چگونه میتوان با هوش مصنوعی مولد سازمانها را متحول کرد
تحولات جدید در دنیای کسبوکار با ورود هوش مصنوعی مولد (Gen AI) در حال شکلگیری…
۱۹ مهر ۱۴۰۳
سند نظام اعتبارسنجی امنیتی تجهیزات و سامانهها براساس شبکه ملی اطلاعات ابلاغ شد
۲۴ فروردین ۱۴۰۰
زمان مطالعه : ۵ دقیقه
شورای عالی فضای مجازی با توجه به اهمیت مسئله اعتبارسنجی تجهیزات و خدمات فضای مجازی، سند «نظام اعتبار سنجی امنیتی تجهیزات، سامانهها و سکوهای ارائه دهنده خدمات براساس طرح کلان و معماری شبکه ملی اطلاعات» را برای اجرا ابلاغ کرد. طبق این سند سامانههای مرتبط با شبکه ملی اطلاعات و پلتفرمهای بزرگ از نظر امنیتی در آزمایشگاهها مورد بررسی قرار خواهند گرفت.
به گزارش پیوست، تدوین این سند با توجه به توسعه فناوریها و گسترش انواع سامانهها، پلتفرم یا سکوها و به ویژه برنامکهای گوشیهای هوشمند و اهمیت امنیت تجهیزات ، سامانهها خدمات و داراییهای فضای مجازی در دستور کار قرار گرفت.
طبق تعریف این سند نظام اعتبار سنجی امنیتی تجهیزات و سامانههای ارائه کننده خدمات، نظامی است که با تعریف و استقرار فرایندها و سازوکارهای ارزیابی و اعتبارسنجی امنیتی در چرخه حیات انواع تجهیزات، سکوها، نرمافزارها، سختافزارها و نرم افزار و برنامکها در همه انواع کاربردها، صدور گواهی عرضه و بکارگیری آنها را از منظر الزامات شبکه ملی اطلاعات و اهداف عملیاتی طرح کلان و معماری شبکه ملی مدیریت و راهبری میکند. اهدف از اجرای این سند ارتقای سطح امنیت تجهیزات و سامانههای در ارتباط با شبکه ملی اطلاعات و پلتفرمهای بزرگ ارائه دهنده خدمات است.
طبق پیشبینیهای صورت گرفته در این سند از این پس تمامی سامانهها که در ارتباط مستقیم با شبکه ملی اطلاعات قرار دارند و همچنین پلتفرمهای بزرگ کشور که بستر ارائه خدمات به تعداد زیادی از شهروندان هستند باید از آزمایشگاههای مخصوص مورد تایید این نظام اعتبار سنجی شوند و امنیت آنان مورد بررسی قرار گیرد.
توسعه بسترهای ارائه خدمات الکترونیکی در کشور و همچنین توسعه سامانهها و ارائه خدمات از طریق پلتفرمها به شهروندان اهمیت ایجاد امنیت و نظارت بر آن را دو چندان کرده است. از ابتدای سال ۹۹ و همزمان با شیوع کرونا و به تبع آن گسترش ارائه خدمات در فضای مجازی میزان حمله به سامانهها و در نهایت درز اطلاعات از طریق برخی از آنها افزایش یافته است. از همین رو مرکز ملی فضای مجازی و شورای عالی فضای مجازی دست به تدوین سندی زده است که طبق آن میخواهد نظام اعتبار سنجی امنیتی تجهیزات، سامانهها و سکوهای ارائه دهنده خدمات را اجرا کند.
