‌های مختلف نیازمند انتظام بخشی و هماهنگی ملی برای همکاری همه بخش‌ها و ذی ربطان است، مرکز ملی فضای مجازی سند حاضر را تدوین و پس از تصویب کلیات آن در جلسه شماره ۹۰ کمیسیون عالی تنظیم مقررات برای اجرا ابلاغ می‌کند.

بر اساس این مصوبه، نظام اعتبار سنجی امنیتی تجهیزات، سامانه‌ها و سکوهای ارائه کننده خدمات شبکه ملی اطلاعات، نظامی ‌است که با تعریف و استقرار فرایندها و ساز و کارهای ارزیابی و اعتبارسنجی امنیتی در چرخه حیات انواع تجهیزات، سکوها، نرم افزار‌ها، سخت افزار نرم افزارهای برنامک‌ها در همه انواع و کاربردها، صدور گواهی عرضه و بکارگیری آنها را از منظر الزامات شبکه ملی اطلاعات و اهداف عملیاتی طرح کلان و معماری شبکه ملی اطلاعات مدیریت و راهبری می‌کند. 

حصول اطمینان از تطابق تجهیزات، سامانه‌ها و سکوهای فضای مجازی با الزامات امنیتی شبکه ملی اطلاعات،  ایجاد رویه‌ها و فرایندهای شفاف اعطی گواهی امنیتی به تجهیزات، سامانه‌ها و سکوهای حوزه فضای مجازی و  ایجاد آزمایشگاه‌های تخصصی مطابق با نیاز کشور در زمینه ماموریت نظام با شکل گیری نظام نظارت مستمر بر وضعیت امنیت تجهیزات، سامانه‌ها و سکوهای فضای مجازی کشور اهداف مصوبه مرکز ملی فضای مجازی عنوان شده است.

در قالب این مصوبه، 4 فعالیت اصلی در این نظام به این شرح تعریف شده است:

1) اعتبار سنجی آزمایشگاه‌ها و اعطا ، لغو یا تمدید گواهی‌های مرتبط با فعالیت در زمینه آزمون‌های امنیتی
 2) اعتبارسنجی امنیتی تجهیزات، سامانه‌ها و سکوهای فضای مجازی کشور و اعطا، لغو یا تمدید گواهی مرتبط مطابق با الزامات این نظام
3) نظارت بر صحت اجرای فرآیندها و کیفیت گواهی‌های صادره
4) تدوین و ابلاغ دستورالعمل‌های فنی مورد نیاز این نظام 
در قالب این مضوبه، 6  رکن و نقش اصلی تعریف شده که شامل ممیز معتمد، متقاضی مجوز،  آزمایشگاه، سامانه نظام اعتبار سنجی امنیتی، کار گروه راهبری نظام اعتبار سنجی و دبیرخانه کمیته نظام اعتبار سنجی است.

بر این اساس، ممیز معتمد شخصی حقوقی از بخش خصوصی است که توانایی تهیه و تدوین مشخصات امنیتی مورد نیاز، توانایی تهیه و تدوین مشخصات انواع آزمایشگاه‌ها برای ایجاد و اخذ گواهی فعالیت تعریف شده در این نظام و  توانای تعیین و ارزیابی انواع گواهی‌های مورد نیاز اعطایی از سوی آزمایشگاه‌ها و صحت سنجی عملکرد آنها را دارد.

آزمایشگاه نیز شخص حقوقی تعریف شده که توسط ممیزان معتبر ارزشیابی می‌شود و  پس از بررسی در کمیته راهبری مورد تائید آن کمیته قرار گرفته و نام آن در فهرست آزمایشگاه‌های سامانه به عنوان آزمایشگاه ثبت خواهد شد. 

بر اساس این گزارش، آزمایشگاه‌ها به دو دسته تقسیم می‌شوند که نوع اول، آزمایشگاه‌هایی هستند که آزمون‌های پر اهمیت از جمله تجهیزات، سامانه‌ها و سکوهای مورد استفاده در سازمان‌ها، متصل و متعامل با سامانه‌ها و پایگاه‌های داده دولتی و زیرساختی کشور با سکوهای ارائه کننده خدمات در مقیاس بزرگ و مورد نیاز کشور را انجام می‌دهند و نوع دوم، آزمایشگاه‌های محیطی کم هزینه و ساده برای آزمون فراهم می‌کنند.

محصولات نرم افزاری که توسط اشخاص حقیقی، توسعه دهندگان فردی با شرکت‌های خصوصی ارایه می‌شوند و در دسته بندی اعلامی ‌آزمایشگاه نوع اول قرار نمی‌گیرند، در آزمایشگاه‌های نوع دوم مورد ارزیابی قرار می‌گیرند .

این مصوبه پیش‌بینی کرده است که منظور اجرای فرآیندهای این نظام، کارگروهی با حضور نمایندگان وزارت ارتباطات، سازمان استاندارد، مرکز افتا، پلیس فتا، سازمان پدافند غیرعامل و نظام صنفی رایانه‌ای کشور شکل خواهد گرفت.

دبیرخانه این نظام نیز در محل مرکز مدیریت راهبردی افتای ریاست جمهوری ایجاد می‌شود. 

بر اساس مصوبه مذکور، سکوهای توزیع محصولات نرم افزاری داخلی در صورتی که مدعی انجام فعالیت‌های ارزیابی و اعتبار سنجی در آزمایشگاه‌های اختصاصی خود هستند، لازم است گواهی مرتبط را از کار گروه اخذ کنند و نام آن در فهرست سکوهای توزیع مجاز سامانه قرار گرفته باشد و علاوه بر آن گواهی خود را در معرض دید عموم قرار دهند.

این سکوها، برای گواهی امنیتی خدمات و محصولات پیکر، كل سكو، باید به آزمایشگاه نوع اول مراجعه کنند. این سکوها، فقط مجاز به توزیع محصولاتی هستند که گواهی آزمایشگاه نوع اول یا دوم را دارا باشند. همچنین سکوهای توزیع محصولات فضای مجازی و سایر پایگاه‌هایی که محصولات فضای مجازی را برای فروش عرضه و منتشر می‌کنند، موظف به انتشار گواهی مربوط به محصول در دید عموم هستند.