فرآیند اخذ گواهی امنیتی محصولات
ارزیابی امنیتی، صدور گواهی و نظارت بر محصولات فتا در سطح ملی توسط مرکز مدیریت راهبردی افتا صورت میگیرد. شرکتهای تولید کننده برای دریافت گواهی ارزیابی امنیتی محصولات خود، میتوانند به یکی از
آزمایشگاههای دارای پروانه ارزیابی امنیتی مراجعه و فرآیند ارزیابی امنیتی را آغاز کنند. علاوه بر این باید زونکن اعتباری را برای شرکت خود تهیه کرده و به اداره کل ارزیابی امنیتی محصولات (ارم) سازمان فناوری اطلاعات ارسال کنند. شرکتها برای اطلاع از نحوه تکمیل زونکن اعتباری، میتوانند به سایت اداره ارم به نشانی
https://eram.ito.gov.ir مراجعه کنند.
پس از مراجعهی متقاضی و عقد قرارداد ارزیابی امنیتی، آزمایشگاه فرآیند ارزیابی امنیتی محصول را بر اساس استاندارد «معیار مشترک» آغاز میکند. مطابق با این استاندارد، مجموعه الزامات امنیتی که باید در محصول رعایت شود، تحت عنوان پروفایل حفاظتی منتشر شده است. در صورتی که هر یک از این الزامات در محصول رعایت نشده باشد، به عنوان عدم انطباق در نظر گرفته میشود و لازم است تولید کننده پس از رفع آنها مجددا به آزمایشگاه مراجعه کرده و آزمون فنی برای محصول تکرار شود. از این رو، رعایت الزامات در محصول باعث کاهش عدم انطباقهای احتمالی و متعاقبا تسریع روند دریافت گواهی و هم چنین کاهش هزینه خواهد شد. لذا توصیه میشود متقاضی قبل از مراجعه به آزمایشگاه، پروفایل/پروفایلهای حفاظتی مرتبط با محصول خود را از
اینجا دریافت کرده و از رعایت الزامات آنها در محصول خود اطمینان حاصل کند.
لازم به ذکر است که آزمایشگاه تنها وظیفه ارزیابی امنیتی محصول را بر عهده دارد و صدور گواهی توسط سازمان فناوری اطلاعات ایران پس از رفع عدم انطباقهای احتمالی و تائید نهایی مرکز مدیریت راهبردی افتا صورت خواهد گرفت. پس از صدور گواهی، مشخصات محصول به فهرست محصولات دارای گواهی اضافه شده و در وبسایت سازمان فناوری اطلاعات و هم چنین وبسایت مرکز مدیریت راهبردی افتا منتشر میشود.
لیست پروفایلهای حفاظتی محصولات
درراستای تسهیل فرآیند ارزیابی امنیتی محصولات سندی با عنوان الزامات امنیتی برنامههای کاربردی تحت شبکه منتشر شده است که تولیدکننده به کمک آن میتواند با سهولت بیشتری محصول خود را آماده ارزیابی کند.