شورای عالی فضای مجازی، مصوبه نظام اعتبار سنجی امنیتی تجهیزات، سامانهها و سکوهای ارائه کننده خدمات بر اساس طرح کلان و معماری شبکه ملی اطلاعات را برای اجرا ابلاغ کرد.
در ابلاغیه شورای عالی فضای مجازی با اشاره به وظیفه وزارت ارتباطات ومرکز افتا برای اعتبار سنجی تجهیزات و خدمات شبکه ملی اطلاعات، آمده است: یکی از ابعاد مهم اعتبارسنجی به حوزه امنیت تجهیزات، سامانهها و سکوهای ارائه دهنده خدمات شبکه ملی اطلاعات مرتبط است که سند حاضر این بعد را پوشش میدهد و از آنجایی که اجرای وظایف محول شده به دستگاههای مختلف نیازمند انتظام بخشی و هماهنگی ملی برای همکاری همه بخشها و ذی ربطان است، مرکز ملی فضای مجازی سند حاضر را تدوین و پس از تصویب کلیات آن در جلسه شماره ۹۰ کمیسیون عالی تنظیم مقررات برای اجرا ابلاغ میکند.
بر اساس این مصوبه، نظام اعتبار سنجی امنیتی تجهیزات، سامانهها و سکوهای ارائه کننده خدمات شبکه ملی اطلاعات، نظامی است که با تعریف و استقرار فرایندها و ساز و کارهای ارزیابی و اعتبارسنجی امنیتی در چرخه حیات انواع تجهیزات، سکوها، نرم افزارها، سخت افزار نرم افزارهای برنامکها در همه انواع و کاربردها، صدور گواهی عرضه و بکارگیری آنها را از منظر الزامات شبکه ملی اطلاعات و اهداف عملیاتی طرح کلان و معماری شبکه ملی اطلاعات مدیریت و راهبری میکند.
حصول اطمینان از تطابق تجهیزات، سامانهها و سکوهای فضای مجازی با الزامات امنیتی شبکه ملی اطلاعات، ایجاد رویهها و فرایندهای شفاف اعطی گواهی امنیتی به تجهیزات، سامانهها و سکوهای حوزه فضای مجازی و ایجاد آزمایشگاههای تخصصی مطابق با نیاز کشور در زمینه ماموریت نظام با شکل گیری نظام نظارت مستمر بر وضعیت امنیت تجهیزات، سامانهها و سکوهای فضای مجازی کشور اهداف مصوبه مرکز ملی فضای مجازی عنوان شده است.
در قالب این مصوبه، 4 فعالیت اصلی در این نظام به این شرح تعریف شده است:
1) اعتبار سنجی آزمایشگاهها و اعطا ، لغو یا تمدید گواهیهای مرتبط با فعالیت در زمینه آزمونهای امنیتی
2) اعتبارسنجی امنیتی تجهیزات، سامانهها و سکوهای فضای مجازی کشور و اعطا، لغو یا تمدید گواهی مرتبط مطابق با الزامات این نظام
3) نظارت بر صحت اجرای فرآیندها و کیفیت گواهیهای صادره
4) تدوین و ابلاغ دستورالعملهای فنی مورد نیاز این نظام
در قالب این مضوبه، 6 رکن و نقش اصلی تعریف شده که شامل ممیز معتمد، متقاضی مجوز، آزمایشگاه، سامانه نظام اعتبار سنجی امنیتی، کار گروه راهبری نظام اعتبار سنجی و دبیرخانه کمیته نظام اعتبار سنجی است.
بر این اساس، ممیز معتمد شخصی حقوقی از بخش خصوصی است که توانایی تهیه و تدوین مشخصات امنیتی مورد نیاز، توانایی تهیه و تدوین مشخصات انواع آزمایشگاهها برای ایجاد و اخذ گواهی فعالیت تعریف شده در این نظام و توانای تعیین و ارزیابی انواع گواهیهای مورد نیاز اعطایی از سوی آزمایشگاهها و صحت سنجی عملکرد آنها را دارد.
آزمایشگاه نیز شخص حقوقی تعریف شده که توسط ممیزان معتبر ارزشیابی میشود و پس از بررسی در کمیته راهبری مورد تائید آن کمیته قرار گرفته و نام آن در فهرست آزمایشگاههای سامانه به عنوان آزمایشگاه ثبت خواهد شد.
بر اساس این گزارش، آزمایشگاهها به دو دسته تقسیم میشوند که نوع اول، آزمایشگاههایی هستند که آزمونهای پر اهمیت از جمله تجهیزات، سامانهها و سکوهای مورد استفاده در سازمانها، متصل و متعامل با سامانهها و پایگاههای داده دولتی و زیرساختی کشور با سکوهای ارائه کننده خدمات در مقیاس بزرگ و مورد نیاز کشور را انجام میدهند و نوع دوم، آزمایشگاههای محیطی کم هزینه و ساده برای آزمون فراهم میکنند.
محصولات نرم افزاری که توسط اشخاص حقیقی، توسعه دهندگان فردی با شرکتهای خصوصی ارایه میشوند و در دسته بندی اعلامی آزمایشگاه نوع اول قرار نمیگیرند، در آزمایشگاههای نوع دوم مورد ارزیابی قرار میگیرند .
این مصوبه پیشبینی کرده است که منظور اجرای فرآیندهای این نظام، کارگروهی با حضور نمایندگان وزارت ارتباطات، سازمان استاندارد، مرکز افتا، پلیس فتا، سازمان پدافند غیرعامل و نظام صنفی رایانهای کشور شکل خواهد گرفت.
دبیرخانه این نظام نیز در محل مرکز مدیریت راهبردی افتای ریاست جمهوری ایجاد میشود.
بر اساس مصوبه مذکور، سکوهای توزیع محصولات نرم افزاری داخلی در صورتی که مدعی انجام فعالیتهای ارزیابی و اعتبار سنجی در آزمایشگاههای اختصاصی خود هستند، لازم است گواهی مرتبط را از کار گروه اخذ کنند و نام آن در فهرست سکوهای توزیع مجاز سامانه قرار گرفته باشد و علاوه بر آن گواهی خود را در معرض دید عموم قرار دهند.
این سکوها، برای گواهی امنیتی خدمات و محصولات پیکر، کل سکو، باید به آزمایشگاه نوع اول مراجعه کنند. این سکوها، فقط مجاز به توزیع محصولاتی هستند که گواهی آزمایشگاه نوع اول یا دوم را دارا باشند. همچنین سکوهای توزیع محصولات فضای مجازی و سایر پایگاههایی که محصولات فضای مجازی را برای فروش عرضه و منتشر میکنند، موظف به انتشار گواهی مربوط به محصول در دید عموم هستند.