درباره اداره کل ارزیابی محصولات
سازمان فناوري اطلاعات ايران بر اساس وظايف اساسنامهاي (ماده 7 - بندهاي 21 ، 23 و 24 ) و اسناد بالادستي همچون سند افتا و تصميمات كارگروه مديريت فاوا، وظيفه ارزيابي و صدور گواهي محصولات حوزه افتا را بر عهده دارد. علاوه برآن همكاري در تهيه پيوستهاي امنيتي، حمايت از ايجاد آزمايشگاههاي ارزيابي حوزه افتا و حمايت از بوميسازي محصولات اين حوزه را نيز اجرا مينمايد. تدوين شاخصهاي ارزيابي، آييننامهها و مديريت بر نظارت فرآيند اقدامات تعيين شده، از وظايف ديگر سازمان است. وظايف و اقدامات فوقالذكر همگي در اداره كل ارزيابي امنيتي محصولات (ارم) زيرمجموعه معاونت امنيت فضاي توليد و تبادل اطلاعات در حال انجام است.
وظايف و اهداف كلي مطابق با اسناد بالا دستي
بر اساس اقدام 3 از راهبرد 2 سند راهبردي امنيت فضاي توليد و تبادل اطلاعات كشور مصوبه شماره 232690/ت 38518 ك مورخ 11/12/87 مبني بر ارزیابی امنيتي محصولات فتا، تائيد صلاحيت آزمايشگاهي ارزيابي امنيتي محصولات و صدور گواهي جهت محصولات و آزمایشگاههای ارزيابي امنيتي و اقدامات 2 و 4 راهبرد چهارم سند مذكور، مبني بر طرح حمايت از ايجاد آزمايشگاههاي تخصصي افتا و حمايت از توليد پشتيباني و بهکارگیری محصولات داخلي در حوزه افتا و نيز با عنايت بند(ب) ماده (2) و ماده (5) تصميم نامه شماره 226967/ت45524ن مورخ 11/10/89 نمايندگان ويژه رییسجمهور در كارگروه فاوا، وزارت ارتباطات و فناوری اطلاعات موظف گرديد، ضمن حمايت از طراحي و بومیسازی محصولات افتا و ضد بدافزار بومي در خصوص ارزيابي امنيتي و صدور گواهي براي محصولات داخلي اقدامات لازم را انجام دهد.
همچنين وزارت ارتباطات و فناوري اطلاعات طي بخشنامه 395/1/م مورخ 10/2/90 به كليه دستگاههای اجرايي موضوع ماده (5) قانون مديريت خدمات كشوري ابلاغ نمود كه ضمن به کارگیری محصولات بومي افتا از تخصيص اعتبار براي خريد محصولات خارجي و همچنين محصولاتي در حوزه افتا كه به تائید اين وزارتخانه نرسيده است خودداري نمايند.
در اين راستا وظيفه ارزيابي امنیتی محصولات فتا به وزارت ارتباطات و فناوري اطلاعات (سازمان فناوري اطلاعات ايران) محول گرديد و در نتيجه در تير ماه 1390 اداره كل ارزيابي امنيتي محصولات (ارم) زير مجموعه معاونت امنیت فضای تولید و تبادل اطلاعات سازمان با تشكيل يك دبيرخانه، شناسايي شرکتهای تولیدکننده داخلي محصولات حوزه فتا و آزمایشگاههای حائز صلاحيت براي ارزيابي امنيتي محصولات را آغاز نمود.
لازم بذكر است فعالیتهای ذیل در اداره کل ارزیابی امنیتی محصولات بر اساس آخرين شرح وظايفِ چارت سازمانيِ مصوب مهر ماه 1393 به شرح زیر در حال انجام است.
- شناسايي، استخراج، تدوين و انتشار پروفايلهاي حفاظتي محصولات
- تهيه و تدوين نظام جامع امنيت شبكه ملي اطلاعات
- تهیه سند «راهنمای آزمایشگاه» جهت اعتبارسنجي محصولات که در آن چارچوب الزامات مورد تائید مراجع ذيصلاح و سازمان فناوری اطلاعات و روال ارزیابی محصول و نقش و ارتباطات آن با آزمایشگاه شرح داده شده است.
- تهيه سند «تداوم گواهي» راهنماي نگهداري گواهي و ارزيابي مجدد محصول
- تهيه سند «راهنماي توليدكننده محصول» و «راهنماي سند هدف امنيتي محصول»
- تهیه سند «طرح ارزیابی امنیتی محصولات» که در آن ذینفعان این حوزه را مشخص کرده و ساختار، فرایندها، روالها، نقشها، تعاملات و ارتباطات فیمابین را شرح داده است.
- تهیه سند «راهنمای اعتباربخشی آزمایشگاه» که در آن روالها و الزامات ارزیابی و اعتباربخشی آزمایشگاهها مشخص شده است
- شناسايي آزمايشگاههای دارای صلاحیت ارزيابي امنیتی و صدور گواهي تهيه و تدوين پيوست امنيتي مربوط به مراكز داده (Data center) و شبكه