رئیس شورای انتظامی تجدیدنظر نصر تهران:
احراز اصالت نرمافزار در کشور تسهیل میشود
تاریخ انتشار
سه شنبه ۲۴ مهر ۱۴۰۳ ساعت ۰۹:۵۰
آیتیمن- علی آذرکار، رئیس شورای انتظامی تجدیدنظر و دبیر سابق سازمان نصر استان تهران داشتیم درباره سابقه موضوعات مربوط به تأیید فنی و احراز اصالت نرمافزارها گفت: در سالهای قبل شورای عالی انفورماتیک فرآیندی را برای ثبت و تأیید فنی نرمافزارها تدوین و اجرا کرده بود. هدف اصلی این فرآیند، ساماندهی به ثبت حقوق نرمافزارها بود، بهطوری که پدیدآورندگان با ارائه اسناد و متن برنامه میتوانستند محصول خود را ثبت کنند. این اقدام بیشتر برای حل دعاوی حقوقی احتمالی در آینده طراحی شده بود. با این حال، تجربه نشان داد که این هدف به طور کامل محقق نشد و تعداد دعاوی مطرحشده کم بود. حتی در برخی موارد متن برنامه نیز ارائه نمیشد و با توجه به تغییرات مداوم نرمافزارها، این روش کفایت نمیکرد.
او در پاسخ به این سوال که قانون ارتقای سلامت نظام اداری و مقابله با فساد، چگونه به احراز اصالت نرمافزار پرداخته است، توضیح داد: با تصویب این قانون در سال ۱۳۹۰، نرمافزارها باید الزامات اجرای قانون را در هنگام طراحی رعایت کنند. در ابتدا تصور میشد که این قانون تنها برای نرمافزارهای مالی و اداری باشد، اما نامهای از سوی سازمان فناوری اطلاعات دامنه این الزام را به تمامی نرمافزارها گسترش داد. نتیجه این شد که پرداختهای دولتی به شرکتهای نرمافزاری مشروط به تأیید احراز اصالت نرمافزار شد که مشکلاتی برای شرکتها ایجاد کرد.
آذرکار در مورد پروژه «ارتقای نظام رتبهبندی و صدور گواهینامههای فنی و اصالت نرمافزار» نیز گفت: سازمان نظام صنفی رایانهای در سال ۱۴۰۲ با توجه به مشکلات شرکتهای نرمافزاری در فرآیند ثبت و تأیید فنی و احراز اصالت، پیشنهادی به سازمان فناوری اطلاعات ارائه داد. این پیشنهاد در الکامپ ۱۴۰۲ به قرارداد تبدیل شد و از شهریور ۱۴۰۲ کار اجرایی آن شروع شد. هدف این پروژه، بازنگری و بهروزرسانی فرآیندهای تأیید و احراز اصالت نرمافزارها بر اساس شرایط اجرایی جدید کشور است.
آذرکار در مورد دلایل نیاز به بازنگری دستورالعمل نظام فنی-اجرایی که توسط شورای عالی انفورماتیک تدوین شده بود نیز گفت: این دستورالعمل بیش از ۲۰۰ صفحه بود و شامل طبقهبندی نرمافزارها و معیارهای فنی میشود. معیارهای غیرکارکردی که در آن توضیح داده شدهاند، ارتباط مستقیمی با احراز اصالت ندارند و قابل راستیآزمایی هم نیستند. با توجه به الزام دستگاههای دولتی برای اخذ گواهینامه اصالت نرمافزار و نیاز شرکتها به تسریع در این کار، سازمان نظام صنفی رایانهای با نگرش بازنگری آییننامهها و دستورالعملهای موجود در قالب قوانین بالادستی، تلاش کرد تا ضمن تسهیل در این فرایند، برخی از مشکلات اعضای صنف را بر طرف کند.
وی درباره تفاوت بین ویژگیهای کارکردی و غیرکارکردی نرمافزارها نیز گفت: ویژگیهای کارکردی به حوزه کسبوکار نرمافزار مربوط میشود، مثلاً صدور سند در نرمافزار حسابداری، این ویژگیها معمولاً توسط شرکتهای تخصصی هر حوزه تعیین میشوند. اما ویژگیهای غیرکارکردی جنبه عمومیتری دارند و مربوط به مسائلی مانند قابلیت اطمینان، امنیت و نگهداری هستند. این استانداردها معمولاً توسط نهادهایی مانند ISO تدوین میشوند.
آذرکار درباره اینکه این ویژگیها توسط چه مرجع یا مراجعی تدوین میشود، افزود: موضوعات غیرکارکردی توسط نهادهای استانداردگذار مانند ISO تدوین میشوند. استانداردهای ISO/IEC 25000 به نیازمندیهای کیفی محصولات و سامانههای نرمافزاری اختصاص دارند. این استانداردها در ۶ محور اصلی شامل مدیریت کیفیت، مدل کیفیت، سنجههای کیفیت، نیازمندیهای کیفی، ارزشیابی کیفیت و بخشهای توسعهای طبقهبندی شدهاند.
وی ادامه داد: استاندارد ISO/IEC 25010 ویژگیهای کیفی محصول را به ۸ ویژگی اصلی تقسیم میکند که شامل تناسب کارکردی، امنیت، قابلیت نگهداری و غیره میشود. با این حال، ارزیابی کیفی نرمافزار به منابع و تجهیزات خاص نیاز دارد که امیدواریم در آینده سازمان فناوری اطلاعات بتواند آزمایشگاههایی برای این کار ایجاد کند.
وی در پاسخ به این سوال که دستورالعمل پیشنهادی برای ارزیابی اصالت نرمافزار در این پروژه چیست، گفت: در این پروژه معیارهایی برای احراز اصالت نرمافزار مشخص شده است. دستورالعمل جدید سادهتر و شفافتر است و ارزیابی توسط ارزیابان تاییدشده انجام خواهد شد که سازمان فناوری اطلاعات فضای لازم برای این ارزیابی را فراهم خواهد کرد.
او در پاسخ به این سوال که قانون ارتقای سلامت نظام اداری و مقابله با فساد، چگونه به احراز اصالت نرمافزار پرداخته است، توضیح داد: با تصویب این قانون در سال ۱۳۹۰، نرمافزارها باید الزامات اجرای قانون را در هنگام طراحی رعایت کنند. در ابتدا تصور میشد که این قانون تنها برای نرمافزارهای مالی و اداری باشد، اما نامهای از سوی سازمان فناوری اطلاعات دامنه این الزام را به تمامی نرمافزارها گسترش داد. نتیجه این شد که پرداختهای دولتی به شرکتهای نرمافزاری مشروط به تأیید احراز اصالت نرمافزار شد که مشکلاتی برای شرکتها ایجاد کرد.
آذرکار در مورد پروژه «ارتقای نظام رتبهبندی و صدور گواهینامههای فنی و اصالت نرمافزار» نیز گفت: سازمان نظام صنفی رایانهای در سال ۱۴۰۲ با توجه به مشکلات شرکتهای نرمافزاری در فرآیند ثبت و تأیید فنی و احراز اصالت، پیشنهادی به سازمان فناوری اطلاعات ارائه داد. این پیشنهاد در الکامپ ۱۴۰۲ به قرارداد تبدیل شد و از شهریور ۱۴۰۲ کار اجرایی آن شروع شد. هدف این پروژه، بازنگری و بهروزرسانی فرآیندهای تأیید و احراز اصالت نرمافزارها بر اساس شرایط اجرایی جدید کشور است.
آذرکار در مورد دلایل نیاز به بازنگری دستورالعمل نظام فنی-اجرایی که توسط شورای عالی انفورماتیک تدوین شده بود نیز گفت: این دستورالعمل بیش از ۲۰۰ صفحه بود و شامل طبقهبندی نرمافزارها و معیارهای فنی میشود. معیارهای غیرکارکردی که در آن توضیح داده شدهاند، ارتباط مستقیمی با احراز اصالت ندارند و قابل راستیآزمایی هم نیستند. با توجه به الزام دستگاههای دولتی برای اخذ گواهینامه اصالت نرمافزار و نیاز شرکتها به تسریع در این کار، سازمان نظام صنفی رایانهای با نگرش بازنگری آییننامهها و دستورالعملهای موجود در قالب قوانین بالادستی، تلاش کرد تا ضمن تسهیل در این فرایند، برخی از مشکلات اعضای صنف را بر طرف کند.
وی درباره تفاوت بین ویژگیهای کارکردی و غیرکارکردی نرمافزارها نیز گفت: ویژگیهای کارکردی به حوزه کسبوکار نرمافزار مربوط میشود، مثلاً صدور سند در نرمافزار حسابداری، این ویژگیها معمولاً توسط شرکتهای تخصصی هر حوزه تعیین میشوند. اما ویژگیهای غیرکارکردی جنبه عمومیتری دارند و مربوط به مسائلی مانند قابلیت اطمینان، امنیت و نگهداری هستند. این استانداردها معمولاً توسط نهادهایی مانند ISO تدوین میشوند.
آذرکار درباره اینکه این ویژگیها توسط چه مرجع یا مراجعی تدوین میشود، افزود: موضوعات غیرکارکردی توسط نهادهای استانداردگذار مانند ISO تدوین میشوند. استانداردهای ISO/IEC 25000 به نیازمندیهای کیفی محصولات و سامانههای نرمافزاری اختصاص دارند. این استانداردها در ۶ محور اصلی شامل مدیریت کیفیت، مدل کیفیت، سنجههای کیفیت، نیازمندیهای کیفی، ارزشیابی کیفیت و بخشهای توسعهای طبقهبندی شدهاند.
وی ادامه داد: استاندارد ISO/IEC 25010 ویژگیهای کیفی محصول را به ۸ ویژگی اصلی تقسیم میکند که شامل تناسب کارکردی، امنیت، قابلیت نگهداری و غیره میشود. با این حال، ارزیابی کیفی نرمافزار به منابع و تجهیزات خاص نیاز دارد که امیدواریم در آینده سازمان فناوری اطلاعات بتواند آزمایشگاههایی برای این کار ایجاد کند.
وی در پاسخ به این سوال که دستورالعمل پیشنهادی برای ارزیابی اصالت نرمافزار در این پروژه چیست، گفت: در این پروژه معیارهایی برای احراز اصالت نرمافزار مشخص شده است. دستورالعمل جدید سادهتر و شفافتر است و ارزیابی توسط ارزیابان تاییدشده انجام خواهد شد که سازمان فناوری اطلاعات فضای لازم برای این ارزیابی را فراهم خواهد کرد.
مرجع : نصر ایران
