Print

حوزه ارزیابی و اعتبار بخشی

نظام ارزیابی محصولات فرآیند اخذ گواهی امنیتی محصولات
ارزیابی امنیتی، صدور گواهی و نظارت بر محصولات فتا در سطح ملی توسط مرکز مدیریت راهبردی افتا صورت می‌گیرد. شرکت‏‌های تولید کننده برای دریافت گواهی ارزیابی امنیتی محصولات خود، می‌توانند به یکی از آزمایشگاه‌‏های دارای پروانه ارزیابی امنیتی مراجعه و فرآیند ارزیابی امنیتی را آغاز کنند. علاوه بر این باید زونکن اعتباری را برای شرکت خود تهیه کرده و به اداره کل ارزیابی امنیتی محصولات (ارم) سازمان فناوری اطلاعات ارسال کنند. شرکت‌‏ها برای اطلاع از نحوه تکمیل زونکن اعتباری، می‏‌توانند به سایت اداره ارم به نشانی https://eram.ito.gov.ir مراجعه کنند.
پس از مراجعه‌ی متقاضی و عقد قرارداد ارزیابی امنیتی، آزمایشگاه فرآیند ارزیابی امنیتی محصول را بر اساس استاندارد «معیار مشترک» آغاز می‌کند. مطابق با این استاندارد، مجموعه الزامات امنیتی که باید در محصول رعایت شود، تحت عنوان پروفایل حفاظتی منتشر شده است. در صورتی که هر یک از این الزامات در محصول رعایت نشده باشد، به عنوان عدم انطباق در نظر گرفته می‏‌شود و لازم است تولید کننده پس از رفع آن‏‌ها مجددا به آزمایشگاه مراجعه کرده و آزمون فنی برای محصول تکرار شود. از این رو، رعایت الزامات در محصول باعث کاهش عدم انطباق‌های احتمالی و متعاقبا تسریع روند دریافت گواهی و هم چنین کاهش هزینه خواهد شد. لذا توصیه می‌شود متقاضی قبل از مراجعه به آزمایشگاه، پروفایل/پروفایل‌های حفاظتی مرتبط با محصول خود را از اینجا دریافت کرده و از رعایت الزامات آن‏‌ها در محصول خود اطمینان حاصل کند.
لازم به ذکر است که آزمایشگاه تنها وظیفه ارزیابی امنیتی محصول را بر عهده دارد و صدور گواهی توسط سازمان فناوری اطلاعات ایران پس از رفع عدم انطباق‌های احتمالی و تائید نهایی مرکز مدیریت راهبردی افتا صورت خواهد گرفت. پس از صدور گواهی، مشخصات محصول به فهرست محصولات دارای گواهی اضافه شده و در وبسایت سازمان فناوری اطلاعات و هم‏ چنین وبسایت مرکز مدیریت راهبردی افتا منتشر می‌شود.

لیست پروفایل‌های حفاظتی محصولات

رديف	پروفايل حفاظتي	رديف	پروفايل حفاظتي
1	ديواره آتش	21	افزاره ايجاد امضاي امن- قسمت 5: الحاقي براي افزاره با امکان توليد کليد و ارتباطات مورد اعتماد با برنامه‌کاربردي ايجاد امضا
2	(ND) تجهيز شبکه	22	افزاره ايجاد امضاي امن- قسمت 6: الحاقي براي افزاره با ورود کليد و ارتباطات مورد اعتماد برنامه‌کاربردي ايجاد امضا
3	VPN Client	23	سيستم‌‌هاي عامل‌ همه‌منظوره
4	VPN Gateway	24	گذرنامه الکترونيکي
5	سيستم تشخيص نفوذ	25	رمزنگاري کل درايو-موتور رمزنگاري
6	آنتي ويروس	26	رمزنگاري کل درايو –اکتساب مجوز
7	سوييچKVM	27	نرم افزار ‌کاربردي براي سرورهاي احراز هويت
8	Router	28	افزاره شبکه: بسته الحاقي کنترل کننده نشست
9	کلاينت بيسيم	29	برنامه هاي کاربردي تحت شبکه
10	تجهيزات شبکه بيسيم	30	برنامه کاربردی
11	SIEM	31	(UTM) مدیریت یکپارچه تهدیدات
12	سامانه مديريت امنيت	32	سامانه مدیریت محتوی/پرتال
13	سیستم جلوگیری از نفوذ‌(IPS)	33	یکسو کننده جریان داده
14	WAF	34	سامانه مدیریت دسترسی خاص (PAM)
15	هاني پات	35	OTPتوکن امنیتی نوع 1
16	ايميل کلاينت	36	OTPتوکن امنیتی نوع 2
17	ابزار ويرايش	37	OTPتوکن امنیتی نوع 3
18	افزاره ايجاد امضاي امن- قسمت 2: افزاره با توليد کليد
19	افزاره ايجاد امضاي امن- قسمت 3: افزاره با ورود کليد
20	افزاره ايجاد امضاي امن- قسمت 4: الحاقي براي افزاره با توليد کليد و کانال قابل‌اعتماد با برنامه‌کاربردي توليد گواهي

درراستای تسهیل فرآیند ارزیابی امنیتی محصولات سندی با عنوان الزامات امنیتی برنامه‌های کاربردی تحت شبکه منتشر شده‌ است که تولیدکننده به کمک آن می‌تواند با سهولت بیشتری محصول خود را آماده ارزیابی کند.

سند	راهنما
الزامات امنیتی برنامه‌های کاربردی تحت شبکه(pdf) الزامات امنیتی برنامه‌های کاربردی تحت شبکه(word)	راهنمای الزامات امنیتی برنامه‌های کاربردی تحت شبکه