راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

اتاق خبر

نشست‌های کارگروه تحول دیجیتال دولت با حضور معاون توسعه و ارزیابی صنعت افتا برگزار شد

فرایند صدور گواهی افتا، مشکلات و پیشنهادهای شرکت‌های متقاضی اخذ این گواهینامه از جمله موارد مطرح شده در این نشست‌ها بودند.

نویسنده: غزل یگانگی 0

نشست‌های کارگروه تحول دیجیتال دولت با حضور مجید عسکرزاده معاون توسعه و ارزیابی صنعت افتا، برگزار شد.

به گزارش روابط‌عمومی سازمان نظام صنفی رایانه‌ای استان تهران، مجید عسکرزاده در توضیح فرایند صدور گواهی افتا گفت:‌ «این گواهی در حوزه نرم‌افزار در دسته محصولات و خدمات صادر می‌شود. حوزه خدمات شامل نصب و پشتیبانی نرم‌افزارهای مبتنی بر محتوا است که تمام نرم‌افزارهای CMS، BI، اتوماسیون، ERP و … را پوشش می‌دهد.»

عسکرزاده با تأکید بر این نکته که در مرکز افتا فقط ارزیابی امنیتی انجام می‌شود، اظهار کرد: «ارزیابی عملکردی نرم‌افزار در سازمان فناوری اطلاعات انجام شده و سپس ارزیابی امنیتی به مرکز افتا ارجاع می‌شود.»

به گفته او مرکز افتای ریاست‌جمهوری یک پروفایل حفاظتی نرم‌افزار را در وب‌سایت خود منتشر کرده است. این پروفایل، فهرست موارد ارزیابی ویژه نرم‌افزارها را شامل می‌شود. همچنین فهرست آزمایشگاه‌های مورد تأیید مرکز افتا بر اساس توانایی فنی ارزیابی، استقلال و بی‌طرفی، در سایت این مرکز در دسترس است.

عسکرزاده اضافه کرد: «بعد از انتخاب آزمایشگاه توسط متقاضی و امضای قرارداد، فرایند ارزیابی امنیتی نرم‌افزار در آزمایشگاه انجام می‌شود. حین این فرایند ممکن است یک یا چند گزارش عدم انطباق میان آزمایشگاه و متقاضی دریافت گواهی رد و بدل شود. در پایان این روند، نتیجه نهایی از آزمایشگاه به مرکز افتا ارسال می‌شود. در مرکز افتا نیز پس از صحت‌سنجی و تأیید نتایج آزمایشگاه، مراحل صدور گواهی انجام می‌شود.»

ارزیابی اعتباری شرکت‌های تولیدکننده

از دیگر موارد مطرح شده در این نشست، زونکن اعتباری یا ارزیابی اعتباری شرکت‌های تولیدکننده بود، که از موارد لازم در اخذ گواهی افتا است. به گفته عسکرزاده، متقاضیان می‌توانند با شروع فرایند آزمایش، به طور هم‌زمان تهیه زونکن اعتباری را شروع کنند. چراکه پس از پایان ارزیابی آزمایشگاه، زونکن اعتباری هم باید به سازمان فناوری اطلاعات ارائه شود تا گواهی افتا صادر شود.

او با اشاره به تفاوت تست نفوذ (OWASP) با گواهی افتا، گفت: «بخش زیادی از این روندها با هم اشتراک دارند؛ ولی لزوماً همه تست‌هایی که هنگام ارزیابی امنیتی گواهی افتا انجام می‌شود، در تست نفوذ انجام نمی‌شوند. در فرایند تست نفوذ معمولاً تست‌ها در حد کاربری با پایین‌ترین سطح دسترسی انجام می‌شود.»