برای راهبری این نظام مقرر شده است تا کارگروهی با حضور نمایندگانی از وزارت ارتباطات، وزارت اطلاعات، سازمان ملی استاندارد، نماینده مرکز افتای ریاست جمهوری، نماینده پلیس فتا، نماینده سازمان پدافند غیرعامل و نماینده سازمان نظام صنفی رایانهای کشور تشکیل شود. وظیفه این کارگروه بررسی پیشنهادات و تصویب و ابلاغ آیین نامهها و دستورالعملهای فنی و اجرایی در زمینههای مختلفی مانند سطحبندیهای مورد نیاز برای گواهیها استاندار است است. از جمله وظایف دیگری که میتوان به آن اشاره کرد بررسی و انتظام بخشی در خصوص استفاده از تجهیزات، سامانهها و پلتفرمهای خارجی است. طبق پیشبینیهای صورت گرفته در این نظام این محصولات پس از تایید نمونه وعبور از گمرک برای نظارت و ارزیابی مستمر تحت پوشش این نظام قرار خواهند گرفت.
براساس این سند، فعالیتهای اصلی مد نظر این نظام شامل اعتبارسنجی آزمایشگاهها و اعطا، لغو و تمدید گواهی مرتبط با آزمونهای امنیتی، اعتبارسنجی امنیتی تجهیزات، سامانهها و سکوهای ارائه دهنده خدمات ، نظارت بر صحت اجرای فرایندها و کیفیت گواهی صادره و تدوین و ابلاغ دستورالعملهای فنی مورد نیاز این نظام خواهد بود.
از جمله اهداف این سند میتوان به حصول اطمینان از تطابق تجهیزات، سامانهها و سکوها با الزامات شبکه ملی اطلاعات و همچنین ایجاد رویه و فرایندهای شفاف اعطا، گواهی امنیتی به تجهیزات، سامانهها و سکوهای ارائه دهنده خدمات فضای مجازی و ایجاد آزمایشگاههای تخصصی اشاره کرد. از دیگر اهداف در نظر گرفته شده از تدوین این سند ایجاد نظام نظارت مستمر بر وضعیت امنیت این تجهیزات است.
طبق پیشبینیهای صورت گرفته این سند بیشتر اعتبارسنجی آزمایشگاهها و اعطا لغو یا تمدید گواهیهای مرتبط با آزمونهای اعتبار سنجی را مدنظر قرار داده است. همچنین اعتبار سنجی امنیتی تجهیزات و سامانهها و سکوها یا پلتفرمهای فضای مجازی از دیگر مواردی است که در زیرمجموعه اعتبارسنجی این سند قرار خواهند گرفت.
در این سند دو نوع آزمایشگاه پیشبینی شده است که براساس اهمیت سامانه یا تجهیزات برای ارزیابی امنیتی به هر کدام از آزمایشگاهها ارسال میشوند. نوع اول آزمایشگاهها برای آزمونهای پراهمیت مانند تجهیزات، سامانه و سکوهای مورد استفاده در سازمانها یا متصل و متعامل با پایگاههای دولتی و زیرساختی کشور مورد استفاده قرار میگیرند همچنین پلتفرمهای ارائه کننده خدمات در مقیاس بزرگ و مورد نیاز کشور نیز باید برای تست سامانه خود و تجهیزاتشان و همچنین برنامک خود از طریق این آزمایشگاهها اقدام کنند. نوع دوم، آزمایشگاههایی که محیطی کم هزینه و ساده برای آزمون فراهم میکنند، در این آزمایشگاه محصولات توسعه دهندگان فردی یا شرکتهای خصوصی مورد ارزیابی قرار میگید.
همچنین دبیرخانه موظف است براساس سند نظام ملی پیشگیری و مقابله با حوادث از دستگاههای مسئول تعیین شده در این سند گزارش ارزیابی دورهای عملکرد نظام از جمله صحت سنجی گواهی های صادره و اثربخشی اقدامات در حوزه صنعت و نیز ایجاد اعتماد مصرف کننده را دریافت کنند و به مرکز ملی فضای مجازی ارسال کنند.
متن کامل سند «نظام اعتبار سنجی امنیتی تجهیزات، سامانهها و سکوهای ارائه دهنده خدمات براساس طرح کلان و معماری شبکه ملی اطلاعات»