آیین صدور گواهی مشترک در حوزه ارزیابی امنیتی – پدافندی محصولات فتا دیروز (یکشنبه 18 خرداد 99) در سازمان فناوری طلاعات ایران برگزار شد و 8 شرکت خصوصی برای محصولات خود این گواهی را دریافت کردند.
آیتیمن- سه سازمان پدافند غیرعامل، سازمان فناوری اطلاعات و مرکز مدیریت راهبردی افتای ریاست جمهوری با یکپارچه کردن گواهیهای خود، ضمن معرفی یک گواهی مشترک برای ارزیابی امنیتی- پدافندی محصولات فناوری اطلاعات، زمینه کاهش هزینه و زمان دریافت گواهی و موازی کاری در این زمینه را فراهم کردند که این گواهی مشترک دیروز رونمایی و با حضور رضا جواهری، رییس مرکز مدیریت راهبردی افتای ریاست جمهوری،
امیر ناظمی، رییس سازمان فناوری اطلاعات و سردار حسین باقری، دستیار ویژه امور سایبری رئیس سازمان پدافند غیرعامل کشور و معاون ارتباطات، الکترونیک و فناوری اطلاعات سازمان پدافند غیرعامل، به 8 شرکت اعطا شد.
بخش خصوصی به رشد فرهنگ فناوری در حاکمیت کمک کند
رضا جواهری، رییس مرکز مدیریت راهبردی افتای ریاست جمهوری در این مراسم، با بیان اینکه فضای مجازی در زندگی امروز ما تنیده شده و در زمینه رفع دغدغهها میتواند کمک حال حاکمیت باشد، گفت: حاکمیت و دستگاههای اجرایی بدون کمک بخش خصوصی نمیتوانند ماموریت خود را انجام بدهند؛ اما این به معنی بی نظمی نیست. به همین دلیل هم موضوع ساماندهی و اعتبارسنجی بخش خصوصی مطرح شده تا حاکمیت بتواند با اعتماد، بخش خصوصی را در امور مشارکت بدهد.
وی با بیان اینکه سند راهبردی افتا نخستین بار در سال 84 ابلاغ شد، افزود: یکی از مباحث آن سند، ساماندهی و اعتبار بخشی به بخش خصوصی بود که در آن، تمهیداتی برای ارایه امتیازات بیشتر به دارندگان مجوز لحاظ شده بود. از سوی دیگر، این مجوزها یک ساله بود که زمان مناسب را برای بازاریابی و توسعه کسب و کار به شرکتها نمیداد که به پیشنهاد بخش خصوصی، این مجوزها دوساله شد.
به گفته وی، بهینه سازی و مکانیزه کردن فرایند ثبت نام و اعطای مجوز نیز اقدام دیگری بود که با تلاش سازمان فناوری اطلاعات به نتیجه رسید.
اما به گفته جواهری، با وجود دو سازمان افتا و پدافند غیرعامل، شرکتها مجبور بودند که همزمان دو مجوز دریافت کنند که با توجه به نامگذاری امسال به نام جهش تولید، طی جلساتی تصمیم بر این شد که این دو مجوز یکی بشود که از لحاظ هزینه و زمان به سود شرکتهاست.
وی همچنین به عنوان نماینده حاکمیت از شرکتهای بخش خصوصی خواست که منافع ملی را بر منافع بخشی و صنفی اولویت بدهند و در تحقق الزامات حاکمیتی، با مجموعه حاکمیت همکاری کنند.
درخواست دیگر او از بخش خصوصی، کمک به افزایش تخصص در دستگاههای دولتی بود. وی توضیح داد: جذب نخبگان در بدنه دولت و دستگاههای اجرایی کار دشواری است و بدون این نخبگان، فهم مساله و اجرای پیشنهادهای بخش خصوصی در بدنه دولت به درستی انجام نمیشود. بنابراین از بخش خصوصی میخواهیم که همزمان با اجرای پروژهها، ارتقای دانش و فرهنگ فاوا را نیز در سازمانها مدنظر قرار دهند.
5 استراتژی در خصوص گواهینامههای امنیتی
امیر ناظمی، رییس سازمان فناوری اطلاعات نیز در ادامه این مراسم به 5 استراتژی مدنظر این سازمان در زمینه ارایه گواهینامههای امنیتی اشاره کرد.
وی گفت: مجوزهای حوزه امنیت یکی از زمینههایی است که مداخله دولت را میطلبد؛ زیرا عدم مداخله میتواند موجب نقض
حریم خصوصی مردم شود و هر چه فاوا بیشتر رشد بکند، این مخاطرات نیز افزایش مییابد.
اما به گفته ناظمی، سازمان فناوری اطلاعات برای اینکه این مداخله کمترین آسیب را بزند و در عین حال تسهیل کننده باشد، 5 راهبرد را در نظر گرفته است.
به گفته وی، راهبرد اول، «راهبرد سطح صفر» نام دارد که بر اساس آن، شروع فعالیت نیازمند کسب مجوز نیست. اما با افزایش فعالیت، رشد تعداد رکوردهای اطلاعاتی جمعآوری شده و میزان اهمیت رکوردها، اخذ گواهینامهها در سطوح دشواری مختلف الزامی خواهد بود.
راهبرد دیگر سازمان فناوری اطلاعات که ناظمی به آن اشاره کرد، «استقلال حداکثری از دولت» بود. به گفته وی، در اعطای گواهینامه مشترک ارزیابی امنیتی و پدافندی نیز با توجه به این راهبرد، میزان مداخله دولت به حداقل رسیده و 6 آزمایشگاه مستقل و خارج از دولت، ارزیابیها را انجام میدهند و گزارشها را برای تصمیمگیری و ارایه گواهینامه ارایه میکنند. به این ترتیب با مداخله حداقلی دولت، زمینه فساد نیز بسیار کاهش مییابد.
استراتژی سوم «یکپارچگی و هماهنگی نهادی است. ناظمی گفت: در نظام حکمرانی، آنچه اهمیت دارد، تقسیم کار به نوعی است که کمترین میزان مداخله و آسیب و بیشترین هماهنگی در آن دیده شود.
وی افزود: زمانی که ما به عنوان سه نهاد مستقل، مجوز میدادیم، هم مانعی برای
کسب و کار ایجاد میشود و هم امکان ناهماهنگی و رقابت بین خود دستگاههای حاکمیتی افزایش مییافت. اما در این گواهینامه، سه نهاد مستقل با توافق هم، فرایند مشخصی را مشخص کردهاند و هولوگرام هر سه نهاد نیز پای گواهینامهها درج میشود.
وی گفت: ما در زمینه امنیت مشکلاتی جدی داریم که آسیبشناسیها نشان میدهد که نبود یکپارچگی یکی از مهمترین دلایل این مشکلات است.
رییس سازمان فناوری اطلاعات، «تنوع در گواهی نامهها برحسب نیازها» را استراتژی چهارم سازمان متبوع خود اعلام کرد و توضیح داد: لازم نیست که همه شرکتها و محصولات را با یک معیار سنجش کنیم. بنابراین سعی میکنیم به مرور زمان و برحسب کاربردها، کارکردها و نیازمندیها، در گواهینامههای صادره نیز تنوع را لحاظ کنیم.
وی با بیان اینکه برای
کسبوکارها، هم هزینههای مالی مهم است و هم هزینههای زمانی، گفت: وقتی یک کسبوکار باید 6 ماه وقت صرف اخذ گواهی از یک سازمان و 6 ماه دیگر نیز صرفت گرفتن گواهینامه از نهاد دیگری بکند، علاوه بر بار مالی، زمانی که صرف میشود، زمان رسیدن به بازارش را افزایش میدهد که این به معنای کاهش چابکی و افت رقابتپذیری خواهد بود. با همین نگاه، استراتژی پنجم سازمان فناوری اطلاعات، «کاهش هزینه» در نظر گرفته شده است.
وی افزود: در همین راستا با هماهنگی
صندوق نوآوری و شکوفایی، بستههای تشویقی برای
شرکتهای دانش بنیان در نظر گرفته شده و این صندوق هزینه دریافت گواهینامههای امنیتی این شرکتها را تقبل کرده است.
مجازات درز اطلاعات در شرکتها و سازمانها
ناظمی در بخش دیگری از این مراسم، در پاسخ به سوالی درباره عواقب نشت اطلاعات که این روزها موارد متعددی از آن به گوش میرسد، گفت: ما هم اکنون براساس قوانین فعلی، آیین نامهای ده بندی برای تعیین مجازات درز اطلاعات داریم؛ اما از آنجا که موضوع وقوع جرم است، نهادهای قضایی باید در این زمینه تصمیم گیری بکنند. به همین دلیل هم در برخی از اتفاقات به وجود آمده، به دادستان اعلام شکایت کردهایم.
معاون وزیر ارتباطات افزود: علاوه بر این، در پروانههای تخصصی اعطا شده نیز بندهایی در این زمینه وجود دارد. برای مثال در پروانه
رایتل بندی درباره درز اطلاعات هست که موضوع از طریق
سازمان تنظیم مقررات در حال پیگیری است.
وی همچنین با اشاره به لایحه صیانت از دادهها که کارکردی مشابه GDPR دارد، گفت: از آنجا که در این لایحه موضوعات قضایی و جرمانگاری مطرح است، فرایند بررسی و تایید آن طولانی است. این لایحه نیز پس از طی مراحل مختلف، هم اکنون منتظر ورود به هیات وزیران است که پس از تصویب برای مجلس ارسال خواهد شد.
وی درباره بررسی امنیتی محصولات خارجی نیز گفت: نمیشود فقط محصولات ایرانی را بررسی کرد و محصولات خارجی را به حال خود گذاشت. زیرا به این ترتیب، سازمانها را به استفاده از راهکارهای خارجی سوق خواهیم داد. به همین دلیل، در مورد محصولات خارجی آییننامهای تدوین و برای سازمان تنظیم مقررات ارسال شده است.
ناظمی درمورد فرایند بررسی محصولات در آزمایشگاههای مستقل نیز با بیان اینکه آزمایشگاه فقط گزارش بررسی را ارایه میکند و نهادهای حاکمیتی در این باره تصمیم گیری میکنند، افزود: در این زمینه فرایندی تدوین شده که بر اساس آن، گاه تا 7 مرحله آزمایش روی محصولات صورت میگیرد و در برخی موارد نیز، برای اطمینان از صحت عملکرد آزمایشگاهها، محصولات را برای آزمایشگاه دوم نیز ارسال میکنیم.
جواهری نیز در این زمینه گفت: نظام مقابله با حوادث فضای مجازی به رویدادهای مرتبط با حوادث این حوزه میپردازد و برای جرم انگاری در این بخش،
مرکز ملی فضای مجازی در حال تدوین نظام مقابله با جرم در فضای مجازی است.
وی با بیان اینکه مسوولیت افشای اطلاعات و حوادث مرتبط با امنیت فضای مجازی به عهده بالاترین مقام سازمانی قرار دارد که افشای اطلاعات در مورد آن رخ داده است، افزود: آن سازمان باید پاسخگوی حوادث رخ داده باشد و در خصوص مقابله با جرم نیز در صورتی که این نظام تدوین شود میتوان از آن برای بررسی موارد مربوط به جرم انگاری استفاده کرد.
رئیس مرکز افتای ریاست جمهوری گفت: در خصوص نشت اطلاعات از پایگاه داده اپراتور رایتل با توجه به تقسیم کار صورت گرفته در نظام مقابله با حوادث فضای مجازی یک تیم مشترک در حال بررسی جوانب موضوع است تا مشخص شود در این مورد جرم اتفاق افتاده است یا نه.
جواهری با انتقاد از عملکرد بخش خصوصی در مشارکت ارزیابی محصولات بومی گفت: طی فراخوانی که از سوی مرکز افتای ریاست جمهوری اعلام شد از بخش خصوصی خواستیم چنانچه محصولات بومی در حوزه امنیت دارند که معادل محصولات خارجی در این بخش است به ما اعلام کند. در این زمینه همکاری خوبی صورت نگرفت و تنها ۳۰ محصول در این فراخوان شرکت کردند.
وی ادامه داد: خوشبختانه مطابق با ابلاغ سازمان برنامه و بودجه قسمتی از بودجه سازمانها به موضوع امنیت اختصاص یافته و در سال ۹۹ بودجه هر دستگاهی مطابق با نیاز امنیتی آن دستگاه تخصیص مییابد و چنانچه برنامه امنیتی آن دستگاه تدوین نشود بودجهای به آن تخصیص نخواهد یافت.
«گوهر»ها فعال شوند
سردار حسین باقری، معاون سازمان پدافند غیرعامل نیز در این مراسم، با بیان اینکه مسوولیت امنسازی با خود دستگاههاست، گفت: بر اساس مصوبات دهه گذشته، علاوه بر مرکز ماهر در ذیل سازمان فناوری اطلاعات، دستگاهها نیز موظف به راهاندازی مراکز «گوهر» (گروه واکنش هماهنگ به رخدادهای رایانهای) بودند که متاسفانه این گروهها در بسیاری از سازمانها راهاندازی نشده است.
در پایان این مراسم نیز گواهینامههای مشترک ارزیابی امنیتی-پدافندی به 8 شرکت بخش خصوصی اعطا شد.
بر اساس این گزارش، شرکت امن افزار گستر شریف برای 8 محصول، شرکت امن پردازان کویر برای 6 محصول و شرکتهای مدیریت رایانش ابری آوید، سیماوا، صباانرژی آفرین، کوشک ایمن، برید سامانه و بهین راهکار هر کدام برای یک محصول، این گواهینامه مشترک را دریافت کردند.