او در ادامه توضیح داد: «در ارزیابی امنیتی محصول، دو رویکرد وجود دارد؛ یکی اینکه آیا محصول کارکردهای امنیتی لازم را دارد؟ آیا محصول دارای آسیب‌پذیری است و کارکردهای امنیتی به‌درستی در محصول پیاده شده‌اند؟ تست نفوذ تنها بخشی از این رویکردها را پوشش می‌دهد و به همین دلیل گواهی‌های تست نفوذ برای افتا قابل‌اتکا و مورد قبول نیست. تست نفوذ یک مرحله از کار است که در حداقل استانداردهای گواهی افتا نمی‌گنجد.»

معاون توسعه و ارزیابی صنعت افتا، در خصوص سخت‌گیری‌های یکسان نرم‌افزار‌ها تصریح کرد: «دسته‌بندی‌هایی در خصوص دستگاه‌‏ها در 15 سال اخیر وارد حوزه ادبیات امنیتی شده‌است. در یک دسته‌‏بندی دستگاه‌ها به سه دسته حیاتی، حساس و مهم تقسیم شده که مورداستفاده سازمان پدافند است. در تقسیم‌بندی دوم، دستگاه‌‏ها به دودسته دستگاه‌های زیرساختی و غیر زیرساختی تفکیک شده که در نظام پیشگیری و مقابله مورداستفاده قرار می‌گیرند. در ارزیابی امنیتی افتا، محصول مستقل از محیط کاربرد و منفک از محیط عملیاتی، ارزیابی می‌شود و این خود دستگاه استفاده‏ کننده است که تصمیم می‌گیرد در کجا گواهی امنیت محصول نیاز است و در کجا نیازی به آن ندارد.»

او افزود: «بعد از انجام تغییرات و ارائه نسخه‌های جدید نرم‌افزار، الزامی برای فرایند ارزیابی مجدد وجود ندارد. در مرکز افتا، یک فرایند تداوم گواهی امنیت نرم‌افزار با عنوان سند تغییرات، پیش‌بینی شده است که مخصوص تغییر نسخ است. این سند هم با همکاری کمیسیون‌های نرم‌افزاری سازمان نظام صنفی رایانه‏ای قابل بازبینی است تا فرایند تمدید گواهی برای کسانی که تغییر نسخه دارند، آسان‌تر شود.»

به گفته او، به دلیل قابل‌فهم‌تر شدن سند و ساده‌تر کردن مستندسازی، در گام اول آن را به چهار سند تبدیل کردیم که همان سند را با ادبیات روان‌تری از شرکت‌ها بخواهیم. دوتا از آن سندها هم تک‌برگ هستند. یکی سند راهنمای محصول و یکی هم سند امنیتی که به چک‌‏لیست تبدیل شده است. گام دوم این ساده‌سازی را هم می‌توانیم با مشارکت سازمان نظام صنفی رایانه‌ای و آزمایشگاه‌ها برداریم. اگر روی چک‌لیست هم ابهاماتی وجود دارد، این آمادگی وجود دارد که ادبیات این سند هم با همکاری آزمایشگاه‌ها و کمیسیون‌های نرم‌افزاری سازمان نظام صنفی رایانه‌ای، روان‌تر و آشناتر شود.

عسکرزاده درباره نیاز شرکت‌ها به آموزش در بخش مستند سازی گفت: «ما در مرکز افتا، استفاده از مشاوره آزمایشگاه را برای تهیه اسناد اصلاً پیشنهاد نمی‌کنیم؛ به‌جای آن توصیه می‌کنیم آزمایشگاه‌ها دوره توسعه امن نرم‌افزار را برگزار کنند. رویکرد درست این است که شرکت‌ها به بلوغ لازم برای تکمیل اسناد برسند.»

او افزود: «آموزش فرایند و شرح کلیات روند ارزیابی، توسط مرکز افتا انجام می‌شود و برای نحوه تکمیل مستندات هم در حال صدور مجوز آموزش برای آزمایشگاه هستیم. در کل هم باید به سمت توسعه امن نرم‌افزار حرکت کنیم و می‌توانیم با کمک معاونت علمی و فناوری ریاست‌جمهوری و سازمان نظام صنفی رایانه‌ای توسعه آموزش و بلوغ شرکت‌ها در حوزه امنیت نرم‌افزار را افزایش دهیم.»

معاون توسعه و ارزیابی صنعت افتا در پاسخ به سوال چرا محصولاتی که درصدی از مسیر ارزیابی امنیتی را با موفقیت طی کرده‌اند، گواهی نسبی دریافت نمی‌کنند؟ گفت: «ارزیابی مرکز افتا، یک ارزیابی امنیتی است. اگر این ارزیابی در مورد کیفیت و کارایی بود امکان سطح‌بندی بیشتری وجود داشت. ولی چون مأموریت افتا ارزیابی امنیتی است، تنها دو نقطه امن و ناامن وجود دارد و میانه این طیف نمی‌توان نقطه‌ای برای امنیت تعریف کرد.»

استقلال صدور گواهی افتا از تمدید اعتبار آزمایشگاه‌ها

موضوع مستقل شدن صدور گواهی افتا از تمدید اعتبار آزمایشگاه‌ها و تسریع فرایند تمدید اعتبار آن‌‏ها، از دیگر موارد مطرح شده از سوی آزمایشگاه‌ها، در این نشست بودند.

به گفته شرکت‌کنندگان در این نشست، گواهی افتا چند ماه بعد از تأیید محصول در آزمایشگاه آماده و صادر می‌شود؛ درخواست تولیدکنندگان نرم‌افزار این است که این گواهی به تاریخ جدید و نه تاریخ تأیید آزمایشگاه، صادر شود.

همچنین عسکرزاده در خصوص هزینه‌های اخذ گواهی افتا، اعلام کرد: «اخذ گواهی افتا برای محصولاتی که به‌صورت منحصربه‌فرد برای دستگاه و یا نهادی طراحی و تولید می‌شوند، منطقاً به عهده همان دستگاه و نهاد استفاده‌کننده است. بخش خصوصی باید در عقد قرارداد به این موضوع دقت کند که مسئولیت اخذ گواهی و هزینه‌های آن برعهده کدام طرف قرارداد است. زیرا در نهایت گواهی به نام دستگاه استفاده‌کننده محصول صادر می‌شود.»

در پایان نشست مقرر شد که کارگروه‌هایی برای به‌روزرسانی و ساده‌سازی ادبیات چک‌لیست الزامات امنیتی، به‌روزرسانی سند تداوم گواهی امنیت، و همچنین کارگروهی برای تدوین پیشنهاد چگونگی سطح‌بندی امنیتی نرم‌افزارها، متشکل از نمایندگان سازمان نظام صنفی رایانه‌ای و مرکز افتای ریاست‌جمهوری و کارگروه دیگری برای توسعه آموزش و ارتقا بلوغ تولیدکنندگان نرم‌افزار در حوزه امنیت، با مشارکت سازمان نظام صنفی رایانه‌ای، مرکز افتا و معاونت علمی و فناوری ریاست‌جمهوری تشکیل شود.»

غزل یگانگی

غزل یگانگی هستم؛ دانش‌آموخته رشته مدیریت مالی در دانشگاه علوم‌وتحقیقات. از سال 1399 به کارخانه نوآوری رسانه راه‌کار پیوستم و سه سال خبرنگار پایگاه خبری راه پرداخت بودم. در این مدت در هفته‌نامه کارنگ و ماهنامه عصر تراکنش هم می‌نوشتم. همچنین در استودیو راه‌کار برنامه‌ای ویدئویی به نام «پیشنهاد هفته» تولید می‌کنم. در حال حاضر وارد تیم توسعه کسب‌وکار نیز شده‌ام و از آذرماه سال 1402، در این بخش مشغول فعالیتم.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